ISMS Copilot
ISO 27001 prompt-bibliotheek

ISO 27001 documentatie- en rapportageprompts

Overzicht

Je krijgt toegang tot uitgebreide prompts voor het maken van ISO 27001-documentatie en managementrapportages met behulp van ISMS Copilot, van verplichte ISMS-documentatie tot executive dashboards die de effectiviteit van het beveiligingsprogramma aantonen.

Voor wie is dit bedoeld

Deze prompts zijn ontworpen voor:

  • Compliance-teams die ISO 27001-documentatiebibliotheken opbouwen

  • Security managers die executive rapportages en dashboards maken

  • Consultants die documentatiepakketten voor klanten ontwikkelen

  • Organisaties die bewijsmateriaal voorbereiden voor managementbeoordelingen (management reviews)

Voordat je begint

Documentatieontwikkeling is het meest effectief wanneer je de context behoudt in een speciale ISO 27001 workspace. Upload je risicobeoordeling, beleid en implementatiedetails om documentatie te genereren die je werkelijke ISMS nauwkeurig weerspiegelt.

Pro-tip: ISO 27001:2022 vereist specifieke gedocumenteerde informatie. Gebruik deze prompts om ervoor te zorgen dat je alle verplichte documentatie aanmaakt zonder onnodige documentatie toe te voegen die overhead veroorzaakt zonder toegevoegde waarde.

Prompts voor verplichte ISMS-documentatie

Maak een ISMS-toepassingsgebiedverklaring (Clausule 4.3)

"Schrijf een ISMS-toepassingsgebiedverklaring (scope statement) voor ISO 27001:2022 Clausule 4.3. Inclusief: grenzen van de scope (bedrijfsonderdelen, locaties, systemen, inbegrepen processen), specifieke uitsluitingen met rechtvaardiging, interfaces en afhankelijkheden met uitgesloten gebieden, rationale voor de definitie van de scope afgestemd op de organisatie, overwogen externe en interne kwesties (uit de contextanalyse), belanghebbenden en hun vereisten, en de toepasbaarheid van de scope op fysieke en cloudinfrastructuur. Zorg dat de scope specifiek, meetbaar en auditeerbaar is voor [organisatiebeschrijving]."

Voorbeeld: "Schrijf een ISMS-toepassingsgebiedverklaring voor een fintech-bedrijf met 150 werknemers verspreid over EU- en VS-kantoren. De scope omvat: het klantgerichte betalingsplatform, interne systemen, cloudinfrastructuur (AWS), maar sluit fysieke productontwikkeling en retailpartnerships uit."

Documenteer context en belanghebbenden (Clausule 4.1-4.2)

"Maak ISMS-contextdocumentatie voor ISO 27001:2022 Clausules 4.1-4.2. Documenteer: externe factoren die de informatiebeveiliging beïnvloeden (regelgeving, concurrentiedreigingen, technologische trends, supply chain risico's), interne factoren (bedrijfsstrategie, organisatiecultuur, middelenbeperkingen, legacy-systemen), belanghebbenden (klanten, toezichthouders, werknemers, leveranciers, partners, aandeelhouders), vereisten van belanghebbenden (beveiligingsverwachtingen, compliance-verplichtingen, contractuele afspraken) en hoe de ISMS-scope deze contexten adresseert. Presenteer dit als een contextanalyserapport."

Definieer rollen en verantwoordelijkheden (Clausule 5.3)

"Documenteer organisatorische rollen en verantwoordelijkheden voor het ISMS volgens ISO 27001:2022 Clausule 5.3. Maak: een ISMS-governancestructuur (rapportagelijnen, commissies), roldefinities met beveiligingsverantwoordelijkheden (directie, CISO/beveiligingsteam, IT-beheer, HR, juridisch, business units, alle medewerkers), bevoegdheid en verantwoordingsplicht voor elke rol, een RACI-matrix voor kernactiviteiten van het ISMS (risicobeoordeling, implementatie van beheersmaatregelen, incidentrespons, audits, management review) en integratie met de algemene organisatiestructuur. Zorg dat de verantwoordelijkheid van het management duidelijk is."

Documenteer methodologie voor risicobeoordeling (Clausule 6.1.2)

"Maak documentatie voor de methodologie van risicobeoordeling voor ISO 27001:2022 Clausule 6.1.2. Inclusief: benadering en principes van risicobeoordeling, methodologie voor asset-identificatie, benadering van dreigings- en kwetsbaarheidsanalyse, risicocriteria (waarschijnlijkheidsschaal met definities, impact-schaal over meerdere dimensies, risico-evaluatiematrix en acceptatiedrempels), berekeningsmethode (formule, kwalitatief vs. kwantitatief), frequentie en triggers van risicobeoordelingen, rollen en verantwoordelijkheden, en hoe de methodologie zorgt voor consistente, herhaalbare en vergelijkbare resultaten. Verzeker dat de methodologie gedocumenteerd is voordat de eigenlijke risicobeoordeling wordt uitgevoerd."

Maak de Verklaring van Toepasselijkheid (Clausule 6.1.3d)

"Genereer een Verklaring van Toepasselijkheid (Statement of Applicability - SoA) voor ISO 27001:2022 voor alle 93 Annex A beheersmaatregelen. Voor elke maatregel: nummer en titel van de maatregel, status van toepasbaarheid (Toepasbaar, Niet toepasbaar, Gedeeltelijk toepasbaar), rechtvaardiging op basis van risicobeoordeling (verwijs naar specifieke risico-ID's), implementatiestatus en -aanpak, verantwoordelijke eigenaar, beschikbaar bewijsmateriaal voor auditverificatie en uitsluitingsrechtvaardiging voor niet-toepasbare maatregelen. Organiseer op Annex A-thema's (Organisatorisch, Personen, Fysiek, Technologisch). Zorg dat elke beslissing over een beheermaatregel duidelijk onderbouwd is."

Documenteer beveiligingsdoelstellingen (Clausule 6.2)

"Definieer en documenteer informatiebeveiligingsdoelstellingen voor ISO 27001:2022 Clausule 6.2. Voor elke doelstelling: specifiek te behalen beveiligingsresultaat, afstemming op bedrijfsdoelen en risicobehandeling, meetbare criteria en streefwaarden (KPI's), benodigde middelen, verantwoordelijke eigenaar, tijdlijn voor realisatie, monitoring- en meetmethode en rapportagefrequentie. Zorg dat doelstellingen SMART zijn (Specifiek, Meetbaar, Acceptabel, Realistisch, Tijdsgebonden) en de belangrijkste risicogebieden aanpakken die in de risicobeoordeling zijn geïdentificeerd."

Prompts voor managementsysteemdocumentatie

Maak een ISMS-handboek of overzicht

"Schrijf een ISMS-handboek dat een overzicht geeft van ons managementsysteem voor informatiebeveiliging. Inclusief: doel en scope van het ISMS, organisatiecontext en belanghebbenden, ISMS-governancestructuur, toepassingsgebiedverklaring, informatiebeveiligingsbeleid, benadering van risicomanagement, overzicht van het control-framework, documentatiestructuur en referenties, rollen en verantwoordelijkheden, en de ISMS-levenscyclus (Plan-Do-Check-Act). Doelgroep: management, auditors en belanghebbenden die een ISMS-overzicht nodig hebben. Lengte: 10-15 pagina's."

Ontwerp een documentbeheersysteem (Clausule 7.5)

"Maak een procedure voor document- en registratiebeheer voor ISO 27001:2022 Clausule 7.5. Definieer: documentcategorieën en classificatie, documentlevenscyclus (creatie, beoordeling, goedkeuring, distributie, herziening, archivering, verwijdering), versiebeheer en het bijhouden van wijzigingen, goedkeuringsbevoegdheden per documenttype, documentdistributie en toegangsbeheer, beoordelingsschema's en triggers, bewaartermijnen per type registratie, opslag en bescherming van registraties, en het documentmanagementsysteem of repository. Zorg dat gecontroleerde documenten identificeerbaar zijn en beschermd tegen ongeautoriseerde wijzigingen."

Bouw competentie- en bewustwordingsregistraties (Clausule 7.2-7.3)

"Maak een documentatiesysteem voor competentie en bewustwording volgens ISO 27001:2022 Clausules 7.2-7.3. Documenteer: competentie-eisen per functie (opleiding, ervaring, vaardigheden, training), competentiebeoordeling en verificatieverslagen, trainingsplannen en curricula, bewijzen van voltooide trainingen, bewijsmateriaal van het security awareness-programma, meting van de effectiviteit van bewustwording, hiaten in competenties en ontwikkelingsplannen, en competentieverificatie van contractanten/derden. Zorg dat je voor alle ISMS-rollen de juiste competentie kunt aantonen."

Prompts voor operationele documentatie

Maak operationele planningsdocumenten (Clausule 8.1)

"Ontwikkel documentatie voor operationele planning en beheersing voor ISO 27001:2022 Clausule 8.1. Maak: een ISMS-implementatieprojectplan (fasen, mijlpalen, middelen), een roadmap voor de implementatie van beheersmaatregelen, een risicobehandelplan met tijdlijnen en eigenaren, toewijzing van middelen (budget, personeel, tools), integratie met bedrijfsprocessen, prestatiecriteria en acceptatie, en een verandermanagementbenadering voor de uitrol van het ISMS. Zorg dat plannen adresseren hoe beveiligingsdoelstellingen worden behaald en risicobehandeling wordt uitgevoerd."

Documenteer implementatie van beheersmaatregelen

"Maak een gestandaardiseerd sjabloon voor de implementatie van beheersmaatregelen. Documenteer voor elke geïmplementeerde Annex A-maatregel: doelstelling en vereiste, implementatieaanpak (hoe we aan de eis voldoen), technische en operationele details, betrokken systemen en tools, rollen en verantwoordelijkheden, operationele procedures, monitoring en meting, bewijsstukken, implementatiedatum en bekende beperkingen of afwijkingen met compenserende maatregelen. Gebruik dit sjabloon om alle 93 Annex A-maatregelen consistent te documenteren."

Bouw een runbook-bibliotheek

"Maak operationele runbooks voor security operations die de ISO 27001-beheersmaatregelen dekken. Voor processen [bijv. 'gebruikersinterface-provisioning', 'incidentrespons', 'herstel van back-ups'], voeg toe: procesoverzicht en trigger, stapsgewijze instructies met beslispunten, rollen en verantwoordelijkheden, benodigde tools en systeemtoegang, verwachte tijdsbestekken en SLA's, kwaliteitscontroles en verificatie, escalatieprocedures, gids voor probleemoplossing, gerelateerde processen en overdrachten, en bij te houden documentatie/registraties. Geformatteerd zodat operationele teams dit consistent kunnen uitvoeren."

Prompts voor risicomanagementdocumentatie

Maak een risicoregister

"Genereer een uitgebreid risicoregister voor ISO 27001:2022. Neem kolommen op voor: Risico-ID, Getroffen Asset, Asset-eigenaar, Dreigingsbeschrijving, Kwetsbaarheid, Bestaande Beheersmaatregelen, Waarschijnlijkheid (1-5 met rechtvaardiging), Impact (1-5 met rechtvaardiging), Inherent Risicoscore, Behandelingsoptie (mitigeren/vermijden/overdragen/accepteren), Geselecteerde Maatregelen (Annex A-referenties), Implementatiestatus, Restrisicoscore, Risico-eigenaar, Beoordelingsdatum en Goedkeuringsstatus. Vul dit met risico's die zijn geïdentificeerd in onze risicobeoordeling voor [organisatie/scope]. Voeg samenvattende statistieken en highlights van hoge risico's toe."

Documenteer risicobehandelplan

"Maak een risicobehandelplan waarin wordt vastgelegd hoe we geïdentificeerde risico's aanpakken volgens ISO 27001:2022 Clausule 6.1.3. Voor elk risico dat behandeling vereist: risicobeschrijving en huidige score, geselecteerde behandeloptie met rationale, specifieke te implementeren maatregelen (verwijs naar Annex A-maatregelen), implementatieaanpak en mijlpalen, verantwoordelijke eigenaar en benodigde middelen, streefdatum voor voltooiing, verwacht restrisico, succescriteria en goedkeuringshandtekeningen. Organiseer op prioriteit met kritieke en hoge risico's eerst. Voeg een samenvatting toe van de behandelstrategie en de benodigde middelen."

Bouw een risico-acceptatieregister

"Maak een risico-acceptatieregister voor risico's die we verkiezen te accepteren in plaats van te behandelen. Voor elk geaccepteerd risico: risicobeschrijving en score, zakelijke rechtvaardiging voor acceptatie (waarom behandeling niet wordt voortgezet), bevestiging dat het risico binnen de risico-appetijt valt, compenserende maatregelen of monitoring die aanwezig zijn, voorwaarden die een herbeoordeling zouden triggeren, goedkeuring van acceptatie (welke directieleden wanneer hebben goedgekeurd), geldigheidsduur van de acceptatie (wanneer te herzien) en geaccepteerde potentiële gevolgen. Zorg dat alle acceptaties de juiste managementautorisatie hebben."

Prompts voor prestatie- en monitoringdocumentatie

Definieer ISMS-prestatiestatistieken (Clausule 9.1)

"Ontwerp een raamwerk voor ISMS-monitoring en -meting voor ISO 27001:2022 Clausule 9.1. Definieer: wat te meten (beveiligingsdoelstellingen, effectiviteit van maatregelen, procesprestaties), hoe te meten (metrieken, KPI's, meetmethoden), wanneer te meten (frequentie, timing), wie meet (verantwoordelijke rollen), hoe te analyseren (trends, drempels, benchmarks), hoe te rapporteren (dashboards, rapporten, management review) en triggers voor corrigerende maatregelen. Maak een bibliotheek met metrieken over: risicotrends, incidentmetrieken, kwetsbaarheidsbeheer, toegangsbeheer, back-upsucces, voltooiing van trainingen, auditbevindingen en de effectiviteit van beheersmaatregelen."

Maak een KPI-dashboard

"Ontwerp een security KPI-dashboard voor executive rapportage. Inclusief categorieën voor metrieken: Beveiligingsstatus (risicoscore-trends, implementatiestatus van beheersmaatregelen, auditbevindingen), Operationele Prestaties (incidentresponstijd, remediëringstijd van kwetsbaarheden, succespercentage back-ups, patch-compliance), Compliancestatus (voltooiing trainingen, bevestiging van beleid, voltooide toegangsbeoordelingen), Dreigingsbeheer (beveiligingsgebeurtenissen, detecties van dreigingen, geblokkeerde aanvallen) en Bedrijfsimpact (beveiligingsincidenten die downtime veroorzaken, risico op datalekken, status van wettelijke compliance). Voor elke metriek: huidige waarde, doel, trend en statusindicator (rood/geel/groen)."

Documenteer het interne auditprogramma (Clausule 9.2)

"Maak documentatie voor het interne auditprogramma voor ISO 27001:2022 Clausule 9.2. Inclusief: auditdoelstellingen en scope (alle ISMS-gebieden gedurende de auditcyclus), jaarlijks auditschema, auditcriteria (ISO 27001:2022 eisen), selectie van auditors en onafhankelijkheidseisen, auditmethodologie (interviews, documentbeoordeling, technische tests, steekproeven), auditplanningsproces, procedure voor audituitvoering, classificatie van afwijkingen (major, minor, observatie), formaat en distributie van auditrapportage, opvolging van corrigerende maatregelen, procedures voor follow-up audits en competentie-eisen voor auditors."

Maak een sjabloon voor auditrapportage

"Ontwerp een sjabloon voor een intern auditrapport voor ISO 27001 compliance-audits. Voeg de volgende secties toe: managementsamenvatting (algemene beoordeling, belangrijkste bevindingen, conclusie), auditdetails (scope, criteria, datum, auditors, geauditeerden), auditmethodologie, beoordeelde gebieden met bevindingen, geconstateerde conformiteiten en goede praktijken, afwijkingen per ernstniveau met bewijs, observaties en aanbevelingen, vereisten voor corrigerende maatregelen, conclusie en mening over de ISMS-effectiviteit en verzendlijst. Zorg dat rapporten de compliancestatus en vereiste acties duidelijk communiceren."

Prompts voor management review documentatie

Maak een agenda voor de managementbeoordeling (Clausule 9.3)

"Ontwerp een agenda voor de management review meeting voor ISO 27001:2022 Clausule 9.3, die alle vereiste input en output dekt. Agendapunten: status van acties uit eerdere beoordelingen, wijzigingen in externe en interne factoren, feedback over ISMS-prestaties (metrieken, KPI's), behalen van informatiebeveiligingsdoelstellingen, resultaten van risicobeoordeling en -behandeling, auditresultaten (intern en extern), afwijkingen en corrigerende maatregelen, resultaten van monitoring en meting, feedback van belanghebbenden, verbetermogelijkheden, geschiktheid van middelen en benodigde wijzigingen aan het ISMS. Wijs tijd toe voor elk punt en specificeer de vereiste presentatoren en materialen."

Bereid een management review pakket voor

"Maak een presentatiepakket voor de managementbeoordeling voor [kwartaal/periode]. Inclusief: samenvatting van de ISMS-status, security metrics dashboard (trends van de afgelopen 12 maanden), belangrijke prestaties en successen, samenvatting van interne audits en status van bevindingen, externe auditresultaten (indien van toepassing), wijzigingen in de risicobeoordeling (nieuwe risico's, gewijzigde scores), samenvatting van beveiligingsincidenten en geleerde lessen, implementatiestatus van beheersmaatregelen, voortgang van beveiligingsdoelstellingen, compliancestatus (wettelijk, contractueel), behoefte aan middelen en budget, voorgestelde verbeterinitiatieven en benodigde besluiten van het management. Mik op een presentatie van 30-45 minuten."

Documenteer uitkomsten van de managementbeoordeling

"Maak notulen voor de management review meeting waarin de uitkomsten worden vastgelegd volgens ISO 27001:2022 Clausule 9.3. Leg vast: datum van de vergadering en aanwezigen, besproken agendapunten, belangrijkste discussies en geuite zorgen, besluiten van het management over ISMS-verbetering, besluiten over de geschiktheid van middelen, besluiten over wijzigingen in beveiligingsdoelstellingen, besluiten over wijzigingen in de ISMS-scope of het beleid, goedgekeurde verbetermogelijkheden, toegewezen actiepunten met eigenaren en deadlines en goedkeuringshandtekeningen. Zorg dat de notulen de betrokkenheid van het management en continue verbetering aantonen."

Prompts voor incident- en probleemdocumentatie

Maak een sjabloon voor incidentregistratie

"Ontwerp een sjabloon voor de registratie van beveiligingsincidenten voor ISO 27001:2022 beheersmaatregel A.5.24-A.5.28. Inclusief velden voor: incident-ID en classificatie, datum/tijd van detectie en bron, beschrijving van het incident en getroffen systemen/data, ernstniveau en impactbeoordeling, incidentresponsteam en rollen, genomen inperkingsmaatregelen, stappen voor eliminatie, herstelacties, verzameld bewijsmateriaal, root cause analyse, geleerde lessen, preventieve maatregelen, communicatielogboek (wie is wanneer geïnformeerd), wettelijke rapportage (indien nodig), datum van sluiting en goedkeuring en voltooiing van de post-incident review. Zorg dat het sjabloon voldoet aan de eisen voor melding van datalekken."

Bouw een probleembeheerlogboek

"Maak een probleembeheerregister om terugkerende problemen en systemische zwakheden bij te houden. Voor elk probleem: probleem-ID en beschrijving, gerelateerde incidenten (incident-ID's), root cause analyse, getroffen systemen en processen, workarounds of tijdelijke oplossingen, voorgestelde definitieve oplossing, prioriteit en impact, eigenaar en status, streefdatum voor oplossing en verificatieaanpak. Gebruik probleembeheer om patronen te identificeren die systemische verbeteringen vereisen, in plaats van herhaaldelijk symptomen te bestrijden."

Prompts voor change- en releasedocumentatie

Documenteer records voor wijzigingsbeheer

"Maak een sjabloon voor wijzigingsbeheer (change records) voor ISO 27001:2022 maatregel A.8.32. Inclusief: change-ID en aanvrager, beschrijving en rechtvaardiging van de wijziging, getroffen systemen, wijzigingscategorie (standaard, normaal, spoed), risicobeoordeling (impact, waarschijnlijkheid, mitigatie), goedkeuringsworkflow en goedkeurders, implementatieplan en planning, testvereisten, rollback-plan, resultaten van de implementatie, post-implementation review en gerelateerde wijzigingen of afhankelijkheden. Zorg dat change-records een audit-trail bieden van alle wijzigingen die invloed hebben op het ISMS."

Bouw releasedocumentatie

"Maak een releasedocumentatiepakket voor significante systeemwijzigingen. Inclusief: release-overzicht en doelstellingen, inbegrepen functies en wijzigingen, beoordeling van beveiligingsimplicaties, uitgevoerde tests (functioneel, beveiliging, prestatie), implementatieplan en tijdlijn, rollback-procedures, bekende problemen en beperkingen, communicatie en training voor gebruikers, ondersteuningsplan en succescriteria. Garandeer beveiligingstesten en goedkeuring vóór de productie-release."

Prompts voor compliance en juridische documentatie

Maak een register voor compliance-verplichtingen

"Bouw een inventaris van compliance-verplichtingen voor ISO 27001:2022 maatregel A.5.31. Documenteer: wettelijke vereisten (privacywetgeving, melding datalekken, sectorale regelgeving), regelgevende eisen (AVG/GDPR, HIPAA, PCI DSS, SOX), contractuele verplichtingen (beveiligingseisen van klanten, SLA's), organisatorische toezeggingen (certificeringen, publieke verklaringen), voor elk: beschrijving en bron, toepasbaarheid (welke systemen/processen), verantwoordelijke eigenaar, methode voor compliance-verificatie, bewijs van compliance, laatste beoordelingsdatum en resultaat en volgende beoordelingsdatum. Zorg voor een volledige dekking van alle verplichtingen."

Documenteer verwerkingsactiviteiten (AVG/GDPR Artikel 30)

"Maak een Register van Verwerkingsactiviteiten (RoPA) volgens AVG Artikel 30 en ISO 27001:2022 maatregel A.5.33. Voor elke verwerkingsactiviteit: doel van de verwerking, verwerkte datacategorieën (soorten persoonsgegevens), categorieën betrokkenen, ontvangers of categorieën ontvangers, internationale doorgifte (mechanisme, landen), bewaartermijnen, technische en organisatorische beveiligingsmaatregelen en de juridische basis voor verwerking. Houd een bijgewerkt RoPA bij als verplichte documentatie die AVG-compliance en privacy-by-design aantoont."

Bouw een datalekregister

"Maak een datalekregister voor AVG-compliance en ISO 27001:2022 maatregel A.5.26. Voor elk incident of vermoedelijk lek: incident-ID en datum van ontdekking, beschrijving van het lek en de getroffen gegevens, aantal getroffen betrokkenen, beoordeling van het lek (moet het gemeld worden aan de autoriteit? moeten betrokkenen geïnformeerd worden?), tijdlijn voor melding (binnen 72 uur aan de autoriteit, zonder onnodige vertraging aan individuen), verzonden meldingen en data, acties naar aanleiding van het lek, bronoorzaak, preventieve maatregelen, dossiernummer van de toezichthouder en bewaartermijn van het dossier (minimaal 3 jaar onder de AVG). Zelfs niet-meldingsplichtige lekken moeten worden gedocumenteerd."

Prompts voor leveranciers- en contractdocumentatie

Maak een leveranciersinventaris

"Bouw een inventaris van leveranciers en derden voor ISO 27001:2022 maatregelen A.5.19-A.5.23. Voor elke leverancier: naam en contactpersoon, geleverde diensten, niveau van datatoegang (geen, beperkt, uitgebreid), verleende systeemtoegang, risicoclassificatie (hoog/medium/laag), contractdetails (startdatum, verlengingsdatum, voorwaarden), datum en resultaten van beveiligingsbeoordeling, behaalde certificeringen (ISO 27001, SOC 2), verzekeringsdekking, laatste beoordelingsdatum, compliancestatus en escalatiecontacten. Zorg voor een actuele inventaris voor risicomanagement van derden."

Documenteer leveranciersbeoordelingen

"Maak documentatie voor de beveiligingsbeoordeling van leveranciers. Documenteer voor leverancier [naam]: datum en methodologie van de beoordeling, antwoorden op vragenlijsten, beoordeeld bewijsmateriaal (beleid, SOC 2-rapport, ISO-certificaat, resultaten penetratietest), evaluatie van beveiligingsbeheersing per categorie (toegangsbeheer, encryptie, incidentrespons, bedrijfscontinuïteit), geïdentificeerde risico's en hiaten, vereiste corrigerende acties, compenserende maatregelen als hiaten worden geaccepteerd, algemene risicoclassificatie, conclusie van de beoordeling (goedkeuren/goedkeuren onder voorwaarden/afwijzen), goedkeuringshandtekeningen en de datum voor de volgende beoordeling. Bewaar dit als bewijsmateriaal voor audits."

Prompts voor training en bewustwording

Maak een trainingscurriculum

"Ontwerp een curriculum voor security awareness training voor ISO 27001:2022 maatregel A.6.3. Inclusief: basis-beveiligingsbewustwordingstraining (onderwerpen: wachtwoordbeveiliging, phishing, social engineering, acceptabel gebruik, incidentrapportage, fysieke beveiliging, dataclassificatie, beveiliging bij werken op afstand), op rollen gebaseerde trainingstracks (ontwikkelaars: veilig programmeren; admins: bevoorrechte toegang; managers: security leadership; alle personeel: awareness), methoden voor trainingslevering (e-learning, klassikaal, video's), duur en frequentie van de training, beoordelingsmethoden (toetsen, certificeringen) en meting van de trainingseffectiviteit."

Bouw een systeem voor trainingsregistratie

"Maak een managementsysteem voor trainingsregistraties. Houd voor elke medewerker bij: medewerker-ID en naam, functie, vereiste training (gebaseerd op rol), voltooide training (cursusnaam, datum, score), trainingsstatus (actueel, verlopen, aanstaand), vervaldatums van certificeringen, toegewezen aanvullende trainingen (bijv. na falen in phishing-tests of beleidsschendingen) en bevestigingen van training. Genereer rapportages over: trainingscompliance per afdeling, achterstallige trainingen, aanstaande verlengingen en effectiviteitsmetrieken (scores voor/na de test, weerbaarheid tegen phishing)."

Prompts voor executive rapportage en communicatie

Maak een maandelijks beveiligingsrapport

"Ontwerp een maandelijks beveiligingsrapport voor de directie. Voeg secties toe voor: managementsamenvatting (hoogtepunten van de maand, belangrijkste zorgen, benodigde acties), dashboard met security metrics (incidenten, kwetsbaarheden, compliance), risico-updates (nieuwe risico's, veranderde scores, voortgang risicobehandeling), beveiligingsincidenten en respons, highlights uit threat intelligence, implementatiestatus van beheersmaatregelen, compliancestatus (certificeringen, audits, regelgeving), beveiligingsinitiatieven en projecten, status van budget en middelen, en focuspunten voor de komende tijd. Beperk dit tot 3-5 pagina's met visualisaties."

Genereer een briefing voor de Raad van Bestuur

"Maak een driemaandelijkse beveiligingsbriefing voor de Raad van Bestuur. Inclusief: het cyberrisicolandschap voor onze sector, beoordeling van de beveiligingsstatus van de organisatie, belangrijke beveiligingsinvesteringen en ROI, grote incidenten en geleerde lessen, status van compliance en regelgeving, risico's van derden en de toeleveringsketen, beveiligingsstrategie en roadmap, benodigde middelen en budget, opkomende dreigingen en paraatheid, en strategische aanbevelingen die input of goedkeuring van het bestuur vereisen. Focus op bedrijfsrisico's en strategische beslissingen, minimaliseer technisch jargon. Mik op een presentatie van 15-20 minuten."

Ontwerp communicatie voor belanghebbenden

"Maak een beveiligingscommunicatieplan voor verschillende groepen belanghebbenden. Definieer voor elke groep (directie, werknemers, klanten, partners, toezichthouders): communicatiedoelstellingen, kernboodschappen, frequentie van communicatie, communicatiekanalen, welke informatie te delen vs. achter te houden, triggers voor escalatie bij urgente communicatie en sjablonen voor communicatie (beveiligingsnieuwsbrieven, incidentmeldingen, beleidsupdates, bewustwordingscampagnes). Zorg voor consistente en passende berichtgeving voor elk publiek."

Prompts voor continue verbetering

Maak een verbeterregister (Clausule 10)

"Bouw een register voor continue verbetering voor ISO 27001:2022 Clausule 10. Houd hierin bij: beschrijving en bron van de verbetermogelijkheid (auditbevinding, les uit incident, risicobeoordeling, feedback van medewerkers, analyse van metrieken), business case en verwachte voordelen, prioriteit en schatting van de inspanning, toegewezen eigenaar, implementatieplan, status, voltooiingsdatum, verificatie van effectiviteit en geleerde lessen. Gebruik het register om een systematische aanpak voor ISMS-verbetering aan te tonen en verbeteringen te volgen van identificatie tot implementatie en verificatie."

Documenteer het proces voor corrigerende maatregelen

"Maak een procedure voor corrigerende maatregelen en een trackingsysteem voor ISO 27001:2022 Clausule 10.1. Voor elke afwijking: beschrijving en bewijs van de afwijking, bron (audit, incident, beoordeling), niet-nageleefde ISO-eis, impact en risico, root cause analyse (5 whys, visgraatdiagram), onmiddellijke correctie (het symptoom verhelpen), corrigerende maatregel (de bronoorzaak aanpakken), implementatieplan en eigenaar, streefdatum voor voltooiing, methode voor effectiviteitsverificatie, statusregistratie en goedkeuring van sluiting. Zorg dat corrigerende maatregelen herhaling voorkomen en niet alleen symptomen bestrijden."

Tips om deze prompts effectief te gebruiken

Documenteer wat je doet, doe wat je documenteert: Zorg dat de documentatie de werkelijke praktijk weerspiegelt. Auditors controleren of de implementatie overeenkomt met de documentatie. Documenteer eerst de realiteit, ga dan verbeteren en update de documentatie om dit te volgen.

Maak sjablonen, geen individuele documenten: Gebruik prompts om herbruikbare sjablonen te maken (risicorecord, incidentrecord, auditrapport) en vul de sjablonen vervolgens met de werkelijke gegevens. Dit zorgt voor consistentie en bespaart tijd.

Bouw documentatie geleidelijk op: Probeer niet alle documentatie in één keer te maken. Begin met de verplichte onderdelen (scope, risicobeoordeling, SoA) en breid daarna uit naar operationele documentatie naarmate maatregelen worden geïmplementeerd.

Voorkom documentatie-overload: ISO 27001:2022 vereist minder documentatie dan de 2013-versie. Focus op wat verplicht is en wat noodzakelijk is voor de werking van de beheersmaatregelen. Overtollige documentatie zorgt voor een onderhoudslast zonder waarde voor compliance.

Versiebeheer en gepaste goedkeuring: Niet alle documenten hebben een formele goedkeuring op directieniveau nodig. Scope, beleid en SoA vereisen goedkeuring van het management. Operationele procedures kunnen worden goedgekeurd door een technische eigenaar. Sjablonen en formulieren hebben vaak helemaal geen officiële goedkeuring nodig.

Gerelateerde prompt-bibliotheken

Voltooi je ISO 27001-implementatie met deze gerelateerde verzamelingen prompts:

Hulp krijgen

Voor ondersteuning bij documentatie en rapportage:

Klaar om je documentatie te bouwen? Open je ISO 27001 workspace op chat.ismscopilot.com en begin met de verplichte documentatie met de bovenstaande prompts.

Was dit nuttig?