ISO 27001 audit voorbereiding prompts

Overzicht

Je vindt hier bewezen prompts om je voor te bereiden op ISO 27001 certificerings- en surveillance-audits met behulp van ISMS Copilot, van het uitvoeren van gap-analyses en bewijsverzameling tot het genereren van audit-klare documentatie en het vol vertrouwen beantwoorden van vragen van de auditor.

Voor wie is dit bedoeld

Deze prompts zijn ontworpen voor:

Organisaties die zich voorbereiden op hun eerste ISO 27001 certificeringsaudit
Security-teams die pre-audit gereedheidsbeoordelingen uitvoeren
Compliance managers die zich voorbereiden op surveillance- of hercertificeringsaudits
Consultants die cliënten ondersteunen tijdens het auditproces

Voordat je begint

Auditvoorbereiding is het meest effectief wanneer je al je ISO 27001-documentatie bijhoudt in een specifieke werkruimte. Upload je beleid, procedures, risicobeoordeling en SoA om context te bieden voor gap-analyse en gereedheidscontroles.

Planningsoverweging: Begin ten minste 8-12 weken voor de geplande auditdatum met de voorbereiding. Dit geeft tijd om geconstateerde hiaten aan te pakken, bewijsmateriaal te verzamelen en interne audits uit te voeren.

Gap-analyse prompts

Uitvoeren van een uitgebreide ISO 27001 gap-analyse

"Voer een uitgebreide gap-analyse uit van ons huidige informatiebeveiligingsprogramma tegen de ISO 27001:2022-vereisten. Voor elke clausule (4-10) en elk van de 93 Annex A-beheersmaatregelen: beoordeel onze huidige status (Volledig Geïmplementeerd, Gedeeltelijk Geïmplementeerd, Niet Geïmplementeerd, Niet van Toepassing), identificeer specifieke hiaten of zwakheden, evalueer de beschikbaarheid van bewijsmateriaal voor de audit, beoordeel de ernst van de gap (Kritiek, Hoog, Medium, Laag), schat de inspanning om de gap te dichten (uren/dagen), beveel herstelacties aan en ken prioriteit toe. Presenteer dit als een gap-analyse rapport met een managementsamenvatting."

Upload je bestaande beleid, procedures en risicobeoordeling voordat je deze prompt uitvoert voor de meest nauwkeurige gap-analyse op basis van je feitelijke documentatie.

Documentatie-volledigheid analyseren

"Beoordeel onze ISO 27001-documentatie op volledigheid en gereedheid voor de audit. Controleer: Hebben we alle verplichte gedocumenteerde informatie die vereist is door clausules 4-10? Voldoet onze risicobeoordeling aan de vereisten van clausule 6.1.2? Is onze Verklaring van Toepasselijkheid (SoA) volledig en onderbouwd? Verwijzen beleidsstukken naar de juiste ISO-clausules? Zijn procedures gedetailleerd genoeg om de implementatie aan te tonen? Zijn versiebeheer en goedkeuring gedocumenteerd? Zijn er hiaten in onze documentinventaris? Maak een documentatiechecklist met status en hiaten."

Beoordeel bewijs van controle-implementatie

"Identificeer voor elke Annex A-beheersmaatregel die als 'Geïmplementeerd' is gemarkeerd in onze Verklaring van Toepasselijkheid, welk bewijsmateriaal auditors zullen opvragen om de implementatie te verifiëren. Voor beheersmaatregel [nummer en naam]: lijst soorten bewijs op (beleid, procedures, logs, screenshots, rapporten, records), geef aan waar het bewijs zich bevindt (systeem, locatie, eigenaar), markeer hiaten in bewijs die gecreëerd moeten worden, beoordeel de kwaliteit van het bewijs (volledig, gedeeltelijk, zwak) en beveel aanvullend bewijs aan om de naleving sterker aan te tonen."

ISMS-volwassenheidsniveau beoordelen

"Evalueer onze ISMS-volwassenheid volgens de ISO 27001-vereisten met behulp van een 5-traps volwassenheidsmodel: Niveau 1 (Initieel/Ad-hoc), Niveau 2 (Beheerd), Niveau 3 (Gedefinieerd), Niveau 4 (Kwantitatief Beheerd), Niveau 5 (Optimaliserend). Voor elk hoofdonderdeel (risicomanagement, toegangsbeheer, incidentrespons, wijzigingsbeheer, bedrijfscontinuïteit, leveranciersbeheer): beoordeel de huidige volwassenheid met onderbouwing, identificeer verbeterkansen om het volgende niveau te bereiken en beveel prioritaire acties aan voor audit-gereedheid."

Prompts voor bewijsverzameling

Checklist voor bewijsverzameling maken

"Genereer een uitgebreide checklist voor bewijsverzameling voor de ISO 27001:2022-certificeringsaudit. Organiseer op Annex A-maatregelnummer en vermeld per maatregel: type bewijs (document, log, screenshot, configuratie, rapport), beschrijving van het bewijs, verantwoordelijke eigenaar voor verzamelen, locatie van het bewijs (systeem/map), deadline voor verzameling (weken voor de audit) en verificatiestatus. Geef prioriteit aan bewijs voor hoogrisicomaatregelen en veelvuldig geauditeerde gebieden (toegangsbeheer, incidentrespons, back-ups)."

Documenteren van controle-implementatie

"Maak een implementatiebewijspakket voor Annex A-maatregel [nummer en naam]. Inclusief: schriftelijke beschrijving van hoe we de maatregel implementeren, verwijzingen naar beleid en procedures, technische implementatiedetails (configuraties, tools, workflows), bewijsstukken (logvoorbeelden, screenshots, rapporten), resultaten van controle-testing, eigenaar van de maatregel en verantwoordelijkheden, tijdlijn van de implementatie en bekende beperkingen of uitzonderingen met compenserende maatregelen."

Voorbeeld: "Maak een implementatiebewijspakket voor Annex A-maatregel A.8.5 Beveiligde authenticatie. Documenteer onze Azure AD-implementatie met MFA, wachtwoordbeleid, privileged access management en rotatie van service-accounts."

Toegangsbeheerbewijs voorbereiden

"Verzamel bewijsmateriaal dat de implementatie van ons toegangsbeheerprogramma voor ISO 27001-maatregelen A.5.15-A.5.18 aantoont. Inclusief: procedures voor het toekennen van gebruikerstoegang en voorbeelden van goedkeuringsrecords, bewijs van toegangsbeoordelingen (laatste 3 reviews met resultaten), inventaris van geprivilegieerde toegang en het beheerproces daarvan, authenticatiebeleid en MFA-registratiestatistieken, screenshots van wachtwoordbeleidsconfiguraties, overzichten van accountverwijderingen voor de laatste 10 uitdiensttredingen, incidenten met toegangsschendingen en herstel, en de role-based access control matrix."

Documenteren van incidentrespons-capaciteit

"Bereid een bewijspakket voor voor incidentrespons-maatregelen A.5.24-A.5.28. Inclusief: incidentresponsplan en -procedures, structuur en contactgegevens van het incidentrespons-team, incidentenlog van de afgelopen 12 maanden (geanonimiseerd indien nodig), voorbeeldrecords van incidenten die de respons-workflow tonen, incidentcategorisering en ernstdefinities, bewijs van incidentrespons-testen of tabletop-oefeningen, rapporten van post-incident reviews en beveiligingsincident-metrieken gerapporteerd aan het management."

Back-up en herstelbewijs verzamelen

"Verzamel back-up- en herstelbewijs voor maatregel A.8.13. Inclusief: back-upbeleid en -procedures, back-upschema en scope (welke systemen/gegevens), back-up succes/fout logs van de afgelopen 30 dagen, back-up opslaglocaties en beveiligingsmaatregelen, back-up hersteltestresultaten (meest recente test), recovery time en recovery point objectives per systeem, verificatie van back-upversleuteling en configuraties voor back-upmonitoring en waarschuwingen."

Interne audit prompts

Intern auditplan ontwikkelen

"Maak een intern auditplan voor ISO 27001:2022-compliance dat alle clausules en toepasselijke Annex A-maatregelen dekt. Inclusief: auditdoelstellingen en scope, auditschema over 12 maanden (welke maatregelen/gebieden elk kwartaal), auditcriteria (ISO 27001:2022-vereisten), auditor-toewijzingen waarbij onafhankelijkheid is gewaarborgd, auditmethodologie (interviews, documentbeoordeling, technische testen), geschatte tijd per auditgebied en managementbeoordeling van het auditplan. Geef prioriteit aan gebieden met een hoog risico en maatregelen met zwak bewijs."

Interne audit-checklist genereren

"Maak een gedetailleerde interne audit-checklist voor [specifiek gebied, bijv. 'toegangsbeheer' of 'incidentmanagement']. Voor elke relevante ISO 27001:2022-vereiste: vermeld de specifieke vereiste, maak auditvragen om naleving te beoordelen, identificeer de te beoordelen documenten, specificeer het te onderzoeken bewijs, voeg steekproefprocedures toe (bijv. 'selecteer 10 gebruikersaccounts en verifieer de goedkeuring van toegang'), definieer slaag/zak-criteria en bied ruimte voor bevindingen en observaties."

Voorbeeld: "Maak een gedetailleerde interne audit-checklist voor toegangsbeheer die ISO 27001:2022-maatregelen A.5.15-A.5.18 dekt. Inclusief vragen over user provisioning, toegangsreviews, MFA, geprivilegieerde toegang en deprovisioning."

Auditbevindingen en corrigerende acties documenteren

"Documenteer deze interne auditbevinding: [beschrijf de bevinding]. Maak een rapport van afwijking (non-conformity report) inclusief: beschrijving van de bevinding en het bewijs, welke ISO 27001-vereiste niet is nageleefd, impact en risico van de afwijking, ernstclassificatie (major, minor, observatie), root cause analyse, voorgesteld verbeterplan met specifieke stappen, verantwoordelijke eigenaar voor herstel, streefdatum voor voltooiing en verificatiemethode. Formateer voor presentatie aan management en externe auditors."

Mock-audit voorbereiding uitvoeren

"Ontwerp een mock-audit scenario om ons team voor te bereiden op de certificeringsaudit. Inclusief: agenda voor de mock-audit (dag 1 openingsvergadering, documentbeoordeling, interviews; dag 2 technische verificatie, locatie-inspectie, slotvergadering), voorbeeldvragen van de auditor voor elk belangrijk ISMS-onderdeel, documenten die auditors zullen willen inzien, systemen die ze willen zien, personeel dat ze zullen interviewen (rollen en benodigde voorbereiding) en evaluatiecriteria om onze gereedheid te beoordelen op basis van de mock-audit resultaten."

Prompts voor voorbereiding op auditrespons

Voorbereiden op veelvoorkomende vragen van auditors

"Genereer een lijst met veelvoorkomende vragen die ISO 27001-auditors stellen over [specifiek gebied, bijv. 'risicobeoordelingsmethodologie' of 'incidentrespons']. Geef bij elke vraag: de vraag die auditors doorgaans stellen, wat ze werkelijk beoordelen (onderliggende zorg), aanbevolen antwoordstructuur, bewijsmateriaal om naar te verwijzen in het antwoord en 'red flags' om te vermijden. Behandel zowel managementvragen als vragen over technische implementatie."

Gids voor voorbereiding van interviews met auditors maken

"Maak een gids voor interviewvoorbereiding voor personeel dat geïnterviewd zal worden tijdens de ISO 27001-audit. Geef voor rollen waaronder [lijst rollen: CISO, IT-manager, ontwikkelaars, HR, etc.] het volgende: overzicht van waarover auditors hen zullen ondervragen, hun verantwoordelijkheden binnen het ISMS, maatregelen die zij beheren of uitvoeren, bewijsmateriaal waarmee ze bekend moeten zijn, voorbeeldvragen die ze kunnen krijgen, do's en don'ts tijdens interviews, escalatieproces als ze een antwoord niet weten en tips voor stressmanagement."

Presentatie voor de openingsvergadering ontwikkelen

"Maak een presentatie voor de openingsvergadering van de ISO 27001-audit. Voeg dia's toe over: bedrijfsoverzicht en bedrijfscontext, ISMS-scope en grenzen, organisatiestructuur en beveiligingsgovernance, overzicht van de risicobeoordelingsaanpak en belangrijkste bevindingen, hoogtepunten van controle-implementaties en prestaties, significante wijzigingen sinds de laatste audit (indien surveillance), auditlogistiek (planning, deelnemers, faciliteiten) en vragen/verduidelijkingen. Richt op een presentatie van 20 minuten."

Responsstrategie voor de slotvergadering voorbereiden

"Ontwikkel een responsstrategie voor de slotvergadering van de audit waar de bevindingen worden gepresenteerd. Inclusief: hoe bevindingen professioneel in ontvangst te nemen en te documenteren, vragen om te stellen ter verduidelijking van bevindingen, hoe bevindingen te betwisten waar we het niet mee eens zijn (respectvol), proces voor initiële planning van corrigerende acties, onderhandelingsstrategieën voor tijdlijnen van herstel, verklaringen van managementbetrokkenheid, template voor actieplan na de audit en protocol voor vervolgcommunicatie met auditors."

Prompts voor technische bewijsvoorbereiding

Systeemconfiguratiebewijs voorbereiden

"Maak een technisch bewijspakket dat de veilige configuratie voor [systeemnaam] aantoont. Inclusief: toegepaste hardening-standaard, configuratiescreenshots voor beveiligingsinstellingen (authenticatie, versleuteling, logging, toegangsbeheer), afwijkingen van de baseline met onderbouwing, resultaten van kwetsbaarheidsscans waaruit blijkt dat er geen kritieke/hoge bevindingen zijn, rapport over patch-compliance, dekking van beveiligingsmonitoring en wijzigingsrecords voor beveiligingsrelevante wijzigingen."

Documentatie van logging en monitoring bewijs

"Verzamel logging- en monitoringbewijs voor ISO 27001-maatregel A.8.15-A.8.16. Inclusief: inventaris van systemen met geactiveerde logging, verzamelde logtypen (authenticatie, toegang, wijzigingen, veiligheidsgebeurtenissen), bewaartermijnen per logtype, beschermingsmaatregelen voor logs (integriteit, toegangsbeheer), configuraties van SIEM of loganalyse-tools, procedures en frequentie voor logreview, voorbeeldrapporten van logreviews, regels voor waarschuwingen bij beveiligingsgebeurtenissen en voorbeelden van incidentonderzoek met behulp van logs."

Vulnerability management bewijs voorbereiden

"Verzamel bewijs voor vulnerability management voor maatregel A.8.8. Inclusief: schema en dekking van kwetsbaarheidsscans (welke systemen, hoe vaak), meest recente scanresultaten met Ernst-verdeling, tijdlijnen voor het verhelpen van kritieke en hoge kwetsbaarheden, patchbeheerprocedures en SLA's, patch-compliance dashboard of rapport, uitzonderingen op kwetsbaarheden met compenserende maatregelen, proces voor openbaarmaking van kwetsbaarheden door derden en trend van kwetsbaarheidsmetrieken over de afgelopen 6 maanden."

Implementatie van versleuteling documenteren

"Maak een bewijspakket voor cryptografische maatregelen A.8.24. Documenteer: opslagversleuteling (data-at-rest: welke systemen, methoden, sleutelbeheer), transportversleuteling (data-in-transit: TLS-configuraties, cipher suites, certificaatbeheer), versleuteling voor back-ups en archieven, status van versleuteling voor mobiele apparaten en laptops, procedures voor cryptografisch sleutelbeheer, standaarden voor cryptografische algoritmen, uitzonderingen op versleuteling met risico-acceptatie en resultaten van verificatietests van versleuteling."

Management system evidence prompts

Managementbeoordelingsbewijs voorbereiden

"Verzamel bewijsmateriaal voor managementbeoordelingsvergaderingen volgens ISO 27001 clausule 9.3. Inclusief: notulen van managementbeoordelingen van de afgelopen 12 maanden, agenda met alle vereiste input (auditresultaten, wijzigingen in risico's, incidenten, prestatiemetrieken, verbeterkansen), gepresenteerde rapportages van beveiligingsmetrieken en KPI's, genomen managementbesluiten en acties, besluiten over toewijzing van middelen, evaluatie van ISMS-effectiviteit, goedgekeurde strategische beveiligingsinitiatieven en bewijs van managementbetrokkenheid en leiderschap."

ISMS-prestatiemetrieken documenteren

"Maak een prestatie-monitoring dashboard voor ISMS-effectiviteit volgens clausule 9.1. Inclusief metrieken voor: trends in beveiligingsincidenten (volume, ernst, oplostijd), vulnerability management (scanfrequentie, hersteltijd, backlog), toegangsbeheer (provisioning-tijd, voltooiing van reviews, schendingen), security awareness (voltooiing training, resultaten phishingtests), succespercentages van back-ups, nalevingspercentages van beleid, sluitingspercentages van auditbevindingen en voortgang van risicobehandeling. Toon gegevens van de afgelopen 12 maanden met trendanalyse."

Bewijs van continue verbetering voorbereiden

"Documenteer activiteiten voor continue verbetering volgens clausule 10. Inclusief: corrigerende acties van eerdere audits (bevindingen en oplossing), preventieve acties om potentiële problemen aan te pakken, geïmplementeerde ISMS-verbeteringsinitiatieven, geleerde lessen uit beveiligingsincidenten, wijzigingen in risicobeoordelingsmethodologie of scope, updates van beleid en procedures met motivatie, feedback van werknemers over de effectiviteit van het ISMS en geïdentificeerde verbeterkansen voor de volgende periode."

Bewijs van training en bewustwording verzamelen

"Verzamel bewijs voor security awareness voor maatregel A.6.3. Inclusief: beschrijving van het security awareness trainingsprogramma, trainingscurriculum en materialen, records en statistieken van voltooide trainingen, het proces voor beveiligingsintroductie van nieuwe medewerkers, rolgebaseerde training (geprivilegieerde gebruikers, ontwikkelaars, managers), resultaten van phishingsimulaties en verbeteringstrends, naar werknemers verzonden beveiligingscommunicatie, materiaal van bewustwordingscampagnes, meting van trainingseffectiviteit en aanvullende training voor niet-conforme medewerkers."

Prompts voor bewijs van leveranciers en derden

Bewijs voor leveranciersbeheer voorbereiden

"Verzamel bewijs voor beheer van derden voor maatregelen A.5.19-A.5.23. Inclusief: leveranciersinventaris en risicocategorisering, proces voor veiligheidsbeoordeling van leveranciers en vragenlijst, beveiligingsvereisten in leverancierscontracten (voorbeeldcontracten), bewijs van due diligence bij leveranciers (SOC 2 rapporten, ISO-certificaten, assessments), toegangscontroles en monitoring van leveranciers, prestatiebeoordelingen en verificatie van naleving door leveranciers, incidentrespons-procedures voor leveranciers en de checklist voor het offboarden van leveranciers."

Beveiligingsvereisten voor leveranciers documenteren

"Maak een template dat laat zien hoe we informatiebeveiligingsvereisten opnemen in leverancierscontracten volgens maatregel A.5.20. Inclusief: standaard beveiligingsclausules (gegevensbescherming, toegangsbeheer, incidentmelding, auditrechten, naleving, vertrouwelijkheid), service level agreements voor beveiliging (reactietijden, beschikbaarheid, tijdlijnen voor melding van datalekken), voorwaarden van verwerkersovereenkomsten (GDPR-naleving), vereisten voor goedkeuring van onderaannemers, bepalingen voor beëindiging en teruggave van gegevens en aansprakelijkheid en vrijwaring voor beveiligingsfouten."

Gespecialiseerde auditscenario's

Voorbereiden op overwegingen bij remote/cloud audits

"Bereid je voor op de ISO 27001-audit van onze cloud-gebaseerde infrastructuur op [cloud provider]. Behandel: hoe cloud-beveiligingscontroles aan te tonen (shared responsibility model), bewijs van de cloud provider (SOC 2, ISO 27001, documentatie van beveiligingsfuncties), onze configuratie en beheer van cloud-beveiliging (IAM, encryptie, logging, monitoring), aantonen van datalocatie en soevereiniteit, cloud-toegangsbeheer en privileged access management, cloud-specifieke incidentrespons, back-up en disaster recovery in de cloud, en schermdelen of remote toegang voor audit-beoordeling van cloud-consoles."

Voorbereiden op audit van werkomgeving op afstand

"Bereid bewijs voor voor de ISO 27001-audit, rekening houdend met ons [percentage] personeelsbestand dat op afstand werkt. Behandel: beveiliging van toegang op afstand (VPN, zero trust, MFA), endpoint protection voor apparaten op afstand (EDR, encryptie, patchbeheer), veilige samenwerkingstools en het delen van gegevens, richtlijnen voor beveiliging van thuisnetwerken, fysieke beveiliging van werklocaties op afstand, training en bewustwording van medewerkers op afstand, monitoring van toegang en activiteiten op afstand, incidentrespons voor medewerkers op afstand en het verstrekken/innemen van apparatuur voor personeel op afstand."

Voorbereiden op multi-site certificering

"Bereid je voor op de ISO 27001-audit die meerdere sites/locaties beslaat: [lijst locaties]. Behandel: hoe de ISMS-scope alle locaties omvat, site-specifieke risico's en maatregelen, consistente beleidsimplementatie over de locaties heen, overwegingen voor lokale wettelijke naleving, gecentraliseerde versus lokale managementverantwoordelijkheden, bewijsmateriaal van elke locatie, logistiek van audits op afstand, communicatie en coördinatie tussen locaties en demonstratie van ISMS-integratie binnen de organisatie."

Post-audit prompts

Verbeterplan (corrective action plan) ontwikkelen

"Maak een verbeterplan voor auditbevindingen. Voor bevinding: [beschrijf bevinding], inclusief: details van de bevinding en verwijzing naar de afwijking, root cause analyse (waarom bestond dit hiaat?), directe corrigerende actie (los het specifieke probleem op), systematische corrigerende actie (voorkom herhaling), implementatiestappen met tijdlijn, verantwoordelijke eigenaar en benodigde middelen, verificatiemethode (hoe bewijzen we dat het is opgelost?), streefdatum voor voltooiing, status tracking en bewijs dat aan de auditors moet worden voorgelegd voor afsluiting."

Bewijs voor het sluiten van bevindingen voorbereiden

"Bereid een bewijspakket voor om auditbevinding [nummer] te sluiten. Inclusief: oorspronkelijke beschrijving van de bevinding en vereiste, goedgekeurd verbeterplan, bewijs van implementatie van de verbetering (voor/na vergelijking, bijgewerkte documenten, systeemwijzigingen), verificatietestresultaten die aantonen dat het probleem is opgelost, geïmplementeerde preventieve maatregelen om herhaling te voorkomen, communicatie van wijzigingen naar relevant personeel en het verzoek aan de auditor voor verificatie en sluiting van de bevinding."

Lessons learned na de audit uitvoeren

"Faciliteer een 'lessons learned' sessie na de audit. Maak een discussiegids over: wat ging er goed tijdens de audit, voor welke uitdagingen stonden we, hoe effectief was onze voorbereiding, welk bewijs was sterk versus zwak, hoe goed ging het team om met vragen van de auditor, verrassingen of onverwachte bevindingen, feedback van de auditor op ons ISMS, verbeteringen voor de volgende auditcyclus, geïdentificeerde hiaten in vaardigheden of kennis en actiepunten om het ISMS te versterken voor de volgende surveillance-audit."

Prompts voor zelfbeoordeling van audit-gereedheid

Pre-audit gereedheidscontrole uitvoeren

"Voer een laatste gereedheidscontrole uit 2 weken voor onze ISO 27001-certificeringsaudit. Beoordeel: Is alle verplichte documentatie volledig en goedgekeurd? Is het bewijs georganiseerd en toegankelijk? Zijn interne audits voltooid en bevindingen gesloten? Is het personeel getraind en voorbereid op interviews? Zijn technische systemen correct geconfigureerd voor demonstratie? Zijn de faciliteiten klaar voor locatie-inspectie? Is het auditschema bevestigd met deelnemers? Zijn er back-up plannen voor de auditweek? Beoordeel de gereedheid als Rood/Geel/Groen met onderbouwing en identificeer eventuele last-minute acties."

Auditbereidheid per rol evalueren

"Beoordeel de auditbereidheid voor elke rol die deelneemt aan de audit. Voor rollen [lijst rollen: directie, IT-team, beveiligingsteam, HR, operations, etc.]: evalueer hun begrip van het ISMS, kennis van hun verantwoordelijkheden, bekendheid met relevante maatregelen, beschikbaarheid tijdens de audit, bereidheid om vragen te beantwoorden, toegang tot noodzakelijk bewijs, back-up dekking bij afwezigheid en trainingsbehoeften voor de audit. Identificeer hiaten die onmiddellijke aandacht vereisen."

Beoordelen van audit-logistiek en coördinatie

"Maak een logistiek plan en checklist voor de auditweek. Inclusief: auditschema met tijden en deelnemers, reserveringen en inrichting van vergaderruimtes (beamer, whiteboard, gasten-WiFi), regelingen voor lunch en pauzes, parkeren en toegang tot het gebouw voor auditors, welkomstpakket en introductiemateriaal, toegang tot de documentopslag voor auditors, toegang tot technische systemen of demo-omgevingen, print- en kopieerfaciliteiten, privéruimte voor overleg van de auditors, IT-support contact voor technische problemen en noodplannen voor veelvoorkomende verstoringen."

Tips voor het effectief gebruiken van deze prompts

Begin met gap-analyse: Voordat je in de bewijsverzameling duikt, gebruik je de gap-analyse prompts om te bepalen waar je je inspanningen op moet richten. Dit voorkomt dat je tijd verspilt aan het verzamelen van bewijs voor onderdelen die al sterk zijn.

Maak bewijspakketten per maatregel: Organiseer bewijs volgens het Annex A-maatregelnummer, niet per systeem of afdeling. Dit komt overeen met hoe auditors naleving evalueren en maakt het terugvinden van bewijs tijdens de audit sneller.

Oefen met mock-scenario's: Gebruik de mock-audit en interviewvoorbereidings-prompts om oefensessies met je team te houden. Dit bouwt zelfvertrouwen op en identificeert hiaten in het begrip.

Bereid documentatie niet 'overmatig' voor: Auditors verifiëren de implementatie, niet het documentatievolume. Richt je op helder, beknopt bewijs dat de werkelijke werking van de maatregelen aantoont in plaats van het creëren van uitgebreide documentatie die de realiteit mogelijk niet weerspiegelt.

Uploaden en itereren: Upload je bestaande bewijspakketten en vraag "Wat ontbreekt er in dit bewijs voor ISO 27001-maatregel [X]?" Deze gerichte aanpak identificeert specifieke hiaten in plaats van generieke aanbevelingen.

Gerelateerde prompt-bibliotheken

Maak je ISO 27001-implementatie compleet met deze gerelateerde prompt-collecties:

ISO 27001 risicobeoordeling prompts
ISO 27001 beleid en procedure prompts
ISO 27001 gap-analyse prompts (binnenkort beschikbaar)
SOC 2 prompt-bibliotheek

Hulp krijgen

Voor ondersteuning bij audit-voorbereiding:

Leer het auditproces: Bekijk Hoe bereid je je voor op interne ISO 27001-audits met AI
Voorbereiden op certificering: Zie Hoe bereid je je voor op de ISO 27001-certificeringsaudit met AI
Gebruik AI verantwoord: Lees Hoe je ISMS Copilot verantwoord gebruikt voor auditvoorbereiding

Klaar om je voor te bereiden op je audit? Open je ISO 27001-werkruimte op chat.ismscopilot.com en begin met de gap-analyse prompts om je huidige gereedheid te beoordelen.

Was dit nuttig?