ISMS Copilot
Prompt-Engineering

Komplexe Anfragen zerlegen

Warum komplexe Abfragen zerlegen?

Compliance-Projekte umfassen vielschichtige Aufgaben – Richtlinien erfordern Risikobewertungen, Implementierungen benötigen Anbieter-Evaluierungen und Audits verlangen Belege für Dutzende von Kontrollen. Wenn Sie den ISMS Copilot bitten, „die SOC 2-Prüfung vorzubereiten“, führt dies in einer einzigen Abfrage zu oberflächlichen Ergebnissen über zu viele Themen hinweg.

Sequenzielle, fokussierte Abfragen liefern tiefere und besser umsetzbare Antworten. Jeder Schritt baut auf dem vorherigen auf, sodass Sie die Richtung verfeinern und Probleme frühzeitig erkennen können, anstatt Lücken erst nach der Erstellung von 50 Seiten generischer Dokumentation zu entdecken.

Vorteile sequenzieller Abfragen

  • Höhere Qualität pro Thema – Fokussierte Prompts liefern detaillierte, audit-bereite Ergebnisse anstelle von gekürzten Zusammenfassungen.

  • Einfachere Verifizierung – Überprüfen Sie jeweils eine Kontrolle oder Richtlinie gegen Standards, anstatt ganze Frameworks auf einmal.

  • Anpassbare Ausrichtung – Justieren Sie Folgefragen basierend auf Zwischenergebnissen, ohne unnötigen Aufwand.

  • Bessere Ausnutzung des Nachrichten-Kontingents – Die Limits im Free-Tier fördern Effizienz; gezielte Abfragen maximieren den Wert pro Nachricht.

  • Kontext-Erhaltung – Workspaces speichern den Gesprächsverlauf, sodass spätere Abfragen auf frühere Ausgaben Bezug nehmen können.

Hinweis: Unsere höchste Priorität in der Entwicklung ist die Implementierung der Message Compaction (erwartet Ende Februar bis Anfang März 2026), um viel längere Konversationen zu ermöglichen, ohne Ihre Nutzungslimits stark zu belasten. Dies wird sequenzielle Workflows mit mehreren Schritten noch effizienter machen.

Wie man komplexe Anfragen dekomponiert

1. Mit der Scoping-Phase beginnen

Erste Abfrage: Verstehen Sie die gesamte Landschaft, bevor Sie in Details eintauchen.

Beispiel für ein komplexes Ziel: „ISO 27001 für unser Startup implementieren“

Scoping-Abfrage: „Was sind die wichtigsten Phasen und Kontrollen für die ISO 27001:2022-Implementierung in einem SaaS-Unternehmen mit 40 Mitarbeitern und einem Zeitplan von 9 Monaten?“

Ergebnis: Grober Fahrplan, prioritäre Kontrollen, Ressourcenschätzungen. Nutzen Sie dies, um nachfolgende Abfragen zu strukturieren.

2. Einen Bereich nach dem anderen bearbeiten

Gehen Sie Framework-Bereiche oder Trust Services Criteria nacheinander durch.

Beispielsequenz für SOC 2:

  1. „Welche SOC 2 CC6 (Logical Access) Kontrollen gelten für eine SaaS-Plattform, die Okta und AWS nutzt?“

  2. „Erstelle ein Verfahren zur Überprüfung von Benutzerzugriffen für CC6.1 mit vierteljährlichen Manager-Reviews.“

  3. „Welche Nachweise belegen die Konformität von CC6.2 (Authentifizierung) mit MFA via Okta?“

  4. „Entwirf eine Passwort-Richtlinie für unser Team, die die Anforderungen von CC6.1 abdeckt.“

Jede Abfrage erzeugt ein vollständiges, implementierbares Ergebnis für die jeweilige Kontrolle, bevor zum nächsten Punkt übergegangen wird.

3. Schichtweise vom Groben zum Detail

Beginnen Sie allgemein und bohren Sie basierend auf den ersten Antworten tiefer.

Sequenz:

  1. „Was sind die ISO 27001 Annex A.5 Organisationskontrollen?“ (Überblick)

  2. „Vertiefe die Anforderungen von A.5.1 (Informationssicherheits-Richtlinien).“ (fokussiert)

  3. „Entwirf eine Informationssicherheits-Richtlinie gemäß A.5.1 für ein Healthcare-SaaS mit HIPAA-Anforderungen.“ (Implementierung)

  4. „Welche Nachweise erwarten Auditoren für die Genehmigung und Kommunikation der A.5.1-Richtlinie?“ (Audit-Vorbereitung)

Jeder Schritt vertieft das Verständnis, bevor mit der Dokumentation begonnen wird.

4. Erstellung und Prüfung trennen

Verlangen Sie nicht gleichzeitig nach Dokumentenerstellung und Gap-Analyse.

❌ Überladene Abfrage: „Erstelle eine Risikobewertung für ISO 27001 und sage mir, was in unserem aktuellen Ansatz fehlt.“

✅ Sequenzieller Ansatz:

  1. „Überprüfe unseren aktuellen Prozess zur Risikobewertung [Datei anhängen] gegen ISO 27001 A.5.7 und identifiziere Lücken.“

  2. „Erstelle eine Vorlage für die Risikobewertung, die die identifizierten Lücken für unsere AWS-Umgebung schließt.“

Dies stellt sicher, dass die Gap-Analyse das Design der Vorlage beeinflusst und nicht umgekehrt.

5. Abhängigkeiten in der richtigen Reihenfolge angehen

Einige Compliance-Aufgaben erfordern Voraussetzungen.

Beispiel für eine Abhängigkeitskette:

  1. „Welche Assets sollten wir in ein ISO 27001 Asset-Inventar für eine SaaS-Plattform aufnehmen?“ (Grundlage)

  2. „Erstelle ein Klassifizierungsschema für Kundendaten, interne Systeme und Code-Repositories.“ (Struktur)

  3. „Erstelle eine Vorlage für die Risikobewertung unter Verwendung des Asset-Inventars und der Klassifizierungen.“ (baut auf 1-2 auf)

  4. „Entwirfe Risikobehandlungspläne für hochpriorisierte Risiken aus der Bewertung.“ (baut auf 3 auf)

Jedes Ergebnis speist das nächste, wodurch eine kohärente Dokumentation entsteht.

Nutzen Sie Workspaces, um den Kontext über mehrstufige Workflows hinweg beizubehalten. ISMS Copilot erinnert sich an vorherige Gesprächsschritte, sodass spätere Abfragen auf die „Risikobewertung von vorhin“ oder die „gerade erstellte Richtlinie“ verweisen können.

Beispiele nach Szenario

Szenario 1: Erstes SOC 2 Audit

Komplexe Anfrage: „Hilf mir, das SOC 2 Type I Audit in 6 Monaten vorzubereiten.“

Zerlegt:

  1. „Was sind die SOC 2 Trust Services Criteria für Sicherheit und Verfügbarkeit, und welche davon gelten für eine B2B-SaaS-Plattform?“

  2. „Erstelle eine SOC 2 Readiness-Checkliste für ein Unternehmen mit 50 Mitarbeitern und 6 Monaten Zeit bis zum Audit.“

  3. „Erstelle eine Informationssicherheits-Richtlinie, die CC1.1-1.5 (Governance und Risiko) abdeckt.“

  4. „Welcher Prozess zur Lieferanten-Risikobewertung erfüllt CC9.2 für unsere SaaS-Abhängigkeiten (AWS, Stripe, SendGrid)?“

  5. „Entwirf einen Incident-Response-Plan für CC7.3 mit Rollen, Eskalationsstufen und Kommunikationsverfahren.“

  6. „Mit welcher Belegsammlung sollten wir jetzt für CC6.1 (Zugriffsüberprüfungen) beginnen, angesichts vierteljährlicher Zyklen?“

Sechs fokussierte Abfragen schlagen eine einzige, überwältigende Anfrage.

Szenario 2: Behebung von ISO 27001 Gap-Befunden

Komplexe Anfrage: „Behebe unsere ISO 27001 Audit-Feststellungen in den Bereichen Zugriffskontrolle, Änderungsmanagement und Protokollierung.“

Zerlegt:

  1. „Unser Auditor hat unzureichende Zugriffsüberprüfungen für ISO 27001 A.5.18 bemängelt. Entwirf einen vierteljährlichen Prozess für Okta, AWS IAM und GitHub.“

  2. „Erstelle ein Change-Management-Verfahren für A.8.32, das unseren GitHub + AWS CodePipeline CI/CD-Workflow mit Genehmigungsschritten abdeckt.“

  3. „Welche Logging-Konfiguration erfüllt ISO 27001 A.8.15 für AWS CloudTrail, App-Logs in Datadog und Okta-Systemprotokolle?“

  4. „Erstelle Verfahren zur Belegsammlung für die neuen Kontrollen zur Zugriffsüberprüfung, zum Änderungsmanagement und zur Protokollierung.“

Behandelt jede Feststellung gründlich mit Implementierungsdetails.

Szenario 3: Ausrichtung mehrerer Frameworks

Komplexe Anfrage: „Ordne ISO 27001- und SOC 2-Kontrollen einander zu, um Duplikate zu reduzieren.“

Zerlegt:

  1. „Welche SOC 2-Kontrollen überschneiden sich mit ISO 27001:2022 Annex A.5 (Organisationskontrollen)?“

  2. „Erstelle eine einheitliche Zugriffskontroll-Richtlinie, die sowohl ISO 27001 A.5.15-5.18 als auch SOC 2 CC6.1-6.3 erfüllt.“

  3. „Wie kann ein Incident-Response-Verfahren die Anforderungen von ISO 27001 A.5.24 und SOC 2 CC7.3-7.5 abdecken?“

  4. „Entwirf einen vereinheitlichten Prozess zur Belegsammlung für überschneidende Kontrollen in beiden Frameworks.“

Identifiziert Synergien, bevor eine gemeinsame Dokumentation erstellt wird.

Szenario 4: Dokumentenprüfung und -verbesserung

Komplexe Anfrage: „Überprüfe alle unsere Richtlinien und aktualisiere sie für den neuen ISO 27001:2022 Standard.“

Zerlegt:

  1. „Was hat sich zwischen ISO 27001:2013 und 2022 geändert, das bestehende Richtlinien betrifft?“ (Verständnis)

  2. „Überprüfe unsere Informationssicherheits-Richtlinie [anhängen] gegen ISO 27001:2022 A.5.1 und schlage Aktualisierungen vor.“ (eine Richtlinie)

  3. „Überprüfe unsere Zugriffskontroll-Richtlinie [anhängen] gegen die neuen Kontrollen A.5.15-5.18 und identifiziere Lücken.“ (nächste Richtlinie)

  4. „Aktualisiere unsere Methodik zur Risikobewertung, um die neuen A.5.7 Anforderungen für Cloud-Assets aufzunehmen.“ (spezifische Aktualisierung)

Eine systematische Prüfung schlägt den Versuch, alles gleichzeitig zu aktualisieren.

Erkennen, wann zerlegt werden muss

Ihre Abfrage ist zu komplex, wenn sie:

  • Ergebnisse über 5+ Kontrollen oder Bereiche hinweg anfordert

  • Sowohl strategische Beratung als auch Implementierungsdetails verlangt

  • Erstellung, Prüfung und Gap-Analyse kombiniert

  • Mehrere Frameworks abdeckt, ohne Prioritäten zu setzen

  • Die Wörter „und“ oder „außerdem“ mehr als zweimal enthält

Komplexe Abfragen führen oft zu oberflächlichen Ergebnissen, die ohnehin eine umfassende Nachbearbeitung erfordern. Mit fokussierten Abfragen zu beginnen, spart Zeit und verbessert die Qualität des ersten Entwurfs.

Kontext über Abfragen hinweg beibehalten

Innerhalb einer Workspace-Konversation erinnert sich ISMS Copilot an frühere Austausche. Verwenden Sie Referenzen wie:

  • „Vertiefe den Prozess der Zugriffsüberprüfung aus der vorherigen Antwort.“

  • „Wende die besprochene Risikomethodik auf die Datenbankverschlüsselung an.“

  • „Aktualisiere den Richtlinienentwurf um die Beleg-Anforderungen, die du gerade aufgelistet hast.“

Dies baut eine zusammenhängende Dokumentation schrittweise auf, ohne den roten Faden zu verlieren.

Wann Komplexität angemessen ist

Manche Abfragen profitieren davon, verwandte Elemente zu bündeln:

  • Implementierung einer einzelnen Kontrolle – „Implementiere ISO 27001 A.8.24 (Kryptografie) einschließlich Verschlüsselung im Ruhezustand, bei der Übertragung und Schlüsselmanagement für unsere AWS-Umgebung.“ (ein Bereich, verwandte Aspekte)

  • Vergleichende Analyse – „Vergleiche die Anforderungen an die Zugriffskontrolle von ISO 27001, SOC 2 und NIST CSF für unsere SaaS-Plattform.“ (gezielter Framework-Vergleich)

  • Integrierte Verfahren – „Erstelle ein kombiniertes Onboarding/Offboarding-Verfahren, das ISO 27001 A.5.17 und SOC 2 CC6.1 mit Rollen-Provisionierung in Okta, AWS, GitHub und Salesforce abdeckt.“ (natürlich integrierter Workflow)

Der Schlüssel liegt darin: verwandte Elemente mit natürlichen Verbindungen statt erzwungener Kombinationen unabhängiger Aufgaben.

Erfolg messen

Effektive Dekomposition führt zu:

  • Antworten, die Sie sofort ohne größere Änderungen umsetzen können

  • Klarem Verständnis jeder Komponente, bevor es weitergeht

  • Wiederverwendbaren Ergebnissen (Richtlinien, Vorlagen, Verfahren) ohne Lücken

  • Effizienter Nutzung des Nachrichten-Kontingents (Qualität vor Quantität)

Wenn Sie dasselbe Thema dreimal abfragen, war Ihre ursprüngliche Abfrage wahrscheinlich zu breit oder unklar.

Betrachten Sie ISMS Copilot-Konversationen wie Pair-Programming: Iterative, fokussierte Austausche liefern besseren Code, als der Versuch, ein ganzes System mit einer Anfrage zu entwerfen. Dasselbe gilt für Compliance-Dokumentation.

Nächste Schritte

Nehmen Sie Ihre nächste komplexe Compliance-Aufgabe und skizzieren Sie 3-5 sequenzielle Abfragen dazu. Beachten Sie, wie jeder fokussierte Schritt qualitativ hochwertigere und besser umsetzbare Anleitungen liefert.

Zurück zur Übersicht Prompt Engineering

War das hilfreich?