Prompts pour les politiques et procédures ISO 27001

Présentation

Vous accéderez à des prompts prêts à l'emploi pour créer des politiques et procédures ISO 27001 conformes aux audits via ISMS Copilot, couvrant tout, des politiques de sécurité de haut niveau aux procédures opérationnelles détaillées démontrant la mise en œuvre des contrôles de l'Annexe A.

À qui s'adresse cet article

Ces prompts sont conçus pour :

Les équipes de conformité rédigeant la documentation ISO 27001 de zéro
Les professionnels de la sécurité mettant à jour les politiques vers ISO 27001:2022
Les consultants créant une documentation sur mesure pour leurs clients
Les organisations préparant leur Déclaration d'Applicabilité (SoA)

Avant de commencer

Le développement des politiques et procédures fonctionne mieux dans un espace de travail ISO 27001 dédié. Téléchargez vos politiques existantes ou les résultats de vos évaluations de risques pour fournir un contexte permettant d'obtenir des résultats plus pertinents et personnalisés.

Conseil de pro : Commencez d'abord par les politiques de haut niveau, puis créez les procédures de soutien. Cette approche descendante garantit que les procédures s'alignent sur les objectifs des politiques et rend la piste d'audit plus claire.

Prompts pour la politique de sécurité de l'information

Créer une politique de sécurité complète

"Rédige une politique complète de sécurité de l'information pour une organisation du secteur [secteur] comptant [nombre] employés, conforme à la clause 5.2 d'ISO 27001:2022. Inclus des sections pour : l'objet et le champ d'application, l'énoncé de la politique et les objectifs de sécurité, les rôles et responsabilités (direction, employés, IT), les exigences de conformité (légales, réglementaires, contractuelles), les conséquences de la non-conformité, le processus de révision et de mise à jour de la politique, ainsi que la date d'approbation/d'entrée en vigueur. Public cible : tous les employés. Ton : clair, faisant autorité, accessible aux lecteurs non techniques."

Exemple : "Rédige une politique complète de sécurité de l'information pour une organisation SaaS fintech de 120 employés conforme à la clause 5.2 d'ISO 27001:2022. Inclus nos exigences réglementaires spécifiques : PCI-DSS, SOC 2, RGPD. Cible notre public diversifié comprenant les développeurs, le support client et les cadres."

Définir des objectifs de sécurité alignés sur le business

"Définis des objectifs de sécurité de l'information mesurables pour ISO 27001:2022 qui s'alignent sur nos objectifs commerciaux : [citez 3-5 objectifs business]. Pour chaque objectif, fournis : le résultat de sécurité spécifique, les critères de mesure (KPI), les valeurs cibles, le calendrier, le responsable, et la manière dont cela soutient les objectifs commerciaux et la réduction des risques."

Créer une politique d'usage acceptable

"Rédige une politique d'usage acceptable couvrant l'utilisation par les employés des ressources informatiques, incluant : utilisations autorisées des systèmes et données de l'entreprise, activités interdites (exemples spécifiques), limites de l'utilisation personnelle, directives sur l'utilisation des emails et d'Internet, politiques relatives aux réseaux sociaux, exigences du travail à distance, règles BYOD (Bring Your Own Device), attentes en matière de surveillance et de confidentialité, et conséquences des violations. Conformité au contrôle ISO 27001:2022 A.5.10 Utilisation acceptable de l'information et des autres actifs associés."

Développer une politique de classification des données

"Crée une politique de classification et de manipulation des données définissant les niveaux de classification : [citez vos niveaux, ex : Public, Interne, Confidentiel, Restreint]. Pour chaque niveau : fournis une définition et des exemples clairs, spécifie les exigences de manipulation (stockage, transmission, élimination), définis les exigences de contrôle d'accès, énonce les exigences de chiffrement, liste les durées de conservation et décris les obligations de notification de violation. Aligne le tout sur le contrôle ISO 27001:2022 A.5.12 Classification des informations."

Prompts pour la politique de contrôle d'accès

Rédiger la politique de contrôle d'accès

"Rédige une politique de contrôle d'accès pour les contrôles ISO 27001:2022 A.5.15 à A.5.18. Inclus : les principes (moindre privilège, besoin d'en connaître, séparation des tâches), le processus de gestion des accès utilisateurs (demande, approbation, provisionnement, révision), les exigences d'authentification (politique de mots de passe, obligation de MFA), la gestion des accès privilégiés (comptes administrateurs, procédures d'élévation), la fréquence et le processus de révision des accès, le déprovisionnement des utilisateurs (départ, changement de rôle) et la sécurité des accès à distance. Spécifie des exigences différentes pour les accès des employés, des prestataires et des tiers."

Créer une politique de mots de passe et d'authentification

"Rédige une politique de mots de passe et d'authentification conforme au contrôle ISO 27001:2022 A.5.17. Inclus : exigences de complexité des mots de passe (longueur, types de caractères), règles d'expiration et d'historique, seuils de verrouillage de compte, exigences d'authentification multi-facteurs par rôle utilisateur et sensibilité du système, sécurité du stockage et de la transmission des mots de passe, procédures de réinitialisation, pratiques interdites (partage, notation écrite), et exceptions ou contrôles compensatoires pour les systèmes hérités."

Définir la politique de gestion des accès privilégiés

"Crée une politique de gestion des accès privilégiés pour le contrôle ISO 27001:2022 A.5.18 couvrant : la définition de l'accès privilégié (admin, root, super-utilisateur), le processus de justification et d'approbation pour l'octroi d'accès privilégiés, la gestion des sessions d'accès élevé, la surveillance et la journalisation des comptes privilégiés, la gestion des mots de passe administratifs (coffre-fort, rotation), les procédures d'accès d'urgence (scénarios 'break-glass'), et les exigences de recertification périodique des accès."

Prompts pour la politique de gestion des actifs

Développer la politique de gestion des actifs

"Rédige une politique de gestion des actifs pour le contrôle ISO 27001:2022 A.5.9. Inclus : exigences d'inventaire des actifs (éléments à suivre, fréquence de mise à jour), classification des actifs et attribution de propriété, usage acceptable des actifs, gestion du cycle de vie des actifs (acquisition, déploiement, maintenance, élimination), contrôles des actifs physiques (étiquetage, suivi, retour), gestion des actifs logiciels (licences, logiciels approuvés) et procédures de mise au rebut/sanitisation des actifs pour prévenir les fuites de données."

Créer une politique de manipulation des supports

"Rédige une politique de manipulation et de mise au rebut des supports couvrant les contrôles ISO 27001:2022 A.7.10 et A.7.14. Aborde : les types de supports concernés (papier, clés USB, disques durs, sauvegardes, appareils mobiles), l'étiquetage et la classification des supports, les exigences de stockage sécurisé, les procédures de transport et d'expédition des supports, les méthodes d'élimination et de sanitisation des supports (déchiquetage, démagnétisation, effacement cryptographique), la vérification et la documentation de l'élimination, et les exigences relatives aux fournisseurs de services d'élimination."

Prompts pour la cryptographie et la protection des données

Rédiger la politique de contrôles cryptographiques

"Crée une politique de cryptographie pour le contrôle ISO 27001:2022 A.8.24. Inclus : exigences de chiffrement pour les données au repos par niveau de classification, exigences de chiffrement pour les données en transit (versions TLS, suites de chiffrement), algorithmes cryptographiques et longueurs de clés approuvés, procédures de gestion des clés (génération, stockage, rotation, destruction), exigences relatives aux signatures numériques et certificats, chiffrement des appareils mobiles et supports amovibles, exigences de chiffrement cloud, et exceptions aux contrôles cryptographiques avec mesures compensatoires."

Développer la politique de protection des données et de la vie privée

"Rédige une politique de protection des données et de la vie privée traitant de la conformité au RGPD et des contrôles ISO 27001:2022 A.5.33-A.5.34. Couvre : la base légale du traitement des données personnelles, les droits des personnes concernées (accès, rectification, effacement, portabilité), la minimisation des données et la limitation des finalités, les durées de conservation par type de données, les principes de 'privacy by design', les procédures de notification de violation de données (délais, autorités, personnes concernées), les mécanismes de transfert de données transfrontaliers et les déclencheurs d'analyse d'impact relative à la protection des données (AIPD)."

Prompts pour les opérations et l'infrastructure

Créer une politique de gestion des changements

"Rédige une politique de gestion des changements pour le contrôle ISO 27001:2022 A.8.32. Inclus : le champ d'application (quels changements nécessitent un processus formel), la classification des changements (standard, normal, urgence), le flux de demande et d'approbation de changement, les exigences d'évaluation des risques pour les changements, les procédures de test et de retour en arrière (rollback), les fenêtres de mise en œuvre, la revue post-implémentation, les procédures de changement d'urgence avec contrôles réduits, et les exigences de documentation pour la piste d'audit."

Développer une politique de sauvegarde et de restauration

"Rédige une politique de sauvegarde et de restauration pour le contrôle ISO 27001:2022 A.8.13. Spécifie : quels systèmes et données nécessitent une sauvegarde, la fréquence de sauvegarde par criticité du système (horaire, quotidienne, hebdomadaire), les durées de conservation, l'emplacement de stockage et la sécurité des sauvegardes (sur site, hors site, cloud), les exigences de chiffrement des sauvegardes, la fréquence et les procédures de test des sauvegardes, les objectifs de temps de récupération (RTO) et de point de récupération (RPO) par système, le calendrier des tests de restauration, ainsi que la surveillance et l'alerte des sauvegardes."

Rédiger une politique de gestion des vulnérabilités

"Crée une politique de gestion des vulnérabilités pour le contrôle ISO 27001:2022 A.8.8. Inclus : fréquence et couverture des scans de vulnérabilités, calendrier de réponse aux vulnérabilités critiques (24h, 7 jours, 30 jours selon la sévérité), processus de gestion des correctifs (patchs) et exigences de test, divulgation et communication des vulnérabilités, contrôles compensatoires lorsqu'un correctif n'est pas réalisable, notification des vulnérabilités tierces, mesures (metrics) et rapports de vulnérabilités pour la direction, et processus d'exception pour les systèmes critiques pour le business."

Prompts pour la sécurité des ressources humaines

Créer une politique de sélection des employés

"Rédige une politique de sélection et de vérification des employés pour le contrôle ISO 27001:2022 A.6.1. Inclus : exigences de sélection pré-embauche (vérification des antécédents, des références, de l'historique d'emploi, des diplômes, vérification de solvabilité pour les rôles financiers, casier judiciaire), niveaux de contrôle par sensibilité du rôle et accès aux données, contrôle des prestataires et du personnel temporaire, exigences de contrôle continu (re-vérification périodique), considérations pour les recrutements internationaux, exigences de consentement et de confidentialité des candidats, et conservation de la documentation."

Développer une politique de sensibilisation à la sécurité

"Rédige une politique de sensibilisation et de formation à la sécurité pour le contrôle ISO 27001:2022 A.6.3. Couvre : formation obligatoire à la sensibilisation pour tous les employés (fréquence, sujets, méthode de diffusion), formation par rôle pour les utilisateurs privilégiés et les développeurs, programme de simulation de phishing (fréquence, remontée en cas d'échecs répétés), exigences d'orientation sécurité pour les nouveaux embauchés, mesure de l'efficacité de la formation, canaux de communication de sécurité, formation au signalement d'incidents et conséquences en cas de non-respect de la formation."

Rédiger des procédures de départ et de changement de rôle

"Crée une procédure de départ et de changement de rôle pour le contrôle ISO 27001:2022 A.6.5. Inclus : processus et délais de notification, liste de contrôle de révocation des accès par système et type de données, exigences de retour des actifs physiques (ordinateurs portables, badges, clés, mobiles), procédures de désactivation de compte, conservation et transfert des données/emails, sujets de sécurité lors de l'entretien de départ, surveillance post-départ pour activité suspecte, procédures de réembauche et processus de révision des accès lors d'un changement de rôle."

Prompts pour la gestion des incidents

Créer une politique de réponse aux incidents

"Rédige une politique de réponse aux incidents de sécurité pour les contrôles ISO 27001:2022 A.5.24 à A.5.28. Inclus : définition et classification des incidents (violation de sécurité, fuite de données, malware, DDoS, accès non autorisé), niveaux de sévérité et critères d'escalade, rôles et responsabilités de l'équipe de réponse aux incidents, canaux de détection et de signalement (disponibilité 24/7), phases de réponse aux incidents (préparation, détection, confinement, éradication, récupération, retours d'expérience), collecte de preuves et chaîne de possession, plan de communication (interne, clients, régulateurs, médias), et exigences de revue post-incident."

Développer une procédure de notification de violation

"Rédige une procédure de notification de violation de données traitant des articles 33-34 du RGPD et du contrôle ISO 27001:2022 A.5.26. Inclus : critères d'évaluation de la violation (quand est-elle notifiable ?), délai de notification (72 heures à l'autorité de contrôle), contenu requis de la notification, déclencheurs et méthodes de notification des personnes concernées, flux d'escalade et d'approbation interne, exigences de documentation pour la conformité réglementaire, coordination des communications externes (juridique, PR, support client) et tenue du registre des violations."

Prompts pour la gestion des tiers et fournisseurs

Rédiger une politique de sécurité des fournisseurs

"Crée une politique de sécurité des fournisseurs et des tiers pour les contrôles ISO 27001:2022 A.5.19 à A.5.23. Inclus : exigences d'évaluation de la sécurité des fournisseurs (évaluation pré-contractuelle), processus de 'due diligence' pour la sélection, exigences de sécurité minimales dans les contrats (SLA, contrôles de sécurité, droits d'audit, notification de violation, protection des données), contrôles d'accès et surveillance des fournisseurs, revue de performance et vérification de conformité, coordination de la réponse aux incidents avec les fournisseurs, et procédures de fin de contrat (offboarding)."

Développer une procédure d'évaluation des risques fournisseurs

"Rédige une procédure d'évaluation des risques fournisseurs. Inclus : catégorisation des fournisseurs par niveau de risque (élevé/moyen/faible selon l'accès aux données, la criticité, le champ réglementaire), structure du questionnaire d'évaluation, preuves requises (certificats SOC 2, ISO 27001, politiques de sécurité, résultats de tests d'intrusion, assurance), méthodologie de notation des risques, fréquence d'évaluation selon le risque, exigences de remédiation pour les lacunes identifiées, surveillance continue et déclencheurs de réévaluation (incident de sécurité, renouvellement de contrat, changement réglementaire)."

Prompts pour la sécurité physique et environnementale

Créer une politique de sécurité physique

"Rédige une politique de sécurité physique pour les contrôles ISO 27001:2022 A.7.1 à A.7.4. Aborde : contrôles d'accès aux installations (systèmes de badges, gestion des visiteurs, lutte contre le talonnage), définitions des zones de sécurité et du périmètre, procédures pour les visiteurs (enregistrement, accompagnement, retrait du badge), surveillance (vidéoprotection, gardiens), accès à la salle serveur et au data center (qui, quand, journalisation), incidents de sécurité physique (talonnage, accès non autorisé, vol) et intégration avec les contrôles d'accès logiques."

Développer une politique de bureau propre et d'écran verrouillé

"Rédige une politique 'Bureau Propre et Écran Verrouillé' pour le contrôle ISO 27001:2022 A.7.7. Inclus : exigences de bureau propre (aucune information confidentielle visible, documents rangés sous clé en fin de journée), exigences d'écran verrouillé (délai de verrouillage automatique, filtres de confidentialité, orientation des moniteurs), stockage des informations sensibles (armoires verrouillées, appareils chiffrés), élimination des documents (déchiquetage, bacs sécurisés), considérations pour les zones d'accueil, applicabilité au travail à distance, surveillance de l'audit et de la conformité, et formation des employés."

Prompts pour la continuité d'activité

Rédiger une politique de continuité d'activité

"Crée une politique de continuité d'activité et de reprise après sinistre pour les contrôles ISO 27001:2022 A.5.29-A.5.30. Inclus : exigences et fréquence de l'analyse d'impact métier (BIA), fonctions critiques et durée d'interruption maximale admissible, critères et autorité de déclaration de sinistre, stratégies de continuité pour les fonctions critiques, exigences relatives au site de secours, plans de communication en cas de perturbation, rôles et responsabilités de l'équipe de continuité, calendrier de tests et d'exercices (sur table, simulation, test réel), déclencheurs de maintenance et de mise à jour du plan, et intégration avec la réponse aux incidents."

Créer une procédure de continuité des TIC

"Rédige une procédure de continuité des TIC couvrant le contrôle ISO 27001:2022 A.8.14. Inclus : inventaire des systèmes critiques et dépendances, objectifs de temps de récupération (RTO) et de point de récupération (RPO) par système, mécanismes de redondance et de basculement, procédures de sauvegarde et de restauration des données, sites de traitement alternatifs ou basculement cloud, systèmes de communication en cas de panne, dépendances et plans de secours fournisseurs, procédures de test de continuité et procédures de retour à la normale (failback) une fois les systèmes primaires rétablis."

Prompts pour la conformité et l'audit

Développer une politique de gestion de la conformité

"Rédige une politique de gestion de la conformité pour le contrôle ISO 27001:2022 A.5.31. Inclus : processus d'identification des obligations de conformité (légales, réglementaires, contractuelles), surveillance et mesure de la conformité, programme d'audit interne (fréquence, champ, indépendance), exigences de formation à la conformité, rapports de conformité à la direction, escalade et remédiation des non-conformités, exigences de conservation des dossiers et preuves, et processus de gestion des changements réglementaires."

Créer une procédure d'audit interne

"Rédige une procédure d'audit interne pour la clause 9.2 d'ISO 27001:2022. Inclus : calendrier annuel et champ d'application de l'audit, exigences d'indépendance de l'auditeur, planification de l'audit (approche basée sur les risques, critères d'audit), exécution de l'audit (réunion d'ouverture, collecte de preuves, échantillonnage, entretiens), identification et classification des non-conformités (majeure, mineure, observation), demandes et suivi des actions correctives, format et distribution du rapport d'audit, procédures de suivi d'audit et revue de direction des résultats d'audit."

Prompts pour la rédaction de procédures

Convertir une politique en procédure détaillée

"Convertis cette [nom de la politique] en une procédure opérationnelle détaillée. Inclus : l'objet et le champ d'application de la procédure, les rôles et responsabilités (qui fait quoi), les prérequis, les instructions étape par étape avec points de décision, les outils et systèmes requis, les délais attendus, les contrôles de qualité et étapes de vérification, les exigences de documentation et d'archivage, la gestion des exceptions, les procédures et références associées, et l'historique des révisions. Formate avec des étapes numérotées pour un suivi facile."

Créer une procédure pour un contrôle de l'Annexe A

"Rédige une procédure opérationnelle pour mettre en œuvre le contrôle de l'Annexe A d'ISO 27001:2022 [numéro et nom du contrôle]. Aborde : ce que le contrôle exige, qui est responsable de la mise en œuvre, les étapes détaillées de mise en œuvre, la configuration technique si applicable, les preuves à collecter pour l'audit, les procédures de vérification et de test, la fréquence d'exécution du contrôle (quotidienne, hebdomadaire, à la demande), la surveillance et la mesure, ainsi que la manière de documenter l'efficacité du contrôle."

Exemple : "Rédige une procédure opérationnelle pour mettre en œuvre le contrôle ISO 27001:2022 Annexe A A.8.5 Authentification sécurisée. Couvre notre environnement spécifique : Azure AD SSO avec MFA, postes de travail à accès privilégié, gestion des comptes de service et rotation des clés API."

Documenter un flux de processus

"Crée une procédure documentant le flux de travail pour [nom du processus, ex: 'provisionnement des accès utilisateurs']. Utilise un format de type organigramme avec : événement déclencheur, points de décision (étapes d'approbation, conditions), actions à chaque étape, rôle responsable de chaque action, interactions système, exigences d'approbation, délais/SLA et critères d'achèvement. Inclus à la fois le flux normal et les chemins d'exception."

Prompts pour la révision et la maintenance des politiques

Créer un calendrier de révision des politiques

"Génère un calendrier de révision et de maintenance pour notre documentation ISO 27001. Pour chaque catégorie de politique (sécurité, contrôle d'accès, réponse aux incidents, RH, sécurité physique, etc.), spécifie : la fréquence de révision (annuelle, semestrielle, sur déclencheur), le propriétaire de la révision, les critères de révision (pertinence, exactitude, conformité, efficacité), l'autorité d'approbation, les exigences de contrôle de version et le processus de distribution des politiques mises à jour. Crée une vue calendrier sur 12 mois."

Développer un processus d'exception aux politiques

"Rédige une procédure de dérogation et d'exception aux politiques. Inclus : raisons valables pour demander une exception, formulaire de demande et justification requise, évaluation des risques pour l'exception, exigence de contrôles compensatoires, niveaux d'approbation par type de politique et risque, durée de l'exception et processus de renouvellement, surveillance et rapport des exceptions, critères de révocation d'exception et documentation pour la piste d'audit."

Prompts pour la Déclaration d'Applicabilité (SoA)

Générer une structure complète de SoA

"Crée une Déclaration d'Applicabilité (SoA) pour ISO 27001:2022 couvrant les 93 contrôles de l'Annexe A. Pour chaque contrôle : liste le numéro et le nom du contrôle, indique le statut d'applicabilité (Applicable, Non Applicable, Partiellement Applicable), référence les risques spécifiques de notre évaluation des risques qui justifient le contrôle, décris notre approche de mise en œuvre, note le statut de mise en œuvre (Mis en œuvre, En cours, Planifié avec date cible), identifie le propriétaire responsable, liste les preuves disponibles pour l'audit et fournis une justification pour toute exclusion. Organise par thèmes de l'Annexe A."

Justifier l'exclusion de contrôles

"Pour ces contrôles de l'Annexe A que nous prévoyons de marquer comme 'Non Applicables' [liste des numéros de contrôles], fournis une justification prête pour l'audit. Pour chacun : explique pourquoi le contrôle ne s'applique pas à notre organisation compte tenu de notre modèle d'affaires, de notre pile technologique et des risques identifiés ; cite tout contrôle compensatoire offrant une protection similaire ; confirme qu'aucun risque identifié ne nécessite ce contrôle ; et formate la justification de manière adaptée à une revue par un auditeur et à la documentation SoA."

Mapper les contrôles avec les politiques et procédures

"Crée une matrice de correspondance entre contrôles et documentation. Pour chacun des 93 contrôles de l'Annexe A d'ISO 27001:2022 : liste le numéro et le nom du contrôle, identifie la ou les politiques traitant du contrôle, identifie la ou les procédures mettant en œuvre le contrôle, note les artefacts de preuve (journaux, enregistrements, rapports) et signale tout contrôle manquant de documentation adéquate nécessitant la création d'une nouvelle politique ou procédure."

Prompts de personnalisation et spécifiques au secteur

Adapter une politique aux réglementations du secteur

"Adapte cette [nom de la politique] pour répondre aux réglementations spécifiques au secteur : [liste des réglementations, ex: HIPAA, PCI-DSS, FedRAMP]. Pour chaque réglementation : identifie les exigences spécifiques non couvertes par la base ISO 27001, ajoute les sections de politique ou les contrôles requis, référence les clauses réglementaires spécifiques, ajuste le langage pour la terminologie réglementaire et ajoute des procédures de vérification de la conformité."

Simplifier une politique pour la lisibilité

"Réécris cette politique en utilisant un langage simple accessible aux employés non techniques. Simplifie le jargon et les termes techniques, utilise des phrases et paragraphes plus courts, ajoute des exemples pratiques de ce qu'il faut faire et ne pas faire, inclus des éléments visuels (icônes, listes de contrôle), maintiens les exigences de conformité mais améliore la lisibilité, vise un niveau de lecture grand public et assure-toi que les exigences clés ressortent (gras, encadrés)."

Créer un résumé exécutif de politique

"Crée un résumé exécutif d'une page de notre [nom de la politique] pour revue par la direction. Inclus : l'objet de la politique en termes business (pourquoi c'est important), les exigences et obligations clés, les rôles et responsabilités pour les cadres, l'impact et les bénéfices business, les implications en matière de conformité et de risques, les besoins en ressources (budget, effectifs, outils), le calendrier de mise en œuvre et la recommandation d'approbation."

Prompts d'assurance qualité

Réviser une politique pour les lacunes de conformité

"Révise cette [nom de la politique] par rapport aux exigences d'ISO 27001:2022 pour [clause ou contrôle concerné]. Vérifie : Toutes les exigences obligatoires sont-elles traitées ? La politique est-elle assez spécifique pour être mise en œuvre ? Les rôles et responsabilités sont-ils clairement définis ? Des critères mesurables sont-ils inclus ? La politique est-elle applicable ? Les exceptions et violations sont-elles traitées ? La collecte de preuves d'audit est-elle décrite ? Identifie les lacunes et recommande des ajouts."

Téléchargez votre projet de politique avant d'utiliser ce prompt pour obtenir une revue de conformité complète et une analyse des écarts.

Vérifier la cohérence entre les documents

"Compare ces politiques [liste des noms de politiques] pour vérifier la cohérence de : la terminologie (les termes sont-ils utilisés de la même manière ?), les exigences (y a-t-il des contradictions ?), les autorités d'approbation (délégation cohérente ?), les fréquences de révision (calendriers alignés ?), les références et liens croisés (exacts ?) et le formatage/structure (apparence professionnelle ?). Identifie les incohérences nécessitant une résolution."

Valider une procédure par rapport à une politique

"Vérifie que cette procédure pour [sujet] met correctement en œuvre les exigences de notre [nom de la politique associée]. Vérifie que : toutes les exigences de la politique ont des étapes de procédure correspondantes, la procédure ne contredit pas la politique, les rôles dans la procédure correspondent aux définitions de la politique, les flux d'approbation s'alignent, les exigences de documentation sont respectées et la procédure comble toute lacune de mise en œuvre de la politique. Identifie les désalignements."

Conseils pour utiliser ces prompts efficacement

Fournissez d'abord le contexte : Avant de demander une politique, parlez d'abord de votre organisation à ISMS Copilot : "Nous sommes une entreprise SaaS de 50 personnes dans le secteur de la santé utilisant AWS et Microsoft 365, soumise au HIPAA et au RGPD." Ce contexte améliore considérablement la pertinence.

Procédez par étapes : Commencez par "crée un plan pour [politique]", révisez la structure, puis demandez "développe la section 3 avec des exigences détaillées et des exemples." Cela évite des résultats trop volumineux et vous permet de guider la direction.

Demandez plusieurs options : Demandez "propose 3 approches différentes pour [exigence de politique]" pour évaluer les alternatives avant de vous engager dans une approche de mise en œuvre spécifique.

Toujours une revue juridique : Les politiques générées par IA doivent être révisées par un conseiller juridique, particulièrement pour la vie privée, la protection des données, l'emploi et les obligations contractuelles. ISMS Copilot accélère la rédaction mais ne remplace pas l'expertise juridique.

Bibliothèques de prompts associées

Complétez votre mise en œuvre ISO 27001 avec ces collections de prompts associées :

Prompts pour l'évaluation des risques ISO 27001
Prompts de préparation à l'audit ISO 27001 (prochainement)
Prompts d'analyse d'écarts ISO 27001 (prochainement)
Bibliothèque de prompts SOC 2

Obtenir de l'aide

Pour une aide supplémentaire sur le développement de politiques et procédures :

Apprendre le framework : Comprenez Comment mener une évaluation des risques ISO 27001 avec l'IA pour garantir que les politiques traitent les risques identifiés
Utiliser l'IA de manière responsable : Consultez Comment utiliser ISMS Copilot de manière responsable pour les meilleures pratiques de développement de politiques
Gérer la documentation : Optimisez votre organisation de l'espace de travail pour les projets multi-clients

Prêt à créer vos politiques ? Ouvrez votre espace de travail ISO 27001 sur chat.ismscopilot.com et commencez par votre politique de sécurité de l'information en utilisant les prompts ci-dessus.

Cela vous a-t-il été utile ?