ISMS Copilot
ISO 27001 prompt-bibliotheek

ISO 27001 beleids- en procedure-prompts

Overzicht

U krijgt toegang tot kant-en-klare prompts voor het maken van ISO 27001-beleid en -procedures die klaar zijn voor audit met behulp van ISMS Copilot. Dit omvat alles van algemeen beveiligingsbeleid tot gedetailleerde operationele procedures die de implementatie van Annex A-beheersmaatregelen aantonen.

Voor wie dit is

Deze prompts zijn ontworpen voor:

  • Compliance-teams die ISO 27001-documentatie vanaf nul opstellen

  • Beveiligingsprofessionals die beleid bijwerken naar ISO 27001:2022

  • Consultants die op maat gemaakte documentatie voor klanten maken

  • Organisaties die hun Verklaring van Toepasselijkheid (SoA) voorbereiden

Voordat u begint

De ontwikkeling van beleid en procedures werkt het beste in een speciale ISO 27001-werkruimte. Upload uw bestaande beleid of resultaten van risicobeoordelingen om context te bieden voor relevantere, op maat gemaakte resultaten.

Pro tip: Begin eerst met beleid op hoog niveau en maak vervolgens ondersteunende procedures. Deze top-down benadering zorgt ervoor dat procedures in lijn zijn met de beleidsdoelstellingen en maakt het auditspoor duidelijker.

Prompts voor informatiebeveiligingsbeleid

Uitgebreid beveiligingsbeleid maken

"Schrijf een uitgebreid informatiebeveiligingsbeleid voor een [sector] organisatie met [aantal] medewerkers dat voldoet aan ISO 27001:2022 clausule 5.2. Neem secties op voor: doel en reikwijdte, beleidsverklaring en beveiligingsdoelstellingen, rollen en verantwoordelijkheden (management, medewerkers, IT), nalevingsvereisten (wettelijk, regelgevend, contractueel), gevolgen van niet-naleving, proces voor beleidsevaluatie en -bijwerking, en goedkeurings-/ingangsdatum. Doelgroep: alle medewerkers. Toon: helder, gezaghebbend, toegankelijk voor niet-technische lezers."

Voorbeeld: "Schrijf een uitgebreid informatiebeveiligingsbeleid voor een fintech SaaS-organisatie met 120 medewerkers dat voldoet aan ISO 27001:2022 clausule 5.2. Neem onze specifieke wettelijke vereisten op: PCI-DSS, SOC 2, AVG. Richt u op onze diverse doelgroep, waaronder ontwikkelaars, klantenservice en directie."

Beveiligingsdoelstellingen definiëren die aansluiten bij de business

"Definieer meetbare informatiebeveiligingsdoelstellingen voor ISO 27001:2022 die aansluiten bij onze bedrijfsdoelen: [lijst 3-5 bedrijfsdoelen]. Geef voor elke doelstelling: specifiek beveiligingsresultaat, meetbare criteria (KPI's), streefwaarden, tijdlijn, verantwoordelijke eigenaar en hoe het de bedrijfsdoelen en risicoreductie ondersteunt."

Beleid voor acceptabel gebruik (AUP) maken

"Stel een beleid voor acceptabel gebruik op over het gebruik door werknemers van IT-middelen, waaronder: toegestaan gebruik van bedrijfssystemen en -gegevens, verboden activiteiten (specifieke voorbeelden), grenzen voor persoonlijk gebruik, richtlijnen voor e-mail- en internetgebruik, social media-beleid, vereisten voor werken op afstand, BYOD (Bring Your Own Device)-regels, verwachtingen op het gebied van monitoring en privacy, en gevolgen van schendingen. Naleving van ISO 27001:2022 beheersmaatregel A.5.10 Acceptabel gebruik van informatie en andere geassocieerde activa."

Beleid voor dataclassificatie ontwikkelen

"Maak een beleid voor dataclassificatie en -behandeling waarin classificatieniveaus worden gedefinieerd: [lijst uw niveaus op, bijv. Openbaar, Intern, Vertrouwelijk, Strikt Vertrouwelijk]. Geef voor elk niveau: een duidelijke definitie en voorbeelden, specificeer behandelingsvereisten (opslag, verzending, verwijdering), definieer vereisten voor toegangsbeheer, vermeld encryptievereisten, vermeld bewaartermijnen en beschrijf verplichtingen voor inbreukmeldingen. Sluit aan bij ISO 27001:2022 beheersmaatregel A.5.12 Classificatie van informatie."

Prompts voor toegangsbeheerbeleid

Toegangsbeheerbeleid schrijven

"Stel een toegangsbeheerbeleid op voor ISO 27001:2022 beheersmaatregelen A.5.15-A.5.18. Neem op: principes (least privilege, need-to-know, functiescheiding), proces voor toewijzing van gebruikerstoegang (aanvraag, goedkeuring, provisioning, beoordeling), authenticatievereisten (wachtwoordbeleid, MFA-mandaat), beheer van bevoorrechte toegang (beheerdersaccounts, escalatieprocedures), frequentie en proces van toegangsbeoordeling, beëindiging van gebruikerstoegang (uitdiensttreding, rolverandering) en beveiliging van toegang op afstand. Specificeer verschillende vereisten voor toegang voor werknemers, contractanten en derden."

Wachtwoord- en authenticatiebeleid maken

"Schrijf een wachtwoord- en authenticatiebeleid dat voldoet aan ISO 27001:2022 beheersmaatregel A.5.17. Neem op: wachtwoordcomplexiteitsvereisten (lengte, karaktertypes), regels voor wachtwoordverloop en historie, drempels voor accountblokkering, vereisten voor multifactorauthenticatie per gebruikersrol en systeemgevoeligheid, beveiliging van wachtwoordopslag en -verzending, procedures voor wachtwoordherstel, verboden praktijken (delen, opschrijven) en uitzonderingen of compenserende maatregelen voor legacy-systemen."

Beleid voor bevoorrecht toegangsbeheer definiëren

"Maak een beleid voor bevoorrecht toegangsbeheer (PAM) voor ISO 27001:2022 beheersmaatregel A.5.18 met betrekking tot: definitie van bevoorrechte toegang (admin, root, superuser), rechtvaardigings- en goedkeuringsproces voor het verlenen van bevoorrechte toegang, sessiebeheer voor verhoogde toegang, monitoring en logging van bevoorrechte accounts, wachtwoordbeheer voor beheerders (vaulting, rotatie), noodtoegangsprocedures (break-glass scenario's) en vereisten voor periodieke hercertificering van toegang."

Prompts voor activabeheerbeleid

Activabeheerbeleid ontwikkelen

"Schrijf een activabeheerbeleid voor ISO 27001:2022 beheersmaatregel A.5.9. Neem op: vereisten voor activa-inventarisatie (wat te volgen, updatefrequentie), classificatie van activa en toewijzing van eigenaarschap, acceptabel gebruik van activa, levenscyclusbeheer van activa (verwerving, implementatie, onderhoud, verwijdering), fysieke activabeheersing (labeling, tracking, retournering), software-activabeheer (licenties, goedgekeurde software) en procedures voor verwijdering/sanering van activa om datalekken te voorkomen."

Beleid voor media-afhandeling maken

"Stel een beleid voor media-afhandeling en -verwijdering op dat de ISO 27001:2022 beheersmaatregelen A.7.10 en A.7.14 dekt. Behandel: soorten media binnen de reikwijdte (papier, USB-drives, harde schijven, back-ups, mobiele apparaten), labeling en classificatie van media, vereisten voor beveiligde opslag, procedures voor transport en verzending van media, methoden voor verwijdering en sanering van media (shredderen, degaussen, cryptografische wissing), verificatie en documentatie van verwijdering, en leveranciersvereisten voor verwijderingsdiensten."

Prompts voor cryptografie en gegevensbescherming

Beleid voor cryptografische beheersmaatregelen schrijven

"Maak een cryptografiebeleid voor ISO 27001:2022 beheersmaatregel A.8.24. Neem op: encryptievereisten voor gegevens in rust per classificatieniveau, encryptievereisten voor gegevens in transit (TLS-versies, cipher suites), goedgekeurde cryptografische algoritmen en sleutellengtes, procedures voor sleutelbeheer (generatie, opslag, rotatie, vernietiging), vereisten voor digitale handtekeningen en certificaten, encryptie voor mobiele apparaten en verwijderbare media, cloud-encryptievereisten, en uitzonderingen en compenserende maatregelen voor cryptografische beheersing."

Beleid voor gegevensbescherming en privacy ontwikkelen

"Stel een gegevensbeschermings- en privacybeleid op dat gericht is op AVG-naleving en ISO 27001:2022 beheersmaatregelen A.5.33-A.5.34. Behandel: de rechtsgrondslag voor het verwerken van persoonsgegevens, rechten van betrokkenen (toegang, rectificatie, wissing, portabiliteit), dataminimalisatie en doelbinding, bewaartermijnen per datatype, privacy-by-design principes, procedures voor melding van datalekken (tijdlijn, autoriteiten, betrokkenen), mechanismen voor grensoverschrijdende gegevensoverdracht en triggers voor privacy-effectbeoordelingen (PIA)."

Prompts voor operaties en infrastructuur

Wijzigingsbeheerbeleid maken

"Schrijf een wijzigingsbeheerbeleid voor ISO 27001:2022 beheersmaatregel A.8.32. Neem op: reikwijdte (welke wijzigingen vereisen een formeel proces), classificatie van wijzigingen (standaard, normaal, nood), workflow voor wijzigingsverzoeken en goedkeuring, vereisten voor risicobeoordeling bij wijzigingen, test- en rollback-procedures, implementatievensters voor wijzigingen, evaluatie na implementatie, procedures voor noodwijzigingen met beperkte beheersmaatregelen en documentatievereisten voor het auditspoor."

Back-up- en herstelbeleid ontwikkelen

"Stel een back-up- en herstelbeleid op voor ISO 27001:2022 beheersmaatregel A.8.13. Specificeer: welke systemen en gegevens back-up vereisen, back-upfrequentie per systeemcriticaliteit (elk uur, dagelijks, wekelijks), back-upbewaartermijnen, locatie en beveiliging van back-upopslag (on-site, off-site, cloud), back-upencryptievereisten, frequentie en procedures voor back-uptesten, beoogde hersteltijd (RTO) en beoogd herstelpunt (RPO) per systeem, schema voor hersteltesten, en back-upmonitoring en -waarschuwingen."

Kwetsbaarheidsbeheerbeleid schrijven

"Maak een kwetsbaarheidsbeheerbeleid voor ISO 27001:2022 beheersmaatregel A.8.8. Neem op: frequentie en dekking van kwetsbaarheidsscans, responstijdlijn voor kritieke kwetsbaarheden (24 uur, 7 dagen, 30 dagen per ernstniveau), proces voor patchbeheer en testvereisten, openbaarmaking en communicatie van kwetsbaarheden, compenserende maatregelen wanneer het patchen niet haalbaar is, melding van kwetsbaarheden door derden, kwetsbaarheidsstatistieken en rapportage aan het management, en uitzonderingsproces voor bedrijfskritische systemen."

Prompts voor HR-beveiliging

Beleid voor screening van medewerkers maken

"Schrijf een beleid voor de screening en doorlichting van medewerkers voor ISO 27001:2022 beheersmaatregel A.6.1. Neem op: vereisten voor screening voorafgaand aan het dienstverband (achtergrondonderzoek, referentiecontrole, arbeidsverleden, verificatie van opleiding, kredietwaardigheidscheck voor financiële rollen, VOG/strafbladcontrole), screeningsniveaus per rolgevoeligheid en datatoegang, screening voor contractanten en tijdelijk personeel, vereisten voor doorlopende screening (periodieke herverificatie), overwegingen bij internationale werving, toestemming van de kandidaat en privacyvereisten, en bewaring van documentatie."

Beveiligingsbewustzijnsbeleid ontwikkelen

"Stel een beleid voor beveiligingsbewustzijn en training op voor ISO 27001:2022 beheersmaatregel A.6.3. Behandel: verplichte beveiligingsbewustzijnstraining voor alle medewerkers (frequentie, onderwerpen, leveringsmethode), rolgebasseerde training voor bevoorrechte gebruikers en ontwikkelaars, phishing-simulatieprogramma (frequentie, escalatie bij herhaalde fouten), beveiligingsintroductievereisten voor nieuwe medewerkers, meting van de effectiviteit van de training, kanalen voor beveiligingscommunicatie, training in incidentrapportage en gevolgen bij het niet voltooien van trainingen."

Procedures voor beëindiging en rolverandering schrijven

"Maak een procedure voor beëindiging en rolverandering voor ISO 27001:2022 beheersmaatregel A.6.5. Neem op: meldingproces en tijdlijn, checklist voor het intrekken van toegang per systeem en itemtype, vereisten voor retour van fysieke activa (laptops, badges, sleutels, mobiele apparaten), procedures voor accountdeactivatie, gegevens-/e-mailbewaring en -overdracht, beveiligingsonderwerpen voor het exitgesprek, monitoring na beëindiging op verdachte activiteiten, procedures voor herindiensttreding en proces voor beoordeling van toegang bij rolverandering."

Prompts voor incidentmanagementbeleid

Incidentresponsbeleid maken

"Schrijf een beveiligingsincidentresponsbeleid voor ISO 27001:2022 beheersmaatregelen A.5.24-A.5.28. Neem op: definitie en classificatie van incidenten (beveiligingslek, datalek, malware, DDoS, ongeoorloofde toegang), ernstniveaus van incidenten en escalatiecriteria, rollen en verantwoordelijkheden van het incidentresponsteam, kanalen voor incidentdetectie en -rapportage (24/7 beschikbaarheid), fasen van incidentrespons (voorbereiding, detectie, inperking, uitroeiing, herstel, geleerde lessen), bewijsverzameling en chain of custody, communicatieplan (intern, klanten, toezichthouders, media) en vereisten voor evaluatie na het incident."

Procedure voor melding van inbreuken ontwikkelen

"Stel een procedure voor de melding van datalekken op, gericht op AVG Artikel 33-34 en ISO 27001:2022 beheersmaatregel A.5.26. Neem op: criteria voor beoordeling van inbreuken (wanneer is het meldenswaardig?), tijdlijn voor melding (72 uur aan de toezichthoudende autoriteit), vereiste inhoud van de melding van het lek, triggers en methoden voor melding aan betrokkenen, interne escalatie- en goedkeuringsworkflow, documentatievereisten voor wettelijke naleving, coördinatie van externe communicatie (juridisch, PR, klantenservice) en onderhoud van het incidentenregister."

Prompts voor beheer van derden en leveranciers

Beveiligingsbeleid voor leveranciers schrijven

"Maak een beveiligingsbeleid voor leveranciers en derden voor ISO 27001:2022 beheersmaatregelen A.5.19-A.5.23. Neem op: vereisten voor beveiligingsbeoordeling van leveranciers (evaluatie voorafgaand aan het contract), due diligence-proces voor leveranciersselectie, minimale beveiligingsvereisten in leverancierscontracten (SLA's, beveiligingsmaatregelen, auditrechten, melding van inbreuken, gegevensbescherming), toegangsbeheer en monitoring van leveranciers, beoordeling van prestaties en verificatie van naleving door leveranciers, coördinatie van incidentrespons met leveranciers en procedures voor offboarding van leveranciers."

Procedure voor risicobeoordeling van leveranciers ontwikkelen

"Stel een procedure voor risicobeoordeling van leveranciers op. Neem op: categorisering van leveranciers op basis van risiconiveau (hoog/midden/laag gebaseerd op datatoegang, criticaliteit, wettelijke reikwijdte), structuur van de beoordelingsvragenlijst, vereist bewijsmateriaal (SOC 2, ISO 27001-certificaten, beveiligingsbeleid, resultaten van penetratietesten, verzekering), methodologie voor risicoscores, frequentie van beoordeling per risiconiveau van de leverancier, vereisten voor sanering van geïdentificeerde hiaten, vereisten voor doorlopende monitoring en triggers voor herbeoordeling (beveiligingsincident, contractverlenging, wetswijziging)."

Prompts voor fysieke en omgevingsbeveiliging

Fysiek beveiligingsbeleid maken

"Schrijf een fysiek beveiligingsbeleid voor ISO 27001:2022 beheersmaatregelen A.7.1-A.7.4. Behandel: toegangscontrole tot faciliteiten (badgesystemen, bezoekersbeheer, preventie van meelopen/tailgating), beveiligingszones en perimeterdefinities, bezoekersprocedures (aanmelden, begeleiding, inname van badges), bewaking en monitoring (CCTV, beveiligers), toegang tot serverruimte en datacenter (wie, wanneer, logging), fysieke beveiligingsincidenten (meelopen, ongeoorloofde toegang, diefstal) en integratie met logische toegangsbeveiliging."

Beleid voor clean desk en clean screen ontwikkelen

"Stel een beleid op voor 'Clean Desk en Clean Screen' voor ISO 27001:2022 beheersmaatregel A.7.7. Neem op: clean desk-vereisten (geen vertrouwelijke informatie zichtbaar, documenten achter slot en grendel aan het einde van de dag), clean screen-vereisten (time-out voor schermvergrendeling, privacyfilters, positie van monitoren), opslag van gevoelige informatie (afgesloten kasten, versleutelde apparaten), verwijdering van documenten (shredderen, beveiligde containers), overwegingen voor bezoekersruimtes, toepasbaarheid bij werken op afstand, monitoring van audit en naleving, en vereisten voor training van medewerkers."

Prompts voor bedrijfscontinuïteit

Bedrijfscontinuïteitsbeleid schrijven

"Maak een beleid voor bedrijfscontinuïteit en noodherstel (BCDR) voor ISO 27001:2022 beheersmaatregelen A.5.29-A.5.30. Neem op: vereisten en frequentie voor Business Impact Analyse (BIA), kritieke bedrijfsfuncties en maximaal toelaatbare uitvalttijd, criteria en bevoegdheid voor het uitroepen van een ramp, continuïteitsstrategieën voor kritieke functies, vereisten voor de noodherstellocatie, communicatieplannen tijdens verstoringen, rollen en verantwoordelijkheden van het continuïteitsteam, schema voor het testen en oefenen van het plan (tabletop, simulatie, volledige test), triggers voor onderhoud en bijwerking van het plan, en integratie met incidentrespons."

ICT-continuïteitsprocedure maken

"Stel een ICT-continuïteitsprocedure op die de ISO 27001:2022 beheersmaatregel A.8.14 dekt. Neem op: inventarisatie van kritieke systemen en afhankelijkheden, beoogde hersteltijd (RTO) en beoogd herstelpunt (RPO) per systeem, redundantie- en failover-mechanismen, procedures voor back-up en herstel van gegevens, alternatieve verwerkingslocaties of cloud-failover, communicatiesystemen tijdens uitval, afhankelijkheden van leveranciers en noodplannen, procedures voor continuïteitstesten en procedures voor terugkeer naar de normale situatie wanneer primaire systemen zijn hersteld."

Prompts voor compliance en audit

Compliance-managementbeleid ontwikkelen

"Schrijf een compliance-managementbeleid voor ISO 27001:2022 beheersmaatregel A.5.31. Neem op: proces voor identificatie van compliance-verplichtingen (wettelijk, regelgevend, contractueel), monitoring en meting van compliance, intern auditprogramma (frequentie, reikwijdte, onafhankelijkheid), vereisten voor compliance-training, compliance-rapportage aan het management, escalatie en sanering bij niet-naleving, vereisten voor het bewaren van documenten en bewijsmateriaal, en proces voor beheer van wijzigingen in de regelgeving."

Interne auditprocedure maken

"Stel een interne auditprocedure op voor ISO 27001:2022 clausule 9.2. Neem op: jaarlijks auditschema en reikwijdte, vereisten voor onafhankelijkheid van de auditor, auditplanning (risicogebaseerde benadering, auditcriteria), uitvoering van de audit (openingsvergadering, bewijsverzameling, steekproeven, interviews), identificatie en gradering van afwijkingen (major, minor, observatie), verzoeken om en opvolging van corrigerende maatregelen, format en distributie van auditrapportage, procedures voor opvolgende audits en managementbeoordeling van auditresultaten."

Prompts voor het schrijven van procedures

Beleid omzetten naar gedetailleerde procedure

"Zet dit [beleidsnaam] om in een gedetailleerde operationele procedure. Neem op: doel en reikwijdte van de procedure, rollen en verantwoordelijkheden (wie doet wat), voorafgaande vereisten, stapsgewijze instructies met beslispunten, vereiste tools en systemen, verwachte tijdsbestekken, kwaliteitscontroles en verificatiestappen, documentatie- en registratievereisten, afhandeling van uitzonderingen, gerelateerde procedures en referenties, en revisiehistorie. Formatteer met genummerde stappen voor eenvoudige navigatie."

Procedure maken voor Annex A-beheersmaatregel

"Schrijf een operationele procedure om ISO 27001:2022 Annex A beheersmaatregel [nummer en naam maatregel] te implementeren. Behandel: wat de maatregel vereist, wie verantwoordelijk is voor de implementatie, gedetailleerde implementatiestappen, technische configuratie indien van toepassing, te verzamelen bewijsmateriaal voor audit, verificatie- en testprocedures, frequentie van uitvoering van de maatregel (dagelijks, wekelijks, op aanvraag), monitoring en meting, en hoe de effectiviteit van de maatregel te documenteren."

Voorbeeld: "Schrijf een operationele procedure om ISO 27001:2022 Annex A beheersmaatregel A.8.5 Beveiligde authenticatie te implementeren. Behandel onze specifieke omgeving: Azure AD SSO met MFA, werkstations voor bevoorrechte toegang, beheer van service-accounts en rotatie van API-sleutels."

Workflowproces documenteren

"Maak een procedure die de workflow documenteert voor [procesnaam, bijv. 'toewijzing van gebruikerstoegang']. Gebruik een flowchart-stijl met: trigger-gebeurtenis, beslispunten (goedkeuringspoorten, voorwaarden), acties bij elke stap, verantwoordelijke rol voor elke actie, systeeminteracties, goedkeuringsvereisten, tijdsbestekken/SLA's en voltooiingscriteria. Neem zowel de normale flow als uitzonderingspaden op."

Prompts voor beleidsevaluatie en -onderhoud

Beleidsevaluatieschema maken

"Genereer een schema voor beleidsevaluatie en -onderhoud voor onze ISO 27001-documentatie. Specificeer voor elke beleidscategorie (beveiliging, toegangsbeheer, incidentrespons, HR, fysieke beveiliging, enz.): frequentie van evaluatie (jaarlijks, halfjaarlijks, trigger-gebaseerd), eigenaar van de evaluatie, criteria voor evaluatie (relevantie, nauwkeurigheid, naleving, effectiviteit), goedkeuringsinstantie, vereisten voor versiebeheer en distributieproces voor bijgewerkt beleid. Maak een kalenderoverzicht van 12 maanden."

Proces voor beleidsuitzonderingen ontwikkelen

"Stel een procedure op voor beleidsuitzonderingen en ontheffingen. Neem op: geldige redenen voor het aanvragen van uitzonderingen, formulier voor uitzonderingsaanvraag en vereiste rechtvaardiging, risicobeoordeling voor de uitzondering, vereiste voor compenserende maatregelen, goedkeuringsniveaus per beleidstype en risico, duur en verlengingsproces van de uitzondering, monitoring en rapportage van uitzonderingen, criteria voor het intrekken van uitzonderingen en documentatie voor het auditspoor."

Prompts voor de Verklaring van Toepasselijkheid (SoA)

Volledige SoA-structuur genereren

"Maak een Verklaring van Toepasselijkheid (SoA) voor ISO 27001:2022 die alle 93 Annex A-beheersmaatregelen dekt. Geef voor elke maatregel: nummer en naam van de maatregel, geef de status van toepasselijkheid aan (Toepasbaar, Niet toepasbaar, Gedeeltelijk toepasbaar), verwijs naar specifieke risico's uit onze risicobeoordeling die de maatregel rechtvaardigen, beschrijf onze implementatie-aanpak, noteer de implementatiestatus (Geïmplementeerd, In uitvoering, Gepland met streefdatum), identificeer de verantwoordelijke eigenaar, vermeld beschikbaar bewijsmateriaal voor audit en geef rechtvaardiging voor eventuele uitsluitingen. Organiseer op basis van Annex A-thema's."

Uitsluiting van beheersmaatregelen rechtvaardigen

"Geef voor deze Annex A-beheersmaatregelen die we als 'Niet toepasbaar' willen markeren [lijst met nummers van maatregelen], een voor audit gerede rechtvaardiging. Leg voor elke maatregel uit waarom deze niet van toepassing is op onze organisatie, rekening houdend met ons bedrijfsmodel, onze technologiestack en de geïdentificeerde risico's; noem eventuele compenserende maatregelen die soortgelijke bescherming bieden; bevestig dat geen van de geïdentificeerde risico's deze maatregel vereist; en formatteer de rechtvaardiging zodanig dat deze geschikt is voor de auditor en SoA-documentatie."

Maatregelen mappen aan beleid en procedures

"Maak een mapping-matrix voor beheersmaatregelen en documentatie. Voor elk van de 93 ISO 27001:2022 Annex A-beheersmaatregelen: vermeld het nummer en de naam van de maatregel, identificeer welk beleid/welke beleidslijnen de maatregel adresseren, identificeer welke procedure(s) de maatregel implementeren, noteer bewijsstukken (logs, records, rapporten) en markeer alle maatregelen waarvoor adequate documentatie ontbreekt en waarvoor nieuw beleid of een nieuwe procedure moet worden gemaakt."

Prompts voor aanpassingen en sectorspecifieke zaken

Beleid aanpassen aan sectorregelgeving

"Pas dit [beleidsnaam] aan om te voldoen aan sectorspecifieke regelgeving: [lijst regelgeving op, bijv. HIPAA, PCI-DSS, FedRAMP]. Identificeer voor elke regelgeving: specifieke vereisten die niet worden gedekt door de basis ISO 27001, voeg vereiste beleidssecties of beheersmaatregelen toe, verwijs naar specifieke clausules in de regelgeving, pas het taalgebruik aan de terminologie van de regelgeving aan en voeg procedures voor verificatie van naleving toe."

Beleid vereenvoudigen voor betere leesbaarheid

"Herschrijf dit beleid in duidelijke taal die toegankelijk is voor niet-technische medewerkers. Vereenvoudig jargon en technische termen, gebruik kortere zinnen en paragrafen, voeg praktische voorbeelden toe van wat wel en niet mag, gebruik visuele elementen (iconen, checklists), behoud de nalevingsvereisten maar verbeter de leesbaarheid, richt u op een taalniveau vergelijkbaar met groep 8 van de basisschool, en zorg ervoor dat de belangrijkste vereisten opvallen (vetgedrukt, kaders)."

Beleidssamenvatting voor directie maken

"Maak een samenvatting van één pagina van ons [beleidsnaam] voor beoordeling door de directie. Neem op: doel van het beleid in zakelijke termen (waarom het belangrijk is), belangrijkste vereisten en verplichtingen, rollen en verantwoordelijkheden voor directieleden, zakelijke impact en voordelen, gevolgen voor naleving en risico's, benodigde middelen (budget, personeel, tools), tijdlijn voor implementatie en aanbeveling voor goedkeuring."

Prompts voor kwaliteitsborging

Beleid beoordelen op gaten in de naleving

"Beoordeel dit [beleidsnaam] tegen de ISO 27001:2022-vereisten voor [relevante clausule of maatregel]. Controleer: Zijn alle verplichte vereisten behandeld? Is het beleid specifiek genoeg voor implementatie? Zijn rollen en verantwoordelijkheden duidelijk gedefinieerd? Zijn er meetbare criteria opgenomen? Is het beleid handhaafbaar? Worden uitzonderingen en schendingen behandeld? Wordt de verzameling van auditbewijs beschreven? Identificeer hiaten en beveel toevoegingen aan."

Upload uw conceptbeleid voordat u deze prompt gebruikt om een uitgebreide compliance-beoordeling en gap-analyse te krijgen.

Beleidsconsistentie over verschillende documenten controleren

"Vergelijk deze beleidslijnen [lijst beleidsnamen] op consistentie in: terminologie (worden termen consistent gebruikt?), vereisten (zijn er tegenstrijdigheden?), goedkeuringsinstanties (consistente delegatie?), evaluatiefrequenties (op elkaar afgestemde schema's?), referenties en kruisverwijzingen (nauwkeurig?) en opmaak/structuur (professionele uitstraling?). Identificeer inconsistenties die opgelost moeten worden."

Procedure valideren tegen beleid

"Controleer of deze procedure voor [onderwerp] de vereisten in ons [gerelateerde beleidsnaam] correct implementeert. Controleer of: alle beleidsvereisten bijbehorende procedurestappen hebben, de procedure niet in strijd is met het beleid, rollen in de procedure overeenkomen met beleidsdefinities, goedkeuringsworkflows op één lijn liggen, aan documentatievereisten wordt voldaan en de procedure eventuele implementatiehiaten in het beleid opvult. Identificeer afwijkingen."

Tips voor effectief gebruik van deze prompts

Geef eerst context: Voordat u om een beleid vraagt, vertelt u ISMS Copilot over uw organisatie: "Wij zijn een SaaS-bedrijf in de gezondheidszorg met 50 medewerkers, we gebruiken AWS en Microsoft 365, en vallen onder de HIPAA en AVG." Deze context verbetert de relevantie aanzienlijk.

Werk in fasen: Begin met "maak een overzicht voor [beleid]", beoordeel de structuur en vraag vervolgens "breid sectie 3 uit met gedetailleerde vereisten en voorbeelden." Dit voorkomt overweldigende output en stelt u in staat de richting te sturen.

Vraag om meerdere opties: Vraag "geef 3 verschillende benaderingen voor [beleidsvereiste]" om alternatieven te evalueren voordat u zich vastlegt op een specifieke implementatie-aanpak.

Altijd juridische controle: Door AI gegenereerd beleid moet worden beoordeeld door een juridisch adviseur, vooral op het gebied van privacy, gegevensbescherming, werkgelegenheid en contractuele verplichtingen. ISMS Copilot versnelt het opstellen, maar vervangt geen juridische expertise.

Gerelateerde prompt-bibliotheken

Voltooi uw ISO 27001-implementatie met deze gerelateerde prompt-verzamelingen:

Hulp krijgen

Voor ondersteuning bij de ontwikkeling van beleid en procedures:

Klaar om uw beleid te maken? Open uw ISO 27001-werkruimte op chat.ismscopilot.com en begin met uw informatiebeveiligingsbeleid met behulp van de bovenstaande prompts.

Was dit nuttig?