ISMS Copilot
Prompt engineering

Wees duidelijk en specifiek

Waarom specificiteit belangrijk is

Bij compliance-werk bepaalt precisie of u bruikbare begeleiding krijgt of generiek advies. De gespecialiseerde training van ISMS Copilot in ISO 27001, SOC 2, NIST, AVG (GDPR) en andere kaders vereist duidelijke verwijzingen om de juiste beheersmaatregelen, bewijsvereisten en implementatiestappen naar boven te halen.

Vage vragen zoals "Hoe beveilig ik gegevens?" kunnen van toepassing zijn op honderden beheersmaatregelen in tientallen kaders. Specifieke vragen die gericht zijn op exacte standaarden besparen tijd en verminderen fouten bij audits waarbij veel op het spel staat.

Sleutelelementen van specifieke prompts

1. Kader en versie

Geef altijd de exacte standaard en versie op waarmee u werkt.

❌ Vaag: "Wat zijn de vereisten voor toegangsbeheer?"

✅ Specifiek: "Wat zijn de vereisten voor toegangsbeheer voor ISO 27001:2022 Annex A.5.15?"

Verwijzen naar versies zorgt ervoor dat u actuele begeleiding krijgt die is afgestemd op uw auditscope.

2. Nummers van beheersmaatregelen of vereisten

Citeer indien mogelijk exacte id's van beheersmaatregelen.

❌ Vaag: "Vertel me over SOC 2 logische toegang"

✅ Specifiek: "Welk bewijsmateriaal heb ik nodig voor SOC 2 CC6.1 (logische en fysieke toegangscontroles)?"

Controle-nummers ontgrendelen gedetailleerde implementatiebegeleiding en lijsten met auditbewijs.

3. Organisatorische context

Vermeld bedrijfsgrootte, sector en relevante technologieën.

❌ Generiek: "Hoe implementeer ik multifactorauthenticatie?"

✅ Gecontextualiseerd: "Hoe implementeer ik MFA voor ISO 27001 A.5.17 in een healthcare startup van 40 personen die gebruikmaakt van Google Workspace en AWS?"

Context levert aanbevelingen op die passen bij uw werkelijke omgeving, in plaats van theoretische idealen.

4. Gewenst resultaat

Geef aan wat u nodig heeft: een conceptbeleid, een bewijslijst, implementatiestappen of een gap-analyse.

❌ Onduidelijk: "Help bij incidentbeheer"

✅ Duidelijk: "Genereer een incidentrespons-procedure voor ISO 27001 A.5.24 die detectie, respons en rapportage dekt voor een SaaS-platform"

Voorbeelden per kader

ISO 27001

Vaag: "Hoe zit het met encryptie?"

Specifiek: "Hoe implementeer ik cryptografische beheersmaatregelen voor ISO 27001:2022 A.8.24 om klantgegevens in rust te beschermen in PostgreSQL en onderweg via API's?"

SOC 2

Vaag: "SOC 2 wijzigingsbeheer?"

Specifiek: "Welke wijzigingsbeheerprocessen voldoen aan SOC 2 CC8.1 voor een ontwikkelteam dat GitHub, Jira en AWS CodePipeline gebruikt?"

NIST CSF

Vaag: "Tips voor supply chain-beveiliging"

Specifiek: "Welke procedures voor risicobeoordeling van leveranciers sluiten aan bij NIST CSF ID.SC-2 for a fintech company evaluating SaaS vendors handling PII?"

AVG (GDPR)

Vaag: "AVG gegevensbescherming"

Specifiek: "Welke technische maatregelen voldoen aan AVG Artikel 32 voor een marketingplatform dat gegevens van EU-klanten verwerkt met Salesforce en Mailchimp?"

Specificiteit in complexe scenario's

Gap-analyse

Geef details op wanneer u bestanden uploadt of de huidige status beschrijft:

Voorbeeld: "Beoordeel ons bijgevoegde toegangsbeheerbeleid tegen SOC 2 CC6.1-6.3. We zijn een bedrijf van 60 personen dat Okta gebruikt voor SSO, AWS IAM en GitHub. Identificeer ontbrekende maatregelen voor een Type II-audit."

Risicobeoordelingen

Specificeer scope, bedrijfsmiddelen en dreigingsmodel:

Voorbeeld: "Maak een sjabloon voor een risicobeoordeling voor ISO 27001 A.5.7 over de cloudinfrastructuur (AWS), klantendatabase (RDS) en interne tools (Google Workspace) voor een Series A SaaS-startup"

Afstemming tussen meerdere kaders

Noem alle toepasselijke standaarden:

Voorbeeld: "Hoe maak ik één enkel beoordelingsproces voor toegang dat zowel voldoet aan ISO 27001:2022 A.5.18 als SOC 2 CC6.1 voor driemaandelijkse audits?"

Als u niet zeker bent van de exacte controlenummers, begin dan breed ("Wat zijn de ISO 27001 toegangsbeheermaatregelen?") en zoom vervolgens in met specifieke vervolgvragen ("Breid A.5.15 uit voor onze AWS-omgeving").

Veelgemaakte fouten

  • Versies weglaten – ISO 27001:2013 versus 2022 hebben verschillende beheersmaatregelen; specificeer om verouderde hulp te voorkomen

  • Jargon gebruiken zonder context – "Onze RBAC heeft hulp nodig" geeft geen kader, tool of probleem aan

  • Meerdere ongerelateerde vragen stellen – "Vertel me over A.5.1, A.8.1 en A.12.1" verwatert de focus; afzonderlijke zoekopdrachten werken beter

  • Aannemen dat ISMS Copilot uw opzet kent – Het systeem heeft geen voorkennis van uw organisatie; bied altijd context

Uw specificiteit testen

Stel uzelf de volgende vragen voordat u een query verstuurt:

  1. Heb ik het kader en de versie genoemd?

  2. Heb ik nummers van beheersmaatregelen/vereisten opgenomen?

  3. Heb ik de context van mijn organisatie beschreven?

  4. Is mijn gewenste output duidelijk?

Als een antwoord "nee" is, verfijn dan uw prompt.

Specifieke prompts leiden vaak tot volledige, bruikbare antwoorden in één reactie. Vage prompts vereisen 3-5 verduidelijkingen over en weer, wat uw berichtenquotum en tijd verspilt.

Volgende stappen

Pas specificiteit toe op uw volgende vraag. Merk op hoe gedetailleerde context op maat gemaakte, audit-waardige begeleiding oplevert in vergelijking met algemene best practices.

Terug naar Overzicht Prompt Engineering

Was dit nuttig?