ISMS Copilot
Prompt engineering

Complexe verzoeken opsplitsen

Waarom complexe vragen opsplitsen?

Compliance-projecten bestaan uit gelaagde taken: beleid vereist risicobeoordelingen, implementaties vereisen leveranciersevaluaties en audits vereisen bewijslast voor tientallen beheersingsmaatregelen. Als u de ISMS Copilot vraagt om "voor te bereiden op een SOC 2-audit" in één vraag, levert dit oppervlakkige begeleiding op over te veel onderwerpen.

Opeenvolgende, gerichte vragen leveren diepere, beter bruikbare antwoorden op. Elke stap bouwt voort op de vorige, waardoor u de koers kunt bijsturen en problemen vroegtijdig kunt signaleren, in plaats van gaten te ontdekken nadat u 50 pagina's aan generieke documentatie hebt gegenereerd.

Voordelen van opeenvolgende vragen

  • Hogere kwaliteit per onderwerp – Gerichte prompts zorgen voor gedetailleerde, audit-waardige resultaten in plaats van beknopte samenvattingen

  • Gemakkelijkere verificatie – Beoordeel één beheersingsmaatregel of beleid per keer aan de hand van de standaarden, in plaats van volledige frameworks

  • Aanpasbare koers – Pas vervolgstappen aan op basis van tussentijdse bevindingen zonder verspilde moeite

  • Beter gebruik van uw berichtenquotum – De limieten van de gratis versie stimuleren efficiëntie; gerichte vragen maximaliseren de waarde per bericht

  • Behoud van context – Werkruimtes bewaren de gespreksgeschiedenis, zodat latere vragen kunnen verwijzen naar eerdere resultaten

Hoe u complexe verzoeken opsplitst

1. Begin met afbakening (Scoping)

Eerste vraag: Begrijp het volledige landschap voordat u in details duikt.

Voorbeeld van een complex doel: "Implementeer ISO 27001 voor onze startup"

Afbakenvraag: "Wat zijn de belangrijkste fasen en beheersingsmaatregelen voor een ISO 27001:2022-implementatie in een SaaS-bedrijf van 40 personen met een tijdlijn van 9 maanden?"

Resultaat: Een roadmap op hoofdlijnen, prioritaire beheersingsmaatregelen en ramingen van middelen. Gebruik dit om volgende vragen te structureren.

2. Behandel één domein per keer

Loop opeenvolgend door de domeinen van een framework of de Trust Services Criteria.

Voorbeeldvolgorde voor SOC 2:

  1. "Welke SOC 2 CC6 (logische toegang) controls zijn van toepassing op een SaaS-platform dat Okta en AWS gebruikt?"

  2. "Genereer een procedure voor de beoordeling van gebruikerstoegang voor CC6.1 met driemaandelijkse beoordelingen door managers"

  3. "Welk bewijsmateriaal toont naleving van CC6.2 (authenticatie) aan bij gebruik van MFA via Okta?"

  4. "Stel een wachtwoordbeleid op dat de CC6.1-vereisten dekt voor ons team"

Elke vraag levert een volledige, implementeerbare output op voor die specifieke maatregel voordat u verdergaat.

3. Werk in lagen van globaal naar gedetailleerd

Begin breed en zoom vervolgens in op details op basis van de eerste antwoorden.

Volgorde:

  1. "Wat zijn de organisatorische beheersingsmaatregelen van ISO 27001 Annex A.5?" (overzicht)

  2. "Geef meer details over de vereisten van A.5.1 (informatiebeveiligingsbeleid)" (gericht)

  3. "Stel een informatiebeveiligingsbeleid op voor A.5.1 voor een healthcare SaaS met HIPAA-vereisten" (implementatie)

  4. "Welk bewijsmateriaal verwachten auditors voor de goedkeuring en communicatie van het A.5.1-beleid?" (auditvoorbereiding)

Elke stap verdiept het begrip voordat u zich vastlegt op documentatie.

4. Scheid creatie van beoordeling

Vraag niet tegelijkertijd om het aanmaken van documenten en een gap-analyse.

❌ Overbelaste vraag: "Maak een risicobeoordeling voor ISO 27001 en vertel me wat er ontbreekt in onze huidige aanpak"

✅ Opeenvolgende aanpak:

  1. "Beoordeel ons huidige risicobeoordelingsproces [bijlage] tegen ISO 27001 A.5.7 en identificeer de gaten"

  2. "Maak een sjabloon voor risicobeoordeling die de geïdentificeerde gaten aanpakt voor onze AWS-omgeving"

Dit zorgt ervoor dat de gap-analyse het ontwerp van de sjabloon aanstuurt, en niet andersom.

5. Pak afhankelijkheden in de juiste volgorde aan

Sommige compliance-taken vereisen outputs van eerdere stappen.

Voorbeeld van een afhankelijkheidsketen:

  1. "Welke assets moeten we opnemen in een ISO 27001 asset-inventaris voor een SaaS-platform?" (basis)

  2. "Maak een classificatieschema voor assets voor klantgegevens, interne systemen en code-repositories" (structuur)

  3. "Genereer een sjabloon voor risicobeoordeling op basis van de asset-inventaris en classificaties" (bouwt voort op 1-2)

  4. "Stel plannen voor risicobehandeling op voor risico's met hoge prioriteit uit de beoordeling" (bouwt voort op 3)

Elke output voedt de volgende, waardoor coherente documentatie ontstaat.

Gebruik werkruimtes (Workspaces) om de context te behouden in workflows met meerdere stappen. De ISMS Copilot herinnert zich eerdere gespreksbeurten, zodat latere vragen kunnen verwijzen naar "de risicobeoordeling van eerder" of "het beleid dat we net hebben gemaakt."

Voorbeelden per scenario

Scenario 1: Eerste SOC 2-audit

Complex verzoek: "Help me me voor te bereiden op de SOC 2 Type I-audit over 6 maanden"

Opgesplitst:

  1. "Wat zijn de SOC 2 Trust Services Criteria voor Beveiliging en Beschikbaarheid, en welke zijn van toepassing op een B2B SaaS-platform?"

  2. "Maak een SOC 2-readiness checklist voor een bedrijf met 50 personen met nog 6 maanden tot de audit"

  3. "Genereer een informatiebeveiligingsbeleid dat CC1.1-1.5 dekt (governance en risico)"

  4. "Welk proces voor risicobeoordeling van leveranciers voldoet aan CC9.2 voor onze SaaS-afhankelijkheden (AWS, Stripe, SendGrid)?"

  5. "Stel een incident response plan op voor CC7.3 met rollen, escalatie en communicatieprocedures"

  6. "Met welke bewijsmateriaalverzameling moeten we nu beginnen voor CC6.1 (toegangsbeoordelingen) gezien de driemaandelijkse cycli?"

Zes gerichte vragen zijn beter dan één overweldigend verzoek.

Scenario 2: Herstel van ISO 27001 Gap-analyse

Complex verzoek: "Los onze ISO 27001-auditbevindingen op voor toegangscontrole, wijzigingsbeheer en logging"

Opgesplitst:

  1. "Onze auditor merkte onvoldoende toegangsbeoordelingen op voor ISO 27001 A.5.18. Ontwerp een driemaandelijks proces voor toegangsbeoordeling voor Okta, AWS IAM en GitHub"

  2. "Maak een procedure voor wijzigingsbeheer voor A.8.32 die onze GitHub + AWS CodePipeline CI/CD-workflow met goedkeuringspoorten dekt"

  3. "Welke logging-configuratie voldoet aan ISO 27001 A.8.15 voor AWS CloudTrail, applicatielogs in Datadog en Okta-systeemlogs?"

  4. "Genereer procedures voor bewijsmateriaalverzameling voor de nieuwe maatregelen voor toegangsbeoordeling, wijzigingsbeheer en logging"

Behandelt elke bevinding grondig met implementatiedetails.

Scenario 3: Afstemming tussen meerdere frameworks

Complex verzoek: "Breng ISO 27001- en SOC 2-controls in kaart om dubbel werk te verminderen"

Opgesplitst:

  1. "Welke SOC 2-controls overlappen met ISO 27001:2022 Annex A.5 (organisatorische beheersingsmaatregelen)?"

  2. "Maak één toegangscontrolebeleid dat voldoet aan zowel ISO 27001 A.5.15-5.18 als SOC 2 CC6.1-6.3"

  3. "Hoe kan één incident response procedure zowel ISO 27001 A.5.24- als SOC 2 CC7.3-7.5-vereisten dekken?"

  4. "Ontwerp een uniform proces voor bewijsmateriaalverzameling voor overlappende beheersingsmaatregelen in beide frameworks"

Identificeert synergieën voordat gedeelde documentatie wordt gemaakt.

Scenario 4: Documentbeoordeling en verbetering

Complex verzoek: "Beoordeel al ons beleid en werk het bij voor de nieuwe ISO 27001:2022-norm"

Opgesplitst:

  1. "Wat is er veranderd tussen ISO 27001:2013 en 2022 dat invloed heeft op bestaand beleid?" (begrip)

  2. "Beoordeel ons informatiebeveiligingsbeleid [bijlage] tegen ISO 27001:2022 A.5.1 en stel updates voor" (één beleid)

  3. "Beoordeel ons toegangscontrolebeleid [bijlage] tegen de nieuwe controls A.5.15-5.18 en identificeer gaten" (volgend beleid)

  4. "Werk onze risicobeoordelingsmethodologie bij om de nieuwe A.5.7-vereisten voor cloud-assets op te nemen" (specifieke update)

Systematische beoordeling is beter dan proberen alles tegelijkertijd bij te werken.

Herkennen wanneer u moet opsplitsen

Uw vraag is te complex als deze:

  • Vraagt om resultaten over 5+ beheersingsmaatregelen of domeinen

  • Vraagt om zowel strategische begeleiding als implementatiedetails

  • Creatie, beoordeling en gap-analyse combineert

  • Meerdere frameworks behandelt zonder prioriteit aan te geven

  • Het woord "en" of "ook" meer dan twee keer bevat

Complexere vragen leveren vaak oppervlakkige resultaten op die sowieso uitgebreide opvolging vereisen. Beginnen met gerichte vragen bespaart tijd en verbetert de kwaliteit van de eerste versie.

Context behouden tussen vragen

Binnen een gesprek in de werkruimte herinnert de ISMS Copilot zich eerdere uitwisselingen. Gebruik verwijzingen zoals:

  • "Ga dieper in op het proces voor toegangsbeoordeling uit het vorige antwoord"

  • "Pas de risicomethodologie die we bespraken toe op databaseversleuteling"

  • "Werk het conceptbeleid bij met de bewijsvereisten die je zojuist hebt opgesomd"

Dit bouwt stapsgewijs coherente documentatie op zonder de draad kwijt te raken.

Wanneer complexiteit wel passend is

Sommige vragen hebben baat bij het bundelen van gerelateerde elementen:

  • Implementatie van een enkele beheersingsmaatregel – "Implementeer ISO 27001 A.8.24 (cryptografie) voor encryptie in rust, tijdens transport en sleutelbeheer voor onze AWS-omgeving" (één domein, gerelateerde aspecten)

  • Vergelijkende analyse – "Vergelijk ISO 27001, SOC 2 en NIST CSF toegangscontrolevereisten voor ons SaaS-platform" (bewuste vergelijking tussen frameworks)

  • Geïntegreerde procedures – "Maak een gecombineerde onboarding/offboarding procedure die voldoet aan ISO 27001 A.5.17 en SOC 2 CC6.1 met role provisioning in Okta, AWS, GitHub en Salesforce" (natuurlijk geïntegreerde workflow)

De sleutel: gerelateerde elementen met een natuurlijk verband versus ongerelateerde taken die bij elkaar geforceerd zijn.

Succes meten

Effectieve opsplitsing levert het volgende op:

  • Antwoorden die u onmiddellijk kunt implementeren zonder grote aanpassingen

  • Duidelijk begrip van elk onderdeel voordat u verdergaat

  • Herbruikbare resultaten (beleid, sjablonen, procedures) zonder hiaten

  • Efficiënt gebruik van het berichtenquotum (kwaliteit boven kwantiteit)

Als u hetzelfde onderwerp drie keer opnieuw bevraagt, was uw eerste vraag waarschijnlijk te breed of te vaag.

Zie gesprekken met de ISMS Copilot als pair programming: iteratieve, gerichte uitwisselingen leveren betere resultaten op dan proberen een heel systeem in één verzoek te ontwerpen. Hetzelfde geldt voor compliance-documentatie.

Volgende stappen

Neem uw volgende complexe compliance-taak en schets 3-5 opeenvolgende vragen om deze aan te pakken. Merk op hoe elke gerichte stap kwalitatief betere en beter bruikbare begeleiding oplevert.

Terug naar het overzicht Prompt Engineering

Was dit nuttig?