Houd ISMS Copilot in de Rol van Compliance-assistent
Overzicht
ISMS Copilot is ontworpen om te werken als een gespecialiseerde compliance-assistent, niet als een AI voor algemene doeleinden. Door hem "in zijn rol" te houden—gericht op informatiebeveiligingsframeworks, audit-ready outputs en een professionele tone-of-voice—verzekert u zich van nauwkeurige, betrouwbare resultaten die voldoen aan compliance-standaarden.
Deze gids laat u zien hoe u ISMS Copilot configureert om consistent compliance-gedrag te handhaven in alle interacties.
Waarom consistentie in rol belangrijk is
Afwijkingen van de compliance-rol kunnen leiden tot:
Off-topic reacties die quota en tijd verspillen
Inconsistente toon in documentatie over verschillende beleidslijnen heen
Hallucinaties wanneer de AI buiten zijn expertisegebied treedt
Auditbevindingen als gevolg van informele of onvolledige outputs
De gespecialiseerde training van ISMS Copilot verankert hem in compliance-domeinen, maar uw prompts en instellingen versterken deze focus—vooral in randgevallen of bij ambigue vragen.
Selecteer de juiste persona
Auditor-persona
Geoptimaliseerd voor verificatie, bewijsvoering en gap-analyses.
Gebruik wanneer:
Interne audits of proefbeoordelingen worden uitgevoerd
Bestaande documentatie wordt beoordeeld op compliance-tekortkomingen
Voorbereiding op externe certificeringsaudits
Geüploade beleidslijnen of risicobeoordelingen worden geanalyseerd
Kenmerken:
Sceptische, op bewijs gerichte toon
Benadrukt testprocedures en validatie
Legt de nadruk op potentiële afwijkingen
Verwijst naar specifieke control-vereisten en auditcriteria
Implementeerder-persona
Geoptimaliseerd voor beleidscreatie, implementatieplanning en operationele procedures.
Gebruik wanneer:
Nieuw beleid wordt opgesteld of bestaand beleid wordt bijgewerkt
Gidsen voor control-implementatie worden gemaakt
Risicoregistraties of activaprocessen worden opgebouwd
Trainingsmateriaal of bewustwordingsprogramma's worden ontwikkeld
Kenmerken:
Praktische, actiegerichte toon
Richt zich op implementatiestappen en operationalisering
Biedt sjablonen en gestructureerde formaten
Zorgt voor balans tussen compliance-eisen en zakelijke haalbaarheid
Het wisselen van persona's midden in een gesprek kan inconsistentie veroorzaken. Kies uw persona aan het begin van elke workspace of project en houd u daaraan.
Gebruik aangepaste instructies om de rol te versterken
Definieer de compliance-rol
Stel aangepaste instructies in die ISMS Copilot verankeren in uw specifieke compliance-context.
Voorbeeld van aangepaste instructie:
You are a compliance assistant for a SaaS company implementing ISO 27001:2022 and SOC 2 Type II. All outputs should:
- Reference specific control numbers (Annex A for ISO, CC criteria for SOC 2)
- Use formal, audit-ready language
- Include verification steps or evidence requirements
- Align with cloud infrastructure best practices
- Avoid reproducing copyrighted framework textSpecificeer de output-toon
Definieer expliciet de professionele toon die u nodig heeft voor compliance-documentatie.
Voorbeeld van instructie voor toon:
Tone: Formal and authoritative, suitable for external auditor review. Avoid casual language, humor, or subjective opinions. Use third-person perspective for policies (e.g., "The organization shall..." not "You should...").Dwing focus op frameworks af
Maak een lijst van de frameworks waarmee u werkt om afdwaling te voorkomen.
Voorbeeld van instructie voor frameworks:
Active frameworks: ISO 27001:2022, GDPR, NIST CSF 2.0. Do not reference outdated versions (e.g., ISO 27001:2013) or out-of-scope standards (e.g., PCI-DSS) unless explicitly asked.Te restrictieve aangepaste instructies kunnen leiden tot weigeringen bij legitieme vragen. Zoek de balans tussen specificiteit en flexibiliteit door formuleringen als "voornamelijk" of "tenzij gevraagd" te gebruiken.
Structureer prompts voor compliance-context
Begin met verwijzingen naar frameworks
Start queries met een expliciete framework-context om de antwoorden te verankeren.
Zwakke prompt (kan afdwalen):
How do I manage access controls?Sterke prompt (blijft in zijn rol):
What are the ISO 27001:2022 Annex A.5.15 requirements for access control, and what evidence do auditors typically look for?Specificeer het formaat van het op te leveren resultaat
Definieer precies welk compliance-artefact u nodig heeft.
Voorbeeld:
Generate a SOC 2 CC6.1 control testing procedure with these sections:
1. Control Objective
2. Control Activity
3. Test Steps (numbered)
4. Expected Evidence
5. Sample Size
6. Testing FrequencyVoeg context over de doelgroep toe
Vertel ISMS Copilot wie de output zal beoordelen om de juiste toon aan te houden.
Voorbeeld:
Create an executive summary of our ISO 27001 gap analysis for the Board of Directors. Focus on high-level risks and remediation timelines, not technical control details.Gebruik scenario's om realisme te waarborgen
Bied zakelijke context
Beschrijf realistische compliance-scenario's om de antwoorden van ISMS Copilot te onderbouwen.
Voorbeeld van een op scenario's gebaseerde prompt:
Scenario: Our organization is a B2B SaaS platform with 50 employees, AWS infrastructure, and no on-premises systems. We're 6 months from ISO 27001 certification audit. Generate an asset register template aligned with Annex A.5.9 requirements, focusing on cloud assets and SaaS dependencies.Gebruik praktijkbeperkingen
Neem praktische beperkingen op om de outputs actiegericht te houden.
Voorbeeld:
Our compliance budget is limited, and we have no dedicated security team. Recommend cost-effective controls for ISO 27001 A.8.1 (asset responsibility) that can be implemented with existing IT staff.Scenario-gebaseerde prompts verminderen hallucinaties door ISMS Copilot te dwingen een balans te vinden tussen framework-eisen en realistische zakelijke beperkingen.
Versterk de rol met vervolgprompts
Verwijs naar eerdere compliance-context
Houd consistentie door vervolgvragen expliciet te koppelen aan eerdere antwoorden.
Voorbeeldreeks:
"Maak een ISO 27001 Incident Response-beleid voor een SaaS-bedrijf"
"Gebruik de beleidsstructuur die je zojuist hebt gemaakt en voeg een sectie toe over SOC 2 CC7.4 incidentmelding-eisen"
"Genereer een testprocedure voor incidentrespons die zowel ISO 27001 A.5.24 als de besproken SOC 2-secties valideert"
Corrigeer afwijkingen onmiddellijk
Als ISMS Copilot off-topic raakt of van toon verandert, stuur dan bij met expliciete aanwijzingen.
Voorbeeld van correctie:
That response was too informal for audit documentation. Rewrite in third-person, formal tone with specific references to ISO 27001 Annex A.5.1 requirements.Benut workspaces voor een consistente rol
Wijs workspaces toe per rol
Maak rolspecifieke workspaces aan om verschillende compliance-rollen te behouden.
Voorbeeld van een workspace-structuur:
Workspace: "Interne Audit - Auditor-persona" → Gap-analyse, bewijsbeoordeling, testprocedures
Workspace: "Beleidsontwikkeling - Implementeerder-persona" → Opstellen van beleid, ontwerpen van controls, trainingsmateriaal
Workspace: "Managementrapportage" → Samenvattingen op hoog niveau, presentaties voor de raad van bestuur, strategische planning
De aangepaste instructies en persona-selectie van elke workspace versterken de specifieke rol die nodig is voor die workflow.
Upload referentiebeleid
Voeg uw bestaande, goedgekeurde compliance-documenten toe aan workspaces om de stijl van ISMS Copilot te verankeren.
Voorbeeld:
Upload het huidige Toegangbeheerbeleid van uw organisatie naar de workspace
Prompt: "Beoordeel het geüploade Toegangsbeheerbeleid en genereer een Informatieclassificatiebeleid in hetzelfde formaat en met dezelfde toon"
ISMS Copilot zal de structuur, terminologie en formaliteit van uw referentiedocument nabootsen.
Upload een document met een "stijlgids" met voorbeelden van goedgekeurd taalgebruik voor beleid, sectiekoppen en opmaakconventies om outputs te standaardiseren.
Monitor op afwijkingen in de rol
Controleer op off-topic antwoorden
Let op tekenen dat ISMS Copilot afwijkt van de compliance-focus:
Algemeen zakelijk advies dat geen verband houdt met frameworks
Marketing- of verkooppraat in beleidsoutputs
Informele toon of ik-perspectief in formele documenten
Verwijzingen naar onderwerpen die niets met compliance te maken hebben (bijv. productontwikkeling, HR-processen)
Als er een afwijking optreedt, reset het gesprek dan of herhaal uw framework-context.
Valideer verwijzingen naar controls
Zorg ervoor dat ISMS Copilot nauwkeurige verwijzingen naar controls behoudt:
Controleer of de Annex A control-nummers overeenkomen met ISO 27001:2022 (niet 2013)
Controleer of de SOC 2 Trust Services Criteria overeenstemmen met de huidige versie van de AICPA
Bevestig dat NIST CSF-verwijzingen het 2.0 framework gebruiken (indien van toepassing)
Onjuiste versieverwijzingen duiden op rol-afwijking of hallucinatie.
Test met bekende controls
Valideer periodiek de consistentie van de rol door vragen te stellen over bekende controls.
Test-prompt:
Explain the requirements for ISO 27001:2022 Annex A.5.1 (Policies for Information Security).Vergelijk het antwoord met uw bestaande kennis—consistente terminologie en structuur duiden op een stabiele rol.
Gebruik prefill-patronen voor compliance-outputs
Begin met framework-sjablonen
Geef de beginstructuur voor beleid of procedures aan om de toon te zetten.
Voorbeeld van een prefill-prompt:
Complete this ISO 27001 Incident Response Policy:
1. Purpose
This policy establishes the requirements for identifying, reporting, assessing, and responding to information security incidents in accordance with ISO 27001:2022 Annex A.5.24, A.5.25, and A.5.26.
2. Scope
[Continue from here with sections 3-8: Definitions, Roles & Responsibilities, Incident Classification, Response Procedures, Post-Incident Review, Review Schedule]ISMS Copilot zal de formele toon en structuur die u heeft vastgesteld, aanhouden.
Veranker met compliance-termen
Neem standaard compliance-terminologie op in uw prompt om de rol te versterken.
Voorbeeldzinnen:
"De organisatie zal..."
"In overeenstemming met de vereisten van [framework]..."
"Bewijs van implementatie omvat..."
"Afwijkingen zullen worden gedocumenteerd en geëscaleerd naar..."
Prefill-patronen zijn vooral effectief voor lange documenten—ze zetten de toon en structuur vroegtijdig vast, waardoor afdwaling later in het gesprek wordt voorkomen.
Stroomlijn queries over meerdere frameworks
Specificeer dubbele compliance
Wanneer u met meerdere frameworks werkt, vraag dan expliciet om onderlinge afstemming.
Voorbeeld:
Generate an Access Control Policy that satisfies both ISO 27001:2022 Annex A.5.15 and SOC 2 CC6.1-CC6.3. Include a control mapping table showing how each policy section addresses requirements in both frameworks.Voorkom het mengen van frameworks
Vermijd vage prompts die onverenigbare frameworks zouden kunnen mengen.
Vaag (riskant):
What are the password requirements for compliance?Specifiek (veilig):
What are the password complexity and rotation requirements specifically for ISO 27001:2022 Annex A.5.17 and SOC 2 CC6.1? List each framework's requirements separately.Behandel randgevallen met expliciete grenzen
Aangrenzende maar buiten de scope vallende onderwerpen
Plaats vragen die op de grens liggen binnen een compliance-context.
Grensvraag:
How do I train employees on phishing?Versie in compliance-context:
What are the ISO 27001 Annex A.6.3 (Security Awareness Training) requirements for phishing awareness programs, and how should training effectiveness be measured for audit evidence?Stuur off-topic verzoeken bij
Als u per ongeluk een vraag stelt die niets met compliance te maken heeft, erken dit dan en herformuleer de vraag.
Voorbeeld:
User: Write a sales email for our product.
ISMS Copilot: I specialize in information security and compliance frameworks...
User: Apologies—what I meant was: Create a communication template for notifying customers about our ISO 27001 certification achievement, suitable for marketing use.Het weigeringssysteem voor verzoeken buiten de scope van ISMS Copilot helpt de rol te behouden door off-topic vragen af te wijzen. Probeer deze weigeringen niet te omzeilen—ze beschermen tegen hallucinaties.
Beoordeel outputs op consistentie in de rol
Spot-check gegenereerd beleid
Voordat u door AI gegenereerde documentatie in productie neemt, moet u het volgende controleren:
Formeel taalgebruik in de derde persoon
Consistente control-nummering en framework-verwijzingen
Terminologie passend voor een audit (bijv. "zal" in plaats van "zou moeten" voor vereisten)
Geen marketing- of informele formuleringen
Vergelijk verschillende gesprekken
Controleer of outputs van verschillende sessies dezelfde rol behouden:
Genereer een Toegangsbeheerbeleid in het ene gesprek
Genereer een Informatieclassificatiebeleid in een ander gesprek (binnen dezelfde workspace)
Vergelijk toon, structuur en terminologie—deze zouden nauw op elkaar aan moeten sluiten
Significante afwijkingen duiden op een inconsistente persona of onjuiste aangepaste instructies.
Geavanceerd onderhoud van de rol
Maak persona-sjablonen
Documenteer succesvolle sets aangepaste instructies voor hergebruik:
Voorbeeld "Auditor-sjabloon":
Role: Internal auditor conducting ISO 27001 gap analysis
Tone: Formal, skeptical, evidence-focused
Output format: Bulleted findings with control references
Evidence requirements: Always include sample size and testing procedures
Framework version: ISO 27001:2022 only (not 2013)
Persona: AuditorSla deze sjablonen extern op (bijv. in een document) en kopieer ze naar nieuwe workspaces wanneer nodig.
Gebruik scenario-bibliotheken
Houd een bibliotheek bij van realistische compliance-scenario's voor complexe vragen.
Voorbeeldscenario voor infrastructuur-controls:
Context: 50-employee SaaS company, AWS cloud infrastructure, no on-premises systems, annual revenue $5M, target frameworks ISO 27001 + SOC 2. Generate controls considering budget constraints and small team size.Hergebruik deze scenario's voor verschillende control-gebieden om een consistente rol te behouden.
Wat ISMS Copilot automatisch doet
Ingebouwde functies voor rolbehoud:
Training uitsluitend op compliance: Gespecialiseerd in beveiligingsframeworks, niet in algemene kennis
Scope-handhaving: Weigert automatisch vragen die niets met compliance te maken hebben
Injectie van framework-kennis: Detecteert vermeldingen van ISO/SOC2/NIST en voegt geverifieerde richtlijnen toe
Persona-systeem: Auditor- en Implementeerder-modi met onderscheidend gedrag
Disclaimers bij onzekerheid: Erkent hiaten in plaats van informatie te verzinnen
De gespecialiseerde training van ISMS Copilot biedt een sterke basis voor een consistente rol. Uw aangepaste instructies en prompts verfijnen dit gedrag om aan te sluiten bij uw specifieke compliance-context.