ISO 27001 risicobeoordelingsprompts

Overzicht

U ontdekt hier kopieer-en-plak-prompts om uitgebreide ISO 27001 risicobeoordelingen uit te voeren met ISMS Copilot, van het opbouwen van activa-inventarissen tot het berekenen van risicoscores en het ontwikkelen van behandelplannen die zijn afgestemd op de Annex A beheersmaatregelen.

Voor wie is dit bedoeld

Deze prompts zijn ontworpen voor:

• Security professionals die ISO 27001 risicobeoordelingen uitvoeren

• Risicomanagers die risico-gebaseerde selectie van beheersmaatregelen implementeren

• Consultants die risicobeoordelingen uitvoeren voor meerdere klanten

• Organisaties die zich voorbereiden op ISO 27001 certificeringsaudits

Voordat u begint

Prompts voor identificatie van activa

Genereer een uitgebreide inventaris van activa

"Maak een sjabloon voor een informatie-activa-inventaris voor een [sector] bedrijf met [aantal] medewerkers dat [bedrijfsbeschrijving]. Neem categorieën op voor: gegevensactiva, applicatiesystemen, infrastructuur, diensten van derden en personeel. Geef voor elke categorie 10-15 relevante voorbeelden die specifiek zijn voor onze sector en activiteiten."

Voorbeeld: "Maak een sjabloon voor een informatie-activa-inventaris voor een healthcare SaaS-bedrijf met 75 medewerkers dat platforms voor patiëntbetrokkenheid levert aan medische praktijken. Neem categorieën op voor: gegevensactiva, applicatiesystemen, infrastructuur, diensten van derden en personeel. Geef voor elke categorie 10-15 relevante voorbeelden die specifiek zijn voor onze sector en activiteiten."

Analyseer architectuur voor ontdekking van activa

"Analyseer dit [architectuurdiagram/netwerkkaart/systeemdocumentatie] en identificeer alle informatie-activa die moeten worden opgenomen in onze ISO 27001 activa-inventaris. Stel voor elk activum een geschikte eigenaar voor op basis van bedrijfsfunctie en verantwoordelijkheid voor beveiliging."

Definieer classificatiecriteria voor activa

"Definieer informatieclassificatieniveaus (Openbaar, Intern, Vertrouwelijk, Strikt Vertrouwelijk) voor ISO 27001:2022. Geef voor elk niveau: een duidelijke definitie, 5 specifieke voorbeelden die relevant zijn voor [uw sector], hanteringsvoorschriften, opslagvereisten, toegangscontroles en de gevolgen van ongeoorloofde openbaarmaking."

Identificeer eigenaren van activa en verantwoordelijkheden

"Wie zou de eigenaar van de activa moeten zijn voor elk type activum in een organisatie van [bedrijfsgrootte en beschrijving]? Definieer criteria voor het toewijzen van eigenaarschap op basis van bedrijfsfunctie, technische verantwoordelijkheid, verantwoordelijkheid voor beveiliging en beslissingsbevoegdheid."

Creëer op processen gebaseerde activa-mapping

"Identificeer voor de bedrijfsprocessen '[procesnaam, bijv. onboarding van klanten]' alle betrokken informatie-activa, inclusief: gecreëerde/verwerkte gegevens, gebruikte systemen, afhankelijkheden van de infrastructuur, diensten van derden en personeelsrollen. Presenteer dit als een processtroom met activa gekoppeld aan elke stap."

Prompts voor dreigings- en kwetsbaarheidsanalyse

Genereer activaspecifieke dreigingsscenario's

"Identificeer voor [naam en type activum] met [beschrijving van gegevens] in een [hostingomgeving] realistische dreigingen, rekening houdend met: cyberaanvallen (ransomware, phishing, DDoS), interne dreigingen (kwaadwillende werknemers, misbruik van bevoegdheden), systeemfouten (hardware, software, netwerk), risico's van derden (datalekken bij leveranciers, aanvallen op de toeleveringsketen) en fysieke dreigingen (diefstal, rampen). Beschrijf voor elke dreiging het aanvalsscenario en de potentiële impact op de bedrijfsvoering."

Voorbeeld: "Voor onze klantendatabase met PII- en betaalkaartgegevens in een door AWS gehoste PostgreSQL-omgeving, identificeer realistische dreigingen rekening houdend met: cyberaanvallen, interne dreigingen, systeemfouten, risico's van derden en fysieke dreigingen. Beschrijf voor elke dreiging het aanvalsscenario en de potentiële impact op de bedrijfsvoering."

Identificeer technologiespecifieke kwetsbaarheden

"Wat zijn veelvoorkomende kwetsbaarheden in [uw technologiestack] die door aanvallers kunnen worden misbruikt? Neem op: zwakke punten in de configuratie (standaardinstellingen, tekortkomingen in hardening), gaten in toegangsbeheer (authenticatie, autorisatie), versleutelingsproblemen (data in rust, in transit), uitdagingen bij patchmanagement en onveilige integraties."

Analyseer het dreigingslandschap van de sector

"Welke informatiebeveiligingsdreigingen zijn het meest relevant voor bedrijven in [uw sector] in [regio]? Neem op: regelgevings- en compliancerisico's, vergaren van inlichtingen door concurrenten, sectorspecifieke aanvalspatronen, kwetsbaarheden in de toeleveringsketen en opkomende dreigingen op basis van recente incidenten in de sector."

Beoordeel risico's van externe leveranciers

"Maak een risicobeoordeling voor derden voor onze belangrijkste leveranciers: [lijst met namen van leveranciers en de diensten die zij leveren]. Identificeer voor elke leverancier risico's met betrekking tot: toegang tot en verwerking van gegevens, beschikbaarheid en continuïteit van de dienstverlening, beveiligingsincidenten en melding van datalekken, het niet naleven van wetgeving (AVG, SOC 2) en scenario's voor contractbeëindiging."

Evalueer kwetsbaarheden door de menselijke factor

"Identificeer kwetsbaarheden door de menselijke factor in onze organisatie, rekening houdend met: het niveau van beveiligingsbewustzijn van werknemers ([huidige staat]), regelingen voor werken op afstand ([percentage op afstand]), toegang tot gevoelige gegevens ([aantal gebruikers]), frequentie van beveiligingstraining ([huidige frequentie]) en vatbaarheid voor phishing. Stel specifieke kwetsbaarheidsscenario's voor die kunnen worden misbruikt."

Prompts voor risicoberekening

Beoordeel de waarschijnlijkheid van een dreiging

"Beoordeel voor de dreiging '[specifieke dreiging]' die '[specifieke kwetsbaarheid]' misbruikt in onze [beschrijving activa], de waarschijnlijkheid op een schaal van 1-5 waarbij 1=zeer zeldzaam, 2=onwaarschijnlijk, 3=mogelijk, 4=waarschijnlijk, 5=vrijwel zeker. Houd rekening met: onze bestaande beheersmaatregelen ([lijst huidige maatregelen]), capaciteiten en motivatie van de dreigingsactor, historische incidenten in onze sector, de huidige beveiligingsstatus en eventuele compenserende factoren. Onderbouw de score met uw redenering."

Voorbeeld: "Beoordeel voor de dreiging 'ransomware-aanval via phishing-e-mail' die 'onvoldoende training in beveiligingsbewustzijn' misbruikt in ons SaaS-bedrijf van 50 personen, de waarschijnlijkheid op een schaal van 1-5. Houd rekening met: we hebben basis-e-mailfiltering maar geen geavanceerde bescherming tegen dreigingen, geen trainingsprogramma voor beveiligingsbewustzijn, 80% van de werknemers werkt vanuit huis, en de zorgsector heeft een toename van 40% in ransomware-aanvallen op jaarbasis gezien. Onderbouw de score met uw redenering."

Evalueer de zakelijke impact

"Beoordeel voor het risico '[dreiging] voor [activum]' de impact op een schaal van 1-5 waarbij 1=verwaarloosbaar, 2=beperkt, 3=gemiddeld, 4=groot, 5=ernstig. Houd rekening met: financieel verlies (impact op omzet, boetes van toezichthouders, herstelkosten), operationele verstoring (duur van downtime, kwaliteitsvermindering van de dienstverlening, productiviteitsverlies), gevolgen voor regelgeving (AVG-boetes, nalevingsschendingen, rapportagevereisten), reputatieschade (klantvertrouwen, media-aandacht, marktpositie) en juridische aansprakelijkheid. Onderbouw de score met uw redenering."

Genereer risicomatrix en drempels

"Creëer een 5x5 risicomatrix voor ISO 27001 waarbij Waarschijnlijkheid (1-5) en Impact (1-5) risicoscores opleveren. Definieer risiconiveaus: Laag (scores 1-6, groen), Medium (scores 8-12, geel), Hoog (scores 15-20, oranje), Kritiek (scores 25, rood). Specificeer voor elk niveau: vereiste tijdlijn voor behandeling, goedkeuringsinstantie, acceptabel bereik van restrisico en frequentie van monitoring."

Bereken restrisico na beheersmaatregelen

"Wat zou de restrisicoscore zijn voor het risico '[risicobeschrijving]' met een initiële score van [X], als we de beheersmaatregelen '[lijst maatregelen]' implementeren? Leg uit hoe elke maatregel de waarschijnlijkheid of impact vermindert, schat de nieuwe scores voor waarschijnlijkheid en impact, bereken het restrisico en bevestig of het restrisico binnen de aanvaardbare grenzen valt."

Prompts voor risicobehandeling

Genereer aanbevelingen voor beheersmaatregelen

"Stel voor het risico '[risicobeschrijving]' met score [X] ISO 27001:2022 Annex A beheersmaatregelen voor die dit risico effectief zouden beperken. Per aanbevolen maatregel: vermeld het nummer en de naam van de maatregel, leg uit hoe deze de waarschijnlijkheid of impact vermindert, beschrijf de implementatieaanpak, schat de kosten en inspanning (laag/medium/hoog), geef de verwachte restrisicoscore en vermeld het bewijsmateriaal dat nodig is om de effectiviteit aan te tonen."

Vergelijk behandelopties op kosteneffectiviteit

"Vergelijk de behandelopties voor het risico '[risicobeschrijving]' met de huidige score [X]: Optie A - [aanpak beheersmaatregel met geschatte kosten], Optie B - [alternatieve aanpak met geschatte kosten], Optie C - [derde optie met geschatte kosten]. Evalueer voor elke optie: effectiviteit van risicoreductie, complexiteit van implementatie, last van doorlopend onderhoud, compatibiliteit met bestaande beheersmaatregelen en rendement op beveiligingsinvestering (ROSI). Beveel de meest kosteneffectieve aanpak aan, rekening houdend met het feit dat onze risico-bereidheid (risk appetite) [verklaring risicobereidheid] is."

Voorbeeld: "Vergelijk behandelopties voor 'ongeoorloofde toegang tot klantendatabase' met een huidige score van 20: Optie A - MFA, RBAC en SIEM-monitoring implementeren ($50k), Optie B - verbeterde databaseversleuteling en toegangsregistratie ($25k), Optie C - overstappen naar een beheerde databaseservice met ingebouwde beveiliging ($30k per jaar). Beveel de meest kosteneffectieve aanpak aan, aangezien onze risicobereidheid 'geen restrisico boven 12 voor kritieke activa' is."

Maak een uitgebreid behandelplan

"Genereer een risicobehandelplan voor het risico '[risicobeschrijving]'. Neem op: risico-ID en beschrijving, huidige risicoscore (waarschijnlijkheid × impact), geselecteerde behandeloptie (beperken/vermijden/overdragen/accepteren), specifieke te implementeren beheersmaatregelen met Annex A-verwijzingen, implementatie-eigenaar en verantwoordelijke manager, streefdatum voor voltooiing, benodigd budget en middelen, verwachte restrisicoscore, aanpak voor monitoring en verificatie, en goedkeuringsstatus. Formatteer als een audit-proof behandelplan."

Ontwikkel onderbouwing voor risico-acceptatie

"Maak een onderbouwing voor risico-acceptatie voor '[risicobeschrijving]' met score [X] die we van plan zijn te accepteren in plaats van te behandelen. Neem op: zakelijke beweegredenen voor acceptatie (kosten-batenanalyse), bevestiging dat de score binnen onze risicobereidheid van [drempelwaarde] valt, compenserende beheersmaatregelen of bestaande monitoring, omstandigheden die aanleiding geven tot herbeoordeling, goedkeuringsvereisten (welke directieleden moeten tekenen) en documentatie voor het audittraject."

Prompts voor koppeling van beheersmaatregelen

Koppel risico's aan Annex A beheersmaatregelen

"Welke ISO 27001:2022 Annex A beheersmaatregelen pakken het risico '[risicobeschrijving]' aan? Per relevante maatregel: vermeld het nummer en de naam van de maatregel, leg de specifieke doelstelling uit, beschrijf hoe het dit specifieke risico beperkt (waarschijnlijkheid of impact vermindert), schets de implementatievereisten, vermeld het bewijsmateriaal dat nodig is om naleving aan te tonen en noteer eventuele afhankelijkheden van andere maatregelen."

Creëer een selectiematrix voor beheersmaatregelen

"Genereer een selectiematrix voor beheersmaatregelen die laat zien welke Annex A-maatregelen welke risico's in ons risicoregister aanpakken. Structureer dit als een tabel met kolommen: Risico-ID, Risicobeschrijving, Risicoscore, Geselecteerde beheersmaatregelen (met nummers), Implementatiestatus van beheersmaatregel, Rechtvaardiging voor selectie. Toon de relaties voor onze top 15 risico's, gerangschikt op risicoscore (hoogste eerst)."

Rechtvaardig uitsluitingen van beheersmaatregelen

"Leg voor Annex A beheersmaatregel [nummer en naam] uit waarom we deze zouden kunnen uitsluiten van onze Verklaring van Toepasselijkheid (SoA). Overweeg: is de maatregel relevant voor de risico's die we hebben geïdentificeerd? Maakt ons bedrijfsmodel of onze technologie de maatregel niet van toepassing? Zijn er alternatieve maatregelen die hetzelfde doel bereiken? Zorg voor een audit-proof rechtvaardiging als uitsluiting wordt aanbevolen."

Documentatieprompts

Genereer een managementsamenvatting van de risico's

"Maak een managementsamenvatting van onze ISO 27001 risicobeoordeling voor presentatie aan de directie. Neem op: totaal aantal beoordeelde activa per categorie, aantal geïdentificeerde risico's georganiseerd op ernstniveau (kritiek/hoog/medium/laag), verdeling van risicoscores over bedrijfsonderdelen, belangrijkste bevindingen en kritieke kwetsbaarheden, top 5 prioritaire risico's die onmiddellijke actie vereisen, aanbevolen behandelingsaanpak en budgetvereisten, tijdlijn voor risicobeperking en verwachte compliancestatus na behandeling. Doelgroep: niet-technische directieleden. Formatteer als een executive brief van 2 pagina's."

Documenteer de methodologie van de risicobeoordeling

"Schrijf een uitgebreid document over de methodologie van de risicobeoordeling voor ISO 27001:2022 compliance. Neem secties op voor: reikwijdte en doelstellingen (wat we beoordelen en waarom), proces voor identificatie van activa (hoe we activa ontdekken en catalogiseren), aanpak voor dreigings- en kwetsbaarheidsanalyse (bronnen en methoden), waarschijnlijkheidsschaal met definities en voorbeelden, impactschaal met definities over meerdere dimensies (financieel, operationeel, regelgevend, reputatie), formule voor risicoberekening en matrix, criteria en drempels voor risico-acceptatie, rollen en verantwoordelijkheden (wie doet wat), beoordelingsfrequentie en triggers voor herbeoordeling, en documentatievereisten. Formatteer voor indiening bij een audit met de juiste ISO-clausuleverwijzingen."

Maak een audit-proof risicoregister

"Genereer een volledig sjabloon voor een risicoregister dat voldoet aan de eisen van ISO 27001:2022 Clausule 6.1.2. Neem kolommen op voor: Risico-ID (unieke identifier), Betrokken activum, Dreigingsbeschrijving, Misbruikte kwetsbaarheid, Bestaande beheersmaatregelen, Waarschijnlijkheidsscore (1-5 met onderbouwing), Impactscore (1-5 met onderbouwing), Inherent risicoscore (W×I), Behandeloptie (beperken/vermijden/overdragen/accepteren), Geselecteerde beheersmaatregelen (Annex A-verwijzingen), Implementatiestatus, Restrisicoscore, Risico-eigenaar, Herzieningsdatum en Goedkeuringsstatus. Geef 10 voorbeeldvermeldingen voor een organisatie in de [uw sector]."

Bouw de basis voor de Verklaring van Toepasselijkheid

"Maak op basis van onze risicobeoordelingsresultaten een concept voor de Verklaring van Toepasselijkheid (SoA) voor ISO 27001:2022. Voor elk van de 93 Annex A beheersmaatregelen: vermeld nummer en naam van de maatregel, geef toepasbaarheid aan (Ja/Nee/Gedeeltelijk), verwijs naar welke specifieke risico's de selectie rechtvaardigen, beschrijf onze implementatieaanpak, noteer de implementatiestatus (Geïmplementeerd/In uitvoering/Gepland) en identificeer hiaten of rechtvaardiging voor uitsluiting. Organiseer op Annex A-thema's (Organisatorisch, Mensen, Fysiek, Technologisch)."

Prompts voor validatie door belanghebbenden

Bereid materialen voor de herzieningsvergadering voor

"Maak een presentatie voor een herzieningsvergadering over de risicobeoordeling met afdelingshoofden. Voeg dia's toe voor: overzicht van de ISO 27001 risicobeoordelingsmethodologie, samenvatting van de geïdentificeerde risico's in hun specifieke afdeling, voorgestelde behandelplannen die hun team raken, vereiste acties en inzet van middelen vanuit hun afdeling, budgettaire gevolgen en kostentoerekening, tijdlijn en mijlpalen, en goedkeuringsvereisten. Richt op een presentatie van 30 minuten met ruimte voor discussie."

Genereer validatievragen

"Maak een lijst met validatievragen voor afdelingshoofden bij het beoordelen van de risicobeoordelingen voor hun gebieden. Organiseer per onderwerp: Volledigheid van activa (Hebben we alle kritieke activa geïdentificeerd?), Realisme van dreigingen (Zijn deze dreigingen realistisch gezien onze omgeving?), Nauwkeurigheid van kwetsbaarheden (Bestaan deze zwakke punten echt?), Impactbeoordeling (Is de zakelijke impact correct geëvalueerd?), Haalbaarheid van beheersmaatregelen (Kunnen we deze maatregelen echt implementeren?), Beschikbaarheid van middelen (Heeft u budget en personeel?) en Redelijkheid van de tijdlijn (Zijn deadlines haalbaar?)."

Prompts voor doorlopend risicomanagement

Definieer triggers voor herbeoordeling

"Definieer specifieke triggers die een herbeoordeling van informatiebeveiligingsrisico's vereisen volgens ISO 27001:2022 Clausule 6.1.3. Neem op: technologische wijzigingen (nieuwe systemen, cloudmigraties, architectuurupdates), zakelijke wijzigingen (uitbreiding, nieuwe producten, fusies en overnames), updates in regelgeving (nieuwe compliance-eisen, handhavingsacties), beveiligingsincidenten (inbreuken, near-misses, falen van beheersmaatregelen), wijzigingen in het dreigingslandschap (nieuwe aanvalsvectoren, incidenten in de sector), organisatorische wijzigingen (herstructurering, wisselingen in de directie) en wijzigingen in de effectiviteit van beheersmaatregelen (auditbevindingen, testresultaten). Specificeer voor elke trigger wie de herbeoordeling start, de vereiste tijdlijn en de reikwijdte van de herziening."

Creëer een driemaandelijks proces voor risicoherziening

"Ontwerp een driemaandelijks risicoherzieningsproces voor ISO 27001, inclusief: belangrijkste risico-indicatoren om te volgen (trends), vereiste updates van het risicoregister, veranderingen in het dreigingslandschap om rekening mee te houden, validatie van de effectiviteit van beheersmaatregelen, nieuwe risico's om te beoordelen, agenda voor de herzieningsvergadering met tijdsindeling, rapportagesjablonen voor managementreview, criteria voor het escaleren van toegenomen risico's en documentatievereisten voor het audittraject."

Bouw een workflow voor herbeoordeling op basis van wijzigingen

"Ontwerp een workflow voor het bijwerken van de ISO 27001 risicobeoordeling wanneer [specifieke wijziging optreedt, bijv. 'lancering van een nieuwe klantgerichte applicatie']. Neem op: proces voor melding en goedkeuring van de wijziging, wie de risicobeoordeling uitvoert (rollen en verantwoordelijkheden), welke specifieke activa en risico's moeten worden herzien, vereisten voor dreigings- en kwetsbaarheidsanalyse, beslissingen over risicoscores en behandeling, noodzakelijke updates van het risicoregister en de SoA, vereisten voor goedkeuring en aftekening, en documentatie die moet worden bijgehouden als auditbewijs."

Prompts voor kwaliteitsborging

Risicobeoordeling controleren op volledigheid

"Beoordeel deze risicobeoordeling aan de hand van de vereisten van ISO 27001:2022 Clausule 6.1.2. Controleer op: Zijn alle informatie-activa binnen de scope geïdentificeerd? Zijn de dreigingen en kwetsbaarheden uitgebreid en realistisch? Wordt de methodologie voor risicoscores consistent toegepast? Worden alle hoge en kritieke risico's aangepakt met behandelplannen? Is de selectie van beheersmaatregelen gerechtvaardigd door specifieke risico's? Zijn besluiten over risico-acceptatie correct goedgekeurd? Zijn de documentatie en het bewijsmateriaal voldoende voor een audit? Identificeer hiaten, ontbrekende elementen of gebieden die versterking behoeven."

Valideer consistentie tussen beoordelingen

"Vergelijk deze twee risicobeoordelingen [voor vergelijkbare activa of scenario's] en controleer op consistentie in: waarschijnlijkheidsscores (worden vergelijkbare dreigingen vergelijkbaar gescoord?), impactevaluatie (worden vergelijkbare gevolgen vergelijkbaar gewaardeerd?), selectie van beheersmaatregelen (worden gelijkwaardige risico's behandeld met vergelijkbare maatregelen?), besluiten over risico-acceptatie (wordt de risicobereidheid uniform toegepast?). Identificeer inconsistenties die vóór de audit moeten worden opgelost."

Tips voor effectief gebruik van deze prompts

Gerelateerde prompt-bibliotheken

Breid uw ISO 27001-implementatie uit met deze gerelateerde prompt-verzamelingen:

• ISO 27001 prompts voor beleid en procedures (binnenkort beschikbaar)

• ISO 27001 prompts voor auditvoorbereiding (binnenkort beschikbaar)

• ISO 27001 prompts voor GAP-analyse (binnenkort beschikbaar)

• SOC 2 prompt-bibliotheek

Hulp krijgen

Voor ondersteuning bij prompts voor risicobeoordeling:

• Leer best practices: Bekijk onze gids over Hoe u een ISO 27001 risicobeoordeling uitvoert met behulp van AI

• Begrijp de beperkingen van AI: Lees Hoe u ISMS Copilot verantwoord gebruikt

• Optimaliseer uw workflow: Zie Hoe u complianceprojecten voor meerdere klanten beheert met behulp van werkruimten