ISMS Copilot
Prompt engineering

Itereren en verfijnen met gesprekken over meerdere ronden

De kracht van gesprekscontext

In tegenstelling tot eenmalige vragen bij generieke AI-tools, bewaart ISMS Copilot de gespreksgeschiedenis binnen werkruimten. Elke vervolgvraag bouwt voort op eerdere antwoorden, waardoor u beleid kunt verfijnen, specifieke beheersmaatregelen kunt uitdiepen of aanbevelingen kunt aanpassen zonder de context te herhalen.

Deze iteratieve aanpak weerspiegelt hoe compliance-professionals daadwerkelijk werken: beginnen met een overzicht van het raamwerk, inzoomen op prioritaire beheersmaatregelen, concepten genereren en vervolgens verfijnen op basis van organisatiespecifieke details en feedback van audits.

Hoe contextbehoud werkt

Binnen een gesprek in een werkruimte onthoudt ISMS Copilot:

  • Aangepaste instructies die voor de werkruimte zijn ingesteld

  • Eerdere vragen en antwoorden in de huidige thread

  • Raamwerken, beheersmaatregelen en organisatorische details die eerder zijn genoemd

  • Documenten en beleidsregels die in eerdere berichten zijn gegenereerd

  • Verduidelijkingen en beperkingen die u hebt opgegeven

Hierdoor kunt u verwijzen naar "het toegangscontrolebeleid van eerder" of "breid A.5.15 uit de vorige reactie uit" zonder alles opnieuw te hoeven benoemen.

Start nieuwe werkruimtegesprekken voor ongerelateerde projecten (verschillende klanten, raamwerken of fasen) om contextverwarring te voorkomen. Gebruik hetzelfde gesprek voor het itereren van verbonden taken.

Veelvoorkomende iteratiepatronen

1. Verkennen → Focussen → Implementeren

Begin breed, vernauw tot details en genereer vervolgens resultaten.

Voorbeeldgesprek:

  1. Verkennen: "Wat zijn de belangrijkste SOC 2 CC7-beheersmaatregelen voor systeembeheer?"

  2. Focus: "Breid CC7.2 (systeemmonitoring) uit voor een SaaS-platform dat gebruikmaakt van Datadog en PagerDuty"

  3. Implementeren: "Stel een systeemmonitoringsprocedure op voor CC7.2 inclusief drempelwaarden voor waarschuwingen, escalatiepaden en incidentregistratie"

  4. Verfijnen: "Voeg een sectie toe over het beheer van fout-positieven en stem de drempelwaarden af op een uptime-SLA van 99,9%"

Elke ronde gaat dieper van concept naar implementatie naar operationele details.

2. Genereren → Controleren → Verbeteren

Maak de eerste output, identificeer tekortkomingen en verbeter deze.

Voorbeeldgesprek:

  1. Genereren: "Maak een sjabloon voor een risicobeoordeling voor ISO 27001 A.5.7 voor onze AWS-infrastructuur"

  2. Controleren: "Behandelt dit sjabloon de risico's van implementaties in meerdere regio's en integraties door derden?"

  3. Verbeteren: "Voeg secties toe voor risico's bij datareplicatie tussen regio's en beveiligingsbeoordelingen voor API-integraties"

  4. Valideren: "Welk bewijsmateriaal verwachten auditors voor deze aanpak van risicobeoordeling?"

Iteratieve verfijning levert audit-klare resultaten op zonder opnieuw te hoeven beginnen.

3. Vergelijken → Beslissen → Aanpassen

Evalueer opties, selecteer een aanpak en stem deze af op uw organisatie.

Voorbeeldgesprek:

  1. Vergelijken: "Wat zijn de voor- en nadelen van rolgebaseerde versus attribuutgebaseerde toegangscontrole voor ISO 27001 A.5.15?"

  2. Beslissen: "We gebruiken RBAC. Welke rollen moeten we definiëren voor een SaaS-bedrijf van 50 personen met engineering-, sales- en supportteams?"

  3. Aanpassen: "Genereer een RBAC-matrix die deze rollen koppelt aan systemen: AWS, GitHub, Salesforce, Zendesk en beheertools"

  4. Implementeren: "Maak een procedure voor toegangsverlening met dit RBAC-model inclusief goedkeuringsworkflows"

Beslissingen sturen de volgende stappen aan zonder de redenatie te hoeven herhalen.

4. Beheersing → Bewijs → Verificatie

Implementeer de beheersmaatregel, identificeer de benodigde bewijslast en plan de validatie.

Voorbeeldgesprek:

  1. Beheersing: "Hoe implementeer ik ISO 27001 A.8.15 logging voor AWS CloudTrail en applicatielogboeken?"

  2. Bewijs: "Welk bewijsmateriaal toont naleving van A.8.15 aan voor een auditor?"

  3. Verificatie: "Maak een driemaandelijkse checklist voor logboekcontrole om de effectiviteit van A.8.15 te verifiëren en bewijsmateriaal te behouden"

  4. Documenteren: "Schrijf de sectie over logging van onze ISMS-documentatie met verwijzing naar deze beheersmaatregelen en bewijslast"

End-to-end implementatie in één gespreksdraad.

Effectieve vervolgtechnieken

Verwijzen naar eerdere resultaten

Gebruik zinnen die gebruikmaken van het geheugen van het gesprek:

  • "Breid het derde punt van je laatste antwoord uit"

  • "Pas de risicomethodologie die we net hebben besproken toe op database-encryptie"

  • "Werk het concept-beleid bij met die bewijsvereisten"

  • "Voeg de tools die je noemde (Okta, AWS IAM) toe aan de toegangscontrolematrix"

Incrementeel opbouwen

Voeg geleidelijk complexiteit toe in plaats van alles tegelijk:

  1. "Maak een basisprocedure voor incidentrespons voor ISO 27001 A.5.24"

  2. "Voeg communicatiesjablonen toe voor interne escalatie en klantmeldingen"

  3. "Neem integraties op met onze PagerDuty-waarschuwingen en Jira-ticketingworkflow"

  4. "Breid de sectie over de evaluatie na het incident uit met stappen voor hoofdoorzaakanalyse (root cause analysis)"

Het laag voor laag aanbrengen van details voorkomt dat de eerste resultaten overweldigend worden.

Begrip testen

Verifieer de afstemming voordat u uitgebreide resultaten genereert:

  • "Voordat je het volledige beleid opstelt: moet het zowel voor werknemers als voor externe contractanten gelden?"

  • "Voldoet deze aanpak aan zowel ISO 27001 A.6.1 als onze AVG-verplichtingen?"

  • "Is een driemaandelijkse controlefrequentie voldoende voor SOC 2 CC6.1, of moet dit maandelijks zijn?"

Stuur vroegtijdig bij om herstelwerk te voorkomen.

Alternatieven aanvragen

Verken opties binnen het gesprek:

  • "Wat is een alternatieve aanpak voor kleinere teams met een beperkt budget?"

  • "Toon me een vereenvoudigde versie voor de eerste implementatie, en daarna de volledige enterprise-aanpak"

  • "Vergelijk handmatige versus geautomatiseerde oplossingen voor deze beheersmaatregel"

De gesprekscontext wordt gereset tussen verschillende werkruimtegesprekken. Verwacht niet dat ISMS Copilot details onthoudt van de werkruimte van een andere klant of uit een andere gespreksdraad binnen dezelfde werkruimte.

Voorbeelden per scenario

Iteratie bij beleidsontwikkeling

Ronde 1: "Stel een toegangscontrolebeleid op voor SOC 2 CC6 dat betrekking heeft op user provisioning, controles en beëindiging"

Ronde 2: "Voeg een sectie toe over beheer van geprivilegieerde toegang (PAM) voor admin-rollen in AWS and GitHub"

Ronde 3: "Neem procedures op voor noodtoegang voor on-call engineers met logging na gebruik"

Ronde 4: "Herzie de controlefrequentie van driemaandelijks naar maandelijks voor geprivilegieerde accounts, en driemaandelijks voor standaardgebruikers"

Ronde 5: "Voeg verwijzingen toe naar onze Okta SSO-configuratie en rolgebaseerde groepen"

Resultaat: Een uitgebreid, op maat gemaakt beleid dat is opgebouwd door verfijning.

Diepgaande gap-analyse

Ronde 1: "Analyseer onze huidige beveiligingsstatus ten opzichte van ISO 27001:2022 Annex A.8 (technische beheersmaatregelen)"

Ronde 2: "Focus op de hiaten die je hebt geïdentificeerd in A.8.1 (eindpunten van gebruikers) en A.8.15 (logging)"

Ronde 3: "Welke tools voldoen voor het gat in eindpuntbeheer aan A.8.1 voor een remote-first team dat macOS en Windows gebruikt?"

Ronde 4: "Maak een implementatieplan voor Jamf (macOS) en Intune (Windows) dat voldoet aan de vereisten van A.8.1"

Ronde 5: "Welke bewijslast hebben auditors nodig om naleving van A.8.1 te verifiëren met deze tools?"

Resultaat: Van een high-level gap naar toolselectie tot implementatieplan in één draad.

Afstemming tussen meerdere raamwerken

Ronde 1: "We moeten voldoen aan zowel ISO 27001 A.5.24 (incident management) als SOC 2 CC7.3-7.5. Welke overlappen zijn er?"

Ronde 2: "Maak een uniform incidentresponsplan dat beide raamwerken behandelt"

Ronde 3: "Voeg specifieke secties toe voor de unieke SOC 2-vereisten die je noemde (beschikbaarheidsincidenten en communicatietermijnen)"

Ronde 4: "Voeg een tabel toe die elke procedurestap koppelt aan de relevante ISO 27001- en SOC 2-beheersmaatregelen voor traceerbaarheid bij audits"

Resultaat: Een efficiënt enkelvoudig plan met duidelijke compliance-koppelingen.

Problemen bij implementatie oplossen

Ronde 1: "Hoe implementeer ik MFA voor ISO 27001 A.5.17 met behulp van Okta?"

Ronde 2: "We hebben legacy-applicaties die geen SAML ondersteunen. Hoe gaan we daarmee om?"

Ronde 3: "Stel een compenserende beheersmaatregel voor de legacy-apps voor totdat we ze kunnen migreren"

Ronde 4: "Documenteer de aanpak met compenserende beheersmaatregelen voor de auditor, inclusief de tijdlijn voor de volledige MFA-migratie"

Resultaat: Een pragmatische oplossing die rekening houdt met technische beperkingen.

Lange gesprekken beheren

Wanneer verdergaan versus opnieuw beginnen

Ga door met het gesprek wanneer u:

  • Voortbouwt op eerdere resultaten (verfijnen van beleid, uitbreiden van procedure)

  • Gerelateerde beheersmaatregelen achter elkaar verwerkt (A.5.1 → A.5.2 → A.5.3)

  • Itereert over één enkel resultaat (verfijnen van risicobeoordeling)

  • Genoemde implementaties van een besproken beheersmaatregel wilt oplossen

Start een nieuw gesprek wanneer u:

  • Wisselt naar een ongerelateerd raamwerk of domein (SOC 2 → AVG)

  • In een andere projectfase komt (overgang van implementatie naar auditvoorbereiding)

  • De context te complex wordt (meer dan 10 interacties over meerdere onderwerpen)

  • Een schone lei nodig hebt zonder voorafgaande aannames

Samenvatten voor de duidelijkheid

Maak in lange gesprekken periodiek een samenvatting:

Voorbeeld: "Om onze beslissingen tot nu toe te bevestigen: we gebruiken RBAC met 5 rollen (Admin, Developer, Sales, Support, Contractor), driemaandelijkse toegangscontroles behalve maandelijks voor admins, Okta SSO voor alle apps behalve de legacy CRM waarvoor we compenserende maatregelen nemen. Laten we nu het formele beleid opstellen."

Dit herstelt het gedeelde begrip en voorkomt dat het gesprek afdwaalt.

Gebruik het dropdownmenu voor de antwoordstijl (Beknopt/Normaal/Gedetailleerd) strategisch: Beknopt voor snelle iteraties, Gedetailleerd voor eerste concepten, Normaal voor de meeste verfijningen.

Iteratie combineren met andere technieken

Iteratie + Aangepaste instructies

Stel instructies voor de werkruimte in voor een consistente context over alle ronden heen:

Instructie: "Healthcare SaaS, 80 werknemers, AWS-infrastructuur, implementeert ISO 27001:2022 met HIPAA-afstemming, audit over 8 maanden"

Vraagreeks: Elke vraag neemt deze context over zonder deze opnieuw te hoeven benoemen

Iteratie + Bestandsuploads

Upload één keer, verwijs er gedurende het gesprek naar:

  1. Upload: Voeg huidig toegangscontrolebeleid toe (PDF)

  2. Ronde 1: "Controleer dit beleid tegen SOC 2 CC6 en identificeer hiaten"

  3. Ronde 2: "Herschrijf de sectie over toegangscontrole om de gevonden hiaten te verhelpen"

  4. Ronde 3: "Voeg de bewijsvereisten die je noemde toe aan een nieuwe Bijlage A"

Iteratie + Persona's

Wissel halverwege het gesprek van persona voor verschillende perspectieven:

  1. Implementeerder-persona: "Geef me een stapsgewijze MFA-implementatie voor Okta"

  2. Auditor-persona: "Controleer dat implementatieplan — welk bewijsmateriaal zal er ontbreken?"

  3. Consultant-persona: "Hoe rechtvaardig ik de implementatiekosten bij onze CFO?"

Meerdere invalshoeken op hetzelfde onderwerp in één draad.

Herkenning van afnemende meeropbrengst

Stop met itereren wanneer:

  • U micro-aanpassingen maakt die de audit-bereidheid niet verbeteren

  • Vervolgvragen de eerdere context niet nauwkeurig meer meenemen (teken van overbelasting van het gesprek)

  • U dezelfde vraag meerdere keren op een andere manier stelt

  • De resultaten minder nuttig of algemener worden

Sla op dat moment de beste versie op en ga over tot implementatie of start een nieuw gesprek.

Iteratief werk opslaan

Best practices voor het bewaren van gespreksresultaten:

  • Kopieer definitieve versies naar uw documentatiebeheer na elke grote verfijning

  • Gebruik het gesprek als een auditspoor dat laat zien hoe het beleid/de procedure is geëvolueerd

  • Exporteer belangrijke reacties om te beoordelen met belanghebbenden vóór verdere iteratie

  • Geef werkruimten duidelijke namen om gesprekken later terug te vinden ("ISO 27001 - Toegangscontroles - Klant ABC")

Gesprekken over meerdere ronden zijn waar de specialisatie van ISMS Copilot uitblinkt. Generieke AI-tools verliezen context of nauwkeurigheid na 2-3 ronden. ISMS Copilot behoudt compliance-specifiek inzicht gedurende volledige implementatieprojecten.

Volgende stappen

Start een gesprek met meerdere ronden voor uw volgende compliance-taak. Begin met een algemene vraag en gebruik vervolgens 3-5 vervolgvragen om de output te verfijnen tot een resultaat dat klaar is voor implementatie. Merk op hoe contextbehoud de kwaliteit versnelt.

Terug naar het Overzicht van Prompt Engineering

Was dit nuttig?