ISMS Copilot
ISMS aufbauen mit Copilot

ISMS mit Copilot aufbauen: Ein Starter-Workflow

Dieser Leitfaden führt Sie durch den Aufbau eines ISMS von Grund auf mit ISMS Copilot, von der Einrichtung des Workspace bis zur Erstellung Ihres Kerndokumentsatzes. Folgen Sie diesem Workflow, um eine strukturierte, auditfähige Grundlage für Ihre ISO 27001-Implementierung zu schaffen.

Was Sie erreichen werden

Am Ende dieses Workflows werden Sie über Folgendes verfügen:

  • Einen dedizierten Workspace für Ihr ISMS-Projekt

  • Auf Ihr Unternehmen zugeschnittene Projektanweisungen

  • Kern-ISMS-Dokumente: Richtlinien, Risikobewertung und Erklärung zur Anwendbarkeit (Statement of Applicability)

  • Einen klaren Weg zur Validierung und Iteration von KI-generierten Ergebnissen

Voraussetzungen

Stellen Sie vor Beginn Folgendes zusammen:

  • Ihre Framework-Auswahl (ISO 27001:2022 ist der Standard für neue ISMS-Aufbauten)

  • Grundlegender organisatorischer Kontext: Branche, Unternehmensgröße, Systeme im Geltungsbereich

  • Vorhandene Sicherheitsdokumentation (Richtlinien, Verfahren, Diagramme) zum Hochladen

ISMS Copilot unterstützt ISO 27001:2022, ISO 42001:2023, SOC 2, DSGVO, HIPAA, DORA, NIS2 und mehr. Dieser Workflow konzentriert sich auf ISO 27001 als häufigsten Ausgangspunkt, der gleiche Ansatz gilt jedoch auch für andere Frameworks.

Schritt 1: Erstellen Sie einen dedizierten Workspace

Ihr ISMS-Projekt benötigt einen eigenen Workspace, um Konversationen, Kontext und generierte Dokumente an einem Ort organisiert zu halten.

  1. Navigieren Sie zum Bereich Workspaces in der Seitenleiste

  2. Klicken Sie auf Add workspace oder die Schaltfläche +

  3. Benennen Sie Ihren Workspace aussagekräftig: ISO 27001 Implementierung oder [Unternehmensname] — ISO 27001

  4. Klicken Sie auf Create Workspace

Detaillierte Anweisungen zur Workspace-Einrichtung finden Sie unter So erstellen und richten Sie Ihren ersten Workspace ein.

Schritt 2: Projektanweisungen hinzufügen

Projektanweisungen geben der KI einen dauerhaften Kontext über Ihr Unternehmen. Das bedeutet, dass Sie nicht in jeder Konversation dieselben Hintergrunddetails wiederholen müssen.

So fügen Sie Projektanweisungen hinzu:

  1. Öffnen Sie Ihren Workspace und klicken Sie auf Edit auf der Workspace-Karte

  2. Suchen Sie das Textfeld Project Instructions

  3. Geben Sie Ihren organisatorischen Kontext ein

  4. Klicken Sie auf Save Changes

Was enthalten sein sollte

Effektive Projektanweisungen decken ab:

  • Branche und Unternehmensgröße — z. B. „B2B SaaS, 50 Mitarbeiter, cloud-native auf AWS“

  • Framework-Geltungsbereich — z. B. „ISO 27001:2022, vollständige ISMS-Zertifizierung“

  • Aktueller Reifegrad — z. B. „Kein bestehendes ISMS, Start bei Null“

  • Wichtige Systeme — z. B. „GitHub, Google Workspace, AWS, Stripe“

  • Ausgabepräferenzen — z. B. „Formale Sprache, geeignet für die Audit-Dokumentation“

Beispiel für Projektanweisungen

Industry: B2B SaaS (healthcare sector)
Framework: ISO 27001:2022
Scope: Full ISMS implementation
Team: 45 employees, 3-person security team
Systems: GitHub, AWS, Google Workspace, Stripe
Current state: No existing ISMS, starting fresh
Output style: Formal, audit-ready documents

Vermeiden Sie die Aufnahme sensibler Daten in Projektanweisungen: echte Kundennamen, Mitarbeiter-E-Mails, spezifische Budgetzahlen oder Details zu Sicherheitsvorfällen. Verwenden Sie stattdessen allgemeine Beschreibungen.

Schritt 3: Wählen Sie eine Persona

Jeder Workspace kann eine Standard-Persona haben, die die KI-Antworten prägt. Wählen Sie für den Aufbau eines ISMS die Persona, die Ihrer Rolle entspricht:

  • Implementierer — Am besten für den Aufbau eines ISMS von Grund auf geeignet. Antworten konzentrieren sich auf umsetzbare Schritte, Richtlinienvorlagen und Anleitungen zur Implementierung von Kontrollen.

  • Berater — Am besten geeignet, wenn Sie ein Unternehmen beraten. Antworten enthalten strategische Empfehlungen und Ergebnisse für Kunden.

  • Standard — Allzweck-Anleitungen für gemischte Aufgaben.

So legen Sie eine Persona fest:

  1. Öffnen Sie die Workspace-Einstellungen (klicken Sie auf Edit auf der Workspace-Karte)

  2. Wählen Sie Ihre Persona aus dem Dropdown-Menü Default Persona aus

  3. Klicken Sie auf Save Changes

Schritt 4: Generieren Sie Ihre Kern-ISMS-Dokumente

Beginnen Sie nach der Konfiguration Ihres Workspaces mit der Generierung von Dokumenten. Fangen Sie mit grundlegenden ISMS-Artefakten an und bauen Sie darauf auf.

Empfohlene Sequenz zur Generierung

  1. Gap-Analyse — Verstehen Sie, was Sie haben im Vergleich zu dem, was ISO 27001 erfordert

  2. Risikobewertung — Identifizieren Sie Assets, Bedrohungen und Behandlungspläne

  3. Erklärung zur Anwendbarkeit — Dokumentieren Sie, welche Annex A-Kontrollen anwendbar sind

  4. Kernrichtlinien — Informationssicherheitsrichtlinie, Zugriffskontrollrichtlinie, Richtlinie zur akzeptablen Nutzung

  5. Unterstützende Verfahren — Incident Management, Change Management, Backup-Verfahren

Beispiel-Prompts

Beginnen Sie mit diesen Prompts in Ihrem Workspace:

Create a gap analysis table for ISO 27001:2022 Annex A controls.
Include columns: control ID, requirement, current status, gap description, priority.
Generate an information security policy for a SaaS company.
Reference ISO 27001 clauses 5.1-5.2 and include version control headers.
Create a risk assessment template with asset inventory, threat analysis,
and risk treatment plan. Format as a structured table.

Verwenden Sie den Think-Modus für längere Sitzungen zur Dokumentenerstellung. Der Think-Modus unterstützt unbegrenzte Konversationen durch automatische Komprimierung, sodass Sie mehrere Richtlinien ohne Unterbrechung erstellen können. Weitere Informationen finden Sie unter Effiziente Generierung mehrerer Dokumente.

Schritt 5: Zugriff auf Ihre generierten Dokumente

In einem Workspace generierte Dokumente werden im Dateibereich dieses Workspaces gespeichert. Um sie zu finden:

  1. Navigieren Sie zu Ihrem Workspace

  2. Scrollen Sie zum Bereich Generated Files

  3. Klicken Sie auf eine Datei, um eine Vorschau anzuzeigen oder sie herunterzuladen

Detaillierte Informationen zur Dateiverwaltung finden Sie unter Zugriff auf im Workspace generierte Dateien.

Nur Dokumente, die in diesem spezifischen Workspace generiert wurden, erscheinen in seinem Dateibereich. Außerhalb eines Workspaces erstellte Dokumente werden nicht automatisch verknüpft.

Schritt 6: Validierung der KI-Ergebnisse vor der Übernahme

KI-generierte Dokumente beschleunigen Ihre Arbeit, erfordern jedoch eine Validierung, bevor Sie sie als endgültige Artefakte behandeln. ISMS Copilot reduziert das Risiko von Halluzinationen durch Framework-Wissensinjektion, dennoch sollten Sie kritische Ergebnisse überprüfen.

Checkliste zur schnellen Validierung

  • Stichprobenartige Überprüfung der Kontrollnummern anhand des offiziellen ISO 27001:2022-Standards

  • Überprüfen Sie, ob die KI die aktuelle Framework-Version verwendet hat (2022, nicht 2013)

  • Überprüfen Sie, ob die Implementierungsanleitungen zu Ihrem tatsächlichen Tech-Stack passen

  • Bestätigen Sie, ob die Nachweisanforderungen für Ihre Unternehmensgröße erreichbar sind

  • Stellen Sie Folgefragen, um die Tiefe zu testen: „Warum ist diese Kontrolle erforderlich?“

Umfassende Verifizierungsschritte finden Sie unter So verifizieren Sie KI-generierte Compliance-Checklisten für ISO 27001 und SOC 2.

Warnsignale, auf die Sie achten sollten

  • Kontroll-IDs, die nicht der ISO 27001 Annex A Nummerierung folgen (A.5.1 bis A.8.34)

  • Allgemeine Platzhalter wie „IhrUnternehmen“, die nicht angepasst wurden

  • Implementierungsschritte, die Enterprise-Ressourcen voraussetzen, über die Sie nicht verfügen

  • Fehlende Nachweisanforderungen für Kontrollen, die eine Verifizierung erfordern

Schritt 7: Iterieren und erweitern

Der Aufbau eines ISMS ist ein iterativer Prozess. Nach Ihren Kerndokumenten:

  • Verfeinerung basierend auf Gaps — Ihre Gap-Analyse zeigt auf, was fehlt. Erstellen Sie zuerst Richtlinien für Gaps mit hoher Priorität.

  • Bestehende Dokumente hochladen — Wenn Sie über Sicherheitsrichtlinien oder -verfahren verfügen, laden Sie diese für die Gap-Analyse und Ausrichtungsprüfung hoch.

  • Kontrolldokumentation erstellen — Generieren Sie für jede Annex A-Kontrolle in Ihrer Erklärung zur Anwendbarkeit Vorlagen für Implementierungsnachweise.

  • Audit-Vorbereitung — Erstellen Sie Checklisten für interne Audits und Vorlagen für Managementbewertungen, wenn Sie sich der Zertifizierung nähern.

Strategien zur Workspace-Organisation bei wachsendem ISMS finden Sie unter So organisieren Sie Compliance-Projekte mit Workspaces.

Checkliste für den Starter-Workflow

Verwenden Sie diese Checkliste, um Ihren Fortschritt beim ISMS-Aufbau zu verfolgen:

  • Erstellen Sie einen dedizierten Workspace für Ihr ISMS-Projekt

  • Fügen Sie Projektanweisungen mit organisatorischem Kontext hinzu

  • Legen Sie die Persona „Implementierer“ für umsetzbare Anleitungen fest

  • Erstellen Sie eine Gap-Analyse, um fehlende Kontrollen zu identifizieren

  • Erstellen Sie eine Risikobewertung mit Asset-Inventar und Behandlungsplan

  • Erstellen Sie eine Erklärung zur Anwendbarkeit für anwendbare Kontrollen

  • Entwerfen Sie Kernrichtlinien (Informationssicherheit, Zugriffskontrolle, akzeptable Nutzung)

  • Validieren Sie die Ergebnisse anhand der offiziellen Framework-Anforderungen

  • Erweitern Sie dies auf kontrollspezifische Verfahren und Nachweisvorlagen

Nächste Schritte

War das hilfreich?