ISO 27001 implementatie-prompts voor beheersmaatregelen
Overzicht
U ontdekt praktische prompts voor de implementatie van ISO 27001:2022 Annex A beheersmaatregelen met behulp van ISMS Copilot, van het ontwerpen van technische configuraties tot het creëren van operationele workflows die een effectieve implementatie van beveiligingsmaatregelen aantonen.
Voor wie is dit bedoeld
Deze prompts zijn ontworpen voor:
IT- en beveiligingsteams die Annex A beheersmaatregelen implementeren
Systeembeheerders die beveiligingsmaatregelen configureren
DevOps-engineers die beveiliging in de infrastructuur inbouwen
Compliance-professionals die de implementatie van beheersmaatregelen documenteren
Voordat u begint
De implementatie van beheersmaatregelen is het meest effectief wanneer u uw risicobeoordeling al hebt voltooid en uw beleid en procedures hebt opgesteld. Deze prompts helpen u vereisten te vertalen naar feitelijke technische en operationele implementaties.
Pro tip: Pas prompts aan met uw specifieke technologie-stack (cloudprovider, identiteitssysteem, SIEM-tool, etc.) voor implementatiebegeleiding die is afgestemd op uw omgeving in plaats van generieke aanbevelingen.
Prompts voor organisatorische beheersmaatregelen (A.5)
Informatiebeveiligingsrollen ontwerpen (A.5.1-A.5.3)
"Ontwerp de organisatiestructuur voor informatiebeveiligingsrollen volgens ISO 27001:2022 beheersmaatregelen A.5.1-A.5.3. Definieer: governance-structuur voor informatiebeveiliging (comités, rapportagelijnen), rolbeschrijvingen en verantwoordelijkheden (CISO, beveiligingsteam, IT-team, bedrijfseenheden), matrix voor functiescheiding om conflicten te voorkomen, escalatiepaden voor beveiligingsbeslissingen, integratie met de algehele organisatiestructuur, mechanismen voor de demonstratie van managementbetrokkenheid en toewijzing van middelen voor de beveiligingsfunctie. Geschikt voor [bedrijfsgrootte en structuur]."
Beleidbeheersysteem implementeren (A.5.2)
"Ontwerp een beleidbeheersysteem om ons ISO 27001-beleid te onderhouden volgens beheersmaatregel A.5.2. Inclusief: structuur van de beleidsrepository en toegangscontroles, workflow voor de levenscyclus van beleid (concept, beoordeling, goedkeuring, publicatie, intrekking), versiebeheer en het bijhouden van wijzigingen, schema voor beleidsbeoordeling en herinneringen, overlegproces met belanghebbenden, autoriteiten voor beleidgoedkeuring per beleidstype, communicatie van beleid en het bijhouden van erkenningen, beheer van beleidsuitzonderingen en integratie met onboarding van werknemers."
Activabeheer configureren (A.5.9)
"Implementeer een systeem voor activainventarisatie en -beheer voor ISO 27001 beheersmaatregel A.5.9. Ontwerp: methoden voor het ontdekken van activa (geautomatiseerd scannen, handmatige registratie), te volgen activakenmerken (eigenaar, classificatie, locatie, afhankelijkheden, levenscyclusstatus), workflow voor toewijzing van activa-eigendom, proces voor classificatielabeling, mechanismen voor het handhaven van acceptabel gebruik, integratie met CMDB of IT-activabeheer, het volgen van de levenscyclus van activa (van aanschaf tot afvoer) en rapportagedashboards voor toezicht op activa."
Toegangsbeheerraamwerk ontwerpen (A.5.15-A.5.18)
"Ontwerp een uitgebreid raamwerk voor toegangsbeheer voor ISO 27001 beheersmaatregelen A.5.15-A.5.18 met [uw identiteitssysteem, bijv. Azure AD, Okta]. Inclusief: beheer van de identiteitslevenscyclus (provisioning, wijzigingen, deprovisioning), role-based access control (RBAC) model met rollen toegewezen aan functies, workflow voor toegangsaanvragen en -goedkeuring, strategie voor beheer van bevoorrechte toegang, authenticatiemechanismen (SSO, MFA, wachtwoordloos), autorisatiemodellen (RBAC, ABAC), proces en schema voor toegangsbeoordeling en technische implementatie in [uw directorysysteem]."
Voorbeeld: "Ontwerp een uitgebreid raamwerk voor toegangsbeheer voor de beheersmaatregelen A.5.15-A.5.18 met Azure AD met voorwaardelijke toegang. Onze omgeving: 200 gebruikers, SaaS-applicaties, Azure cloudinfrastructuur, werkstations met bevoorrechte toegang voor beheerders."
Prompts voor personeelsbeheersmaatregelen (A.6)
Screeningsproces voor beveiliging opbouwen (A.6.1)
"Creëer een proces voor screening van werknemers en verificatie van de achtergrond voor ISO 27001 beheersmaatregel A.6.1. Definieer: screeningsvereisten op basis van de gevoeligheid van de rol (standaard, verhoogd, bevoorrecht), controles vóór indiensttreding (strafblad, arbeidsverleden, opleiding, referenties, kredietwaardigheid voor financiële rollen), screenings-tijdlijn in het wervingsproces, vereisten voor externe screeningsleveranciers, overwegingen voor internationale kandidaten, triggers voor doorlopende screening (rolwijzigingen, beveiligingsincidenten), toestemming van de kandidaat en naleving van de privacywetgeving, bewaring van gegevens en integratie met de HR-onboarding-workflow."
Programma voor beveiligingsbewustwording implementeren (A.6.3)
"Ontwerp een uitgebreid programma voor beveiligingsbewustwording en -training voor ISO 27001 beheersmaatregel A.6.3. Inclusief: basis-beveiligingsbewustwordingstraining (onderwerpen, leveringsmethode, duur, frequentie), checklist voor beveiligingsoriëntatie van nieuwe medewerkers, rolgebaseerde trainingstrajecten (ontwikkelaars, beheerders, managers, alle medewerkers), phishing-simulatieprogramma (frequentie, moeilijkheidsniveaus, triggers voor herhaalde training), beveiligingscommunicatiestrategie (nieuwsbrieven, waarschuwingen, campagnes), meting van trainingseffectiviteit (quizzen, enquêtes, incidentcorrelatie), integratie van het leermanagementsysteem en het bijhouden en rapporteren van compliance."
Disciplinaire procedure configureren (A.6.4)
"Ontwikkel een disciplinaire procedure voor schendingen van het beveiligingsbeleid volgens ISO 27001 beheersmaatregel A.6.4. Definieer: categorieën van overtredingen en ernstniveaus, onderzoeksprocedures voor vermoedelijke overtredingen, disciplinaire maatregelen per type overtreding (waarschuwing, schorsing, beëindiging), escalatie- en goedkeuringsautoriteiten, documentatievereisten, rechten van werknemers en eerlijk proces, integratie met HR-disciplinaire procedures, privacy en vertrouwelijkheid tijdens onderzoek en communicatieprotocollen voor gevoelige gevallen."
Prompts voor fysieke beheersmaatregelen (A.7)
Fysieke toegangsbeveiliging ontwerpen (A.7.1-A.7.2)
"Ontwerp fysieke beveiligingsmaatregelen voor onze faciliteiten volgens ISO 27001 beheersmaatregelen A.7.1-A.7.2. Inclusief: definitie van de beveiligingsperimeter en fysieke barrières, toegangspunten en toegangsbeheermechanismen (badgelezers, biometrie, sluisdeuren), proces voor bezoekersbeheer (registratie, begeleiding, badge-inname), beveiligingszones en toegangsrestricties (openbaar, medewerker, beperkt, serverruimte), bewakingssystemen (CCTV-plaatsing, opname, bewaring), beveiligingspersoneel en patrouilleprocedures, procedures voor toegang na kantooruren en integratie tussen fysieke en logische toegangssystemen."
Apparatuurbeveiliging implementeren (A.7.7-A.7.8)
"Creëer procedures voor een opgeruimd bureau, een leeg scherm en apparatuurbeveiliging voor ISO 27001 beheersmaatregelen A.7.7-A.7.8. Definieer: vereisten voor een opgeruimd bureau (einde dag, omgang met vertrouwelijk materiaal), beleid voor een leeg scherm (vergrendelingstijd, privacyschermen, monitorpositie), beveiligde opslagvoorzieningen (vergrendelde kasten, kluizen), plaatsing van apparatuur om onbevoegde weergave te voorkomen, beperkingen voor bezoekersruimten, toepasbaarheid op werken op afstand, audit- en compliancecontroles, training en herinneringen voor werknemers en handhavingsmechanismen."
Veilig afvoerproces ontwerpen (A.7.10, A.7.14)
"Implementeer een veilig afvoerproces voor apparatuur en media volgens ISO 27001 beheersmaatregelen A.7.10 en A.7.14. Inclusief: mediatypen binnen de scope (papier, harde schijven, SSD's, USB-sticks, mobiele apparaten, back-uptapes), afvoermethoden per mediatype (versnipperen, demagnetiseren, cryptografische wissing, fysieke vernietiging), verificatieprocedures voor gegevenssanering, vereisten voor certificaten van vernietiging, beheer en toezicht op afvoerleveranciers, tracking van afvoer en auditlogs, workflow voor goedkeuring van afvoer voor gevoelige systemen en milieu- en regelgevingscompliance."
Prompts voor technologische beheersmaatregelen (A.8)
Veilige authenticatie configureren (A.8.5)
"Implementeer veilige authenticatiemaatregelen voor ISO 27001 beheersmaatregel A.8.5 met behulp van [uw identiteitsprovider]. Configureer: inschrijving en handhaving van meervoudige authenticatie (MFA) op basis van het risiconiveau van de gebruiker, authenticatiemethoden (authenticator-apps, hardware tokens, biometrie, SMS als back-up), beleid voor voorwaardelijke toegang (locatie, apparaat, risiconiveau), single sign-on (SSO) voor geïntegreerde applicaties, sessiebeheer (time-out, gelijktijdige sessies), authenticatie van service-accounts, API-authenticatie en -autorisatie, wachtwoordloze authenticatieopties en monitoring van authenticatiefouten en afwijkingen."
Voorbeeld: "Implementeer veilige authenticatie voor beheersmaatregel A.8.5 met Azure AD. Configureer MFA voor alle gebruikers, voorwaardelijke toegang gebaseerd op inlogrisico, apparaatcompliance en locatie. Schakel wachtwoordloos in voor directieleden met behulp van Windows Hello en FIDO2-sleutels."
Beheer van bevoorrechte toegang ontwerpen (A.8.2-A.8.3)
"Implementeer een systeem voor beheer van bevoorrechte toegang (PAM) voor ISO 27001 beheersmaatregelen A.8.2-A.8.3. Ontwerp: inventarisatie en classificatie van bevoorrechte accounts, workflow voor aanvraag en goedkeuring van bevoorrechte toegang (just-in-time toegang), werkstations voor bevoorrechte toegang (PAW's) voor beheertaken, sessie-opname en monitoring voor bevoorrechte activiteiten, wachtwoordkluizen voor bevoorrechte inloggegevens (met [PAM-oplossing]), automatische wachtwoordrotatie, noodprocedures (break-glass), beoordelingen en hercertificering van bevoorrechte toegang en auditlogging van bevoorrechte activiteiten."
Toegangsbeperking implementeren (A.8.1)
"Configureer netwerk- en informatietoegangsbeperkingen voor ISO 27001 beheersmaatregel A.8.1. Implementeer: netwerksegmentatie en microsegmentatie-strategie, firewallregels op basis van het principe van de minste privileges, toegangscontroles op applicatieniveau (authenticatie, autorisatie), datatoegangsbeperkingen op basis van classificatieniveau, mechanismen voor handhaving van het 'need-to-know'-principe, scheiding van ontwikkel-, test- en productieomgevingen, controles voor toegang op afstand (VPN, zero trust, voorwaardelijke toegang) en toegangslogboekregistratie en monitoring voor alle beperkte bronnen."
Beveiliging van informatiesystemen configureren (A.8.9-A.8.11)
"Implementeer configuratiebeheer en hardening voor ISO 27001 beheersmaatregelen A.8.9-A.8.11. Inclusief: beveiligingsbasisconfiguraties voor [uw OS/platformen], onderhoud van de configuration management database (CMDB), hardening-standaarden en checklists, detectie en herstel van configuratie-drift, sjablonen voor veilige configuratie voor nieuwe systemen, regelmatige configuratie-audits, wijzigingsbeheer voor configuratiewijzigingen, back-up en herstel van configuraties en integratie met kwetsbaarheidsbeheer om misconfiguraties te identificeren."
Preventie van datalekken ontwerpen (A.8.12)
"Implementeer beheersmaatregelen voor de preventie van datalekken (DLP) voor ISO 27001 beheersmaatregel A.8.12. Ontwerp: integratie van dataclassificatie (automatische labeling), DLP-beleid voor verschillende datatypen (PII, betaalgegevens, intellectueel eigendom, vertrouwelijk), monitoringkanalen (e-mail, web, USB, cloud-apps, printen), beleidsacties (waarschuwen, blokkeren, versleutelen, in quarantaine plaatsen), gebruikerseducatie voor DLP-meldingen, uitzonderingen op DLP-beleid en goedkeuringsworkflow, incidentrespons voor DLP-schendingen en statistieken voor DLP-effectiviteit en verfijning."
Back-upbeheer implementeren (A.8.13)
"Configureer een back-up- en herstelsysteem voor ISO 27001 beheersmaatregel A.8.13. Implementeer: back-upscope (alle kritieke systemen en gegevens), back-upfrequentie per systeemlaag (continu, elk uur, dagelijks, wekelijks), beleid voor back-upbewaring (GFS - Grandfather-Father-Son), back-upopslag (on-site, off-site, cloud), back-upversleuteling tijdens transport en in rust, verificatie van back-upintegriteit, schema voor hersteltests, geautomatiseerde back-upmonitoring en waarschuwingen en integratie van noodherstel met RTO/RPO-doelstellingen."
Logging en monitoring configureren (A.8.15-A.8.16)
"Implementeer uitgebreide logging en monitoring voor ISO 27001 beheersmaatregelen A.8.15-A.8.16 met behulp van [uw SIEM-tool]. Configureer: logbronnen en eventtypen die verzameld moeten worden (authenticatie, toegang, wijzigingen, beveiligingsevents, fouten), logcentralisatie en aggregatie in SIEM, logbewaring op basis van logtype en wettelijke vereisten, logbeveiliging (integriteit, toegangsbeheer, versleuteling), real-time monitoring en waarschuwingsregels, beveiligings-use-cases en detectielogica, procedures en verantwoordelijkheden voor logbeoordeling, workflows voor incidentonderzoek en monitoringdashboard voor beveiligingsoperaties."
Voorbeeld: "Implementeer logging en monitoring voor beheersmaatregelen A.8.15-A.8.16 met Microsoft Sentinel. Verzamel logs van Azure AD, Office 365, Azure-bronnen, on-prem AD, firewalls en endpoints. Configureer detectie voor brute force, privilege-escalatie, data-exfiltratie en malware."
Cryptografische beheersmaatregelen ontwerpen (A.8.24)
"Implementeer cryptografische beheersmaatregelen voor ISO 27001 beheersmaatregel A.8.24. Configureer: versleuteling voor gegevens in rust (databases, bestandsopslag, back-ups) met behulp van [versleutelingsmethode], versleuteling voor gegevens in transport (TLS 1.2+, goedgekeurde cipher suites), sleutelbeheersysteem (genereren, opslaan, roteren, vernietigen), versleutelingssleutel-escrow voor herstelscenario's, digitale certificaten en PKI-beheer, goedgekeurde cryptografische algoritmen en sleutellengtes, cloudversleuteling (klantbeheerde sleutels vs. providerbeheerde sleutels) en auditing en complianceverificatie van cryptografische beheersmaatregelen."
Kwetsbaarheidsbeheer implementeren (A.8.8)
"Ontwerp een kwetsbaarheidsbeheerprogramma voor ISO 27001 beheersmaatregel A.8.8 met behulp van [uw scan-tools]. Implementeer: schema voor kwetsbaarheidsscans (wekelijkse geauthenticeerde scans voor kritieke systemen, maandelijks voor alle systemen), scancoverage (netwerk, applicaties, containers, cloudinfrastructuur), classificatie van de ernst van kwetsbaarheden en SLA's (kritiek binnen 24 uur, hoog binnen 7 dagen, gemiddeld binnen 30 dagen), patchbeheer-workflow en testen, compenserende maatregelen voor niet-patchbare systemen, afhandeling van kwetsbaarheidsmeldingen, statistieken en rapportage aan het management en integratie met activa- en wijzigingsbeheer."
Veilige ontwikkeling configureren (A.8.25-A.8.31)
"Implementeer een veilige ontwikkelingslevenscyclus voor ISO 27001 beheersmaatregelen A.8.25-A.8.31. Ontwerp: beveiligingsvereisten in het ontwikkelingsproces, threat modeling voor nieuwe functies, veilige codeerstandaarden voor [uw programmeertalen], codebeoordelingsproces met focus op beveiliging, statische applicatiebeveiligingstesten (SAST) in de CI/CD-pijplijn, dynamische testen (DAST) vóór implementatie, scannen van afhankelijkheden en bibliotheken van derden, beveiligingstesten in de QA-fase, beheer van ontwikkel-/testgegevens (datamaskering, synthetische gegevens) en beveiligingscontroles bij productie-implementatie."
Wijzigingsbeheer ontwerpen (A.8.32)
"Implementeer een wijzigingsbeheersysteem voor ISO 27001 beheersmaatregel A.8.32 met behulp van [uw tool voor wijzigingsbeheer]. Configureer: proces voor wijzigingsaanvragen en goedkeuringen, categorisering van wijzigingen (standaard, normaal, spoed), risicobeoordeling voor wijzigingen, proces van de Change Advisory Board (CAB), testvereisten vóór implementatie, implementatievensters en blokkeringsperioden, rollback-procedures en criteria, evaluatie na implementatie, proces voor noodwijzigingen met goedkeuring achteraf en wijzigingsanalyses en statistieken (succespercentage, incidenten veroorzaakt door wijzigingen)."
Prompts voor implementatie van incidentbeheer
Capaciteit voor incidentrespons opbouwen (A.5.24-A.5.28)
"Implementeer een programma voor de respons op beveiligingsincidenten voor ISO 27001 beheersmaatregelen A.5.24-A.5.28. Ontwerp: bronnen voor incidentdetectie (SIEM, EDR, gebruikersrapporten, threat intelligence), classificatie en ernstniveaus van incidenten, structuur van het incidentresponsteam en bereikbaarheidsrooster, playbooks voor incidentrespons per incidenttype (ransomware, datalek, DDoS, insider threat), bewijsmateriaalverzameling en forensische procedures, communicatieplan (interne escalatie, klantmelding, melding aan toezichthouders), incidentregistratie- en case-managementsysteem, beoordeling na het incident en lessen-geleerd-proces, en tabletop-oefeningen en IR-testen."
Detectie van beveiligingsevents configureren (A.8.16)
"Ontwerp de detectie en respons op beveiligingsevents met behulp van [uw SIEM/EDR-tools]. Implementeer: beveiligings-use-cases en detectieregels (authenticatie-afwijkingen, laterale beweging, data-exfiltratie, privilege-escalatie, uitvoering van malware), integratie van threat intelligence, gedragsanalyse en machine learning voor anomaliedetectie, verfijning van waarschuwingen en vermindering van false positives, waarschuwingstriage en onderzoeksworkflow, geautomatiseerde responsacties (account uitschakelen, quarantaine, IP blokkeren), SOC-playbooks voor veelvoorkomende scenario's en het bijhouden en verbeteren van de MTTR (mean time to respond)."
Prompts voor implementatie van bedrijfscontinuïteit
Programma voor bedrijfscontinuïteit ontwerpen (A.5.29-A.5.30)
"Implementeer een programma voor bedrijfscontinuïteit en noodherstel voor ISO 27001 beheersmaatregelen A.5.29-A.5.30. Creëer: business impact analysis (BIA) om kritieke functies te identificeren, recovery time objectives (RTO) en recovery point objectives (RPO) per bedrijfsfunctie, continuïteitsstrategieën (redundantie, failover, workarounds, handmatige processen), alternatieve verwerkingslocaties of cloud-DR, communicatieplannen tijdens storingen, rollen en verantwoordelijkheden van het BC-team, testschema voor het BC-plan (tabletop jaarlijks, volledige test elke 2 jaar), triggers voor planonderhoud en integratie met incidentrespons en crisismanagement."
ICT-continuïteit implementeren (A.8.14)
"Ontwerp ICT-continuïteit en redundantie voor ISO 27001 beheersmaatregel A.8.14. Implementeer: systeemredundantie en hoge beschikbaarheid voor kritieke systemen, geautomatiseerde failover-mechanismen, datareplicatie (synchroon voor kritiek, asynchroon voor anderen), noodherstelsite of cloudregio, RTO- en RPO-verificatie door middel van testen, failback-procedures wanneer de primaire locatie is hersteld, leveranciersredundantie voor kritieke diensten en integratie met back-upherstelprocessen uit beheersmaatregel A.8.13."
Prompts voor implementatie van leveranciersbeheer
Programma voor leveranciersbeveiliging ontwerpen (A.5.19-A.5.23)
"Implementeer een programma voor beveiligingsbeheer van derden voor ISO 27001 beheersmaatregelen A.5.19-A.5.23. Creëer: risicoclassificatie van leveranciers (hoog/gemiddeld/laag gebaseerd op datatoegang en kritikaliteit), proces voor beveiligingsbeoordeling van leveranciers en vragenlijst, beveiligingsvereisten in het inkoopproces, contractuele beveiligingsvereisten (beveiligingsmaatregelen, auditrechten, melding van incidenten, compliance-verplichtingen), beveiligingsverificatie bij onboarding van leveranciers, doorlopende monitoring en prestatiebeoordelingen van leveranciers, toegangsbeheer en beperkingen voor leveranciers, coördinatie van incidentrespons met leveranciers en procedures voor offboarding en teruggave van gegevens van leveranciers."
Beveiliging van clouddiensten configureren (A.5.23)
"Implementeer beveiligingsmaatregelen voor clouddiensten volgens ISO 27001 beheersmaatregel A.5.23 voor [uw cloudproviders]. Behandel: begrip en documentatie van het gedeelde verantwoordelijkheidsmodel, beveiligingsverificatie van cloudproviders (SOC 2, ISO 27001, FedRAMP), cloudspecifieke beveiligingsconfiguraties (IAM, encryptie, netwerk, logging), vereisten voor datasoevereiniteit en -residentie, tools voor cloud security posture management (CSPM), cloud access security broker (CASB) bij gebruik van meerdere SaaS-diensten, consistentie in multi-cloudbeveiliging en coördinatie van incidentrespons met de cloudprovider."
Prompts voor compliance en juridische implementatie
Privacumaatregelen implementeren (A.5.33-A.5.34)
"Ontwerp een privacybeschermingsprogramma voor ISO 27001 beheersmaatregelen A.5.33-A.5.34 en AVG-compliance. Implementeer: proces voor het inwilligen van rechten van betrokkenen (toegang, rectificatie, wissing, overdraagbaarheid), privacy by design in nieuwe projecten en systemen, triggers en proces voor privacy impact assessments (PIA's), toestemmingsbeheer voor marketing en optionele verwerking, registers en inventarisatie van gegevensverwerking, automatisering van gegevensbewaring en -verwijdering, mechanismen voor grensoverschrijvende doorgifte (SCC's, adequaatheidsbesluiten) en verantwoordelijkheden van de functionaris voor gegevensbescherming (FG) of het privacyteam."
Compliancebeheer ontwerpen (A.5.31)
"Implementeer een compliancebeheersysteem voor ISO 27001 beheersmaatregel A.5.31. Creëer: inventarisatie van compliance-verplichtingen (wettelijke, reglementaire, contractuele vereisten), monitoring van compliance en mapping van beheersmaatregelen, schema voor compliancebeoordeling, proces voor het monitoren van wijzigingen in wet- en regelgeving, compliancetraining voor relevant personeel, compliancerapportage aan het management en de directie, compliancerisicobeoordeling, externe complianceverificatie (audits, beoordelingen) en bewaring van gegevens voor compliancebewijs volgens [toepasselijke regelgeving]."
Prompts voor testen en verificatie
Effectiviteitstest voor beheersmaatregelen ontwerpen
"Creëer een programma voor het testen en valideren van beheersmaatregelen om de effectiviteit van Annex A beheersmaatregelen te verifiëren. Voor beheersmaatregel [nummer], ontwerp: testdoelstellingen en scope, testmethodologie (documentbeoordeling, observatie, technische testen, heruitvoering), steekproefaanpak en omvang, testfrequentie (continue monitoring, driemaandelijks, jaarlijks), verwacht bewijs en pass/fail-criteria, testtools en automatisering, vereisten voor onafhankelijkheid van de tester, rapportage van tekortkomingen en herstel, en testdocumentatie voor auditbewijs."
Walkthrough van beheersmaatregel uitvoeren
"Creëer een walkthrough-document voor Annex A beheersmaatregel [nummer en naam]. Inclusief: beschrijving en doel van de beheersmaatregel, verwijzingen naar beleid en procedures, stapsgewijze procesflow (tekst en diagram), rollen en verantwoordelijkheden bij elke stap, betrokken systemen en tools, inputs en outputs, controlepunten en verificaties, uitzonderingen en escalaties, en bewijsmateriaal gegenereerd door de beheersmaatregel. Gebruik dit om personeel te trainen en aan auditors te demonstreren."
Prompts voor integratie en automatisering
Implementatie van beheersmaatregelen automatiseren
"Ontwerp automatisering voor ISO 27001 beheersmaatregel [nummer] met behulp van [uw automatiseringstools, bijv. PowerShell, Terraform, Ansible]. Creëer: doelstellingen en scope van de automatisering, technische implementatieaanpak, automatiseringsscripts of infrastructure-as-code, testen en validatie van automatisering, foutafhandeling en rollback, planning en orkestratie, logging en audittrail van geautomatiseerde acties, handmatige interventiepunten en documentatie voor onderhoud en probleemoplossing van automatisering."
Beveiligingstools integreren
"Ontwerp een integratiestrategie voor beveiligingstools die ISO 27001 beheersmaatregelen ondersteunen. Integreer: identiteitsprovider (AD/Azure AD/Okta), SIEM (Splunk/Sentinel/Chronicle), EDR (CrowdStrike/Defender/SentinelOne), kwetsbaarheidsscanner (Qualys/Rapid7/Tenable), PAM-oplossing, DLP-tool, CASB en ticketingsysteem. Definieer voor elke integratie: datastromen, API-configuraties, waarschuwingsworkflows, automatiseringsmogelijkheden en uniforme dashboardrapportage."
Tips voor effectief gebruik van deze prompts
Specificeer uw tech-stack: Vermeld altijd uw werkelijke tools en platformen in prompts (bijv. "met Azure AD en Intune" in plaats van generiek "met een identiteitsprovider"). Dit levert bruikbare, specifieke implementatiebegeleiding op in plaats van generieke theorie.
Begin met architectuur: Vraag om een algemeen architectuurontwerp voordat u individuele beheersmaatregelen implementeert: "Ontwerp onze beveiligingsarchitectuur ter ondersteuning van ISO 27001 beheersmaatregelen voor [uw omgeving]." Dit zorgt ervoor dat maatregelen samenhangend integreren.
Vraag om implementatiefases: Vraag voor complexe beheersmaatregelen om een gefaseerde implementatie: "Creëer een implementatieplan van 6 maanden voor beheersmaatregel A.8.15-A.8.16 van onze huidige staat [beschrijving] tot volledige compliance." Dit maakt grote projecten beheersbaar.
Valideer technische configuraties: Door AI gegenereerde configuraties moeten worden beoordeeld door technische experts en worden getest in niet-productieomgevingen voordat ze op productiesystemen worden geïmplementeerd. Verkeerde beveiligingsconfiguraties kunnen kwetsbaarheden creëren.
Documenteer terwijl u implementeert: Vraag na de implementatie van een beheersmaatregel: "Maak implementatiedocumentatie voor wat we zojuist hebben geconfigureerd, inclusief architectuur, configuratiedetails, operationele procedures en een gids voor probleemoplossing." Dit legt institutionele kennis vast.
Gerelateerde prompt-bibliotheken
Voltooi uw ISO 27001 implementatie met deze gerelateerde prompt-verzamelingen:
Hulp krijgen
Voor ondersteuning bij de implementatie van beheersmaatregelen:
Begrijp de vereisten: Bekijk de ISO 27001 gids voor risicobeoordeling om te zien welke beheersmaatregelen uw risico's aanpakken
Creëer documentatie: Gebruik de beleids- en procedure-prompts om uw implementaties te documenteren
Gebruik AI verantwoord: Lees Hoe u ISMS Copilot verantwoord gebruikt voor implementatiebegeleiding
Klaar om beheersmaatregelen te implementeren? Open uw ISO 27001-werkruimte op chat.ismscopilot.com en gebruik deze prompts om te beginnen met het implementeren van de beheersmaatregelen die in uw risicobeoordeling zijn geïdentificeerd.