ISMS Copilot
Prompt engineering

Organisatorische context bieden

Waarom context van belang is

Generiek advies over compliancy overleeft de praktijk zelden. Een startup van 10 personen en een onderneming van 500 personen hebben totaal verschillende middelen, risico's en auditscopes—zelfs wanneer ze dezelfde ISO 27001- of SOC 2-certificering nastreven.

ISMS Copilot stemt aanbevelingen af wanneer u organisatorische context verstrekt. Dit transformeert theoretische beheersmaatregelen in praktische stappen die zijn afgestemd op uw sector, technologiestack, teamgrootte en volwassenheidsniveau.

Essentiële contextelementen

1. Bedrijfsomvang en structuur

Het aantal werknemers en de organisatiestructuur beïnvloeden de complexiteit van de beheersmaatregelen en de toewijzing van middelen.

Voorbeeld: "Wij zijn een startup van 25 personen met een engineeringteam van 5 personen, geen specifiek beveiligingspersoneel en een beperkt budget."

Waarom het belangrijk is: Kleine teams hebben behoefte aan gestroomlijnde, geautomatiseerde maatregelen in plaats van processen op ondernemingsschaal. ISMS Copilot adviseert SaaS-tools boven maatwerkoplossingen en gecombineerde rollen boven gespecialiseerde functies.

2. Sector en regelgevende omgeving

Uw sector bepaalt de toepasselijke regelgeving en risicoprioriteiten.

Voorbeelden:

  • "Healthcare SaaS die PHI verwerkt onder HIPAA"

  • "Fintech die betalingsgegevens verwerkt, onderworpen aan PCI DSS en AVG"

  • "B2B SaaS die verkoopt aan zakelijke klanten die SOC 2 vereisen"

Waarom het belangrijk is: De gezondheidszorg geeft prioriteit aan vertrouwelijkheid van patiëntgegevens; fintech legt de nadruk op integriteit van transacties; B2B SaaS richt zich op isolatie van klantgegevens. Beheersmaatregelen en bewijsvoering verschuiven dienovereenkomstig.

3. Technologiestack

Vermeld uw kerninfrastructuur, applicaties en beveiligingstools.

Voorbeeld: "We gebruiken AWS (EC2, RDS, S3), GitHub voor code, Google Workspace voor samenwerking, Okta voor SSO en Datadog voor monitoring."

Waarom het belangrijk is: Tool-specifieke begeleiding is beter dan generieke aanbevelingen. In plaats van "implementeer logboekregistratie", krijgt u "configureer AWS CloudTrail met S3-retentie en Datadog-waarschuwingen voor ISO 27001 A.8.15."

4. Huidige volwassenheid en doelen

Beschrijf waar u staat en waar u naartoe gaat.

Voorbeelden:

  • "Starten met ISO 27001-implementatie vanaf nul, audit over 12 maanden"

  • "Onderhouden van SOC 2 Type II, derde jaarlijkse audit over 6 maanden"

  • "Uitbreiden van ISO 27001 naar SOC 2 voor Amerikaanse klanten"

Waarom het belangrijk is: Bij een eerste implementatie zijn basismaatregelen en snelle successen nodig. Volwassen programma's vereisen optimalisatie en verfijning van bewijsmateriaal. Scenario's met meerdere frameworks profiteren van het in kaart brengen van beheersmaatregelen om duplicatie te verminderen.

5. Specifieke uitdagingen of beperkingen

Vermeld beperkingen, eerdere auditbevindingen of unieke situaties.

Voorbeelden:

  • "De vorige auditor maakte melding van zwak wachtwoordbeleid en gebrek aan MFA"

  • "Remote-first team verspreid over 15 landen, geen fysiek kantoor"

  • "Legacy-monoliet die wordt gemigreerd naar microservices op Kubernetes"

  • "Budgetbeperking: $10k totaal voor compliance-tooling"

Waarom het belangrijk is: Beperkingen bepalen de haalbare oplossingen. Remote-first verandert de fysieke beveiligingsmaatregelen; budgetlimieten beïnvloeden de toolkeuzes; auditbevindingen geven prioriteit aan sanering.

Context in actie: Voor en na

Voorbeeld 1: Toegangscontrolebeleid

❌ Zonder context: "Genereer een toegangscontrolebeleid voor SOC 2"

Resultaat: Een generiek beleidssjabloon dat aanzienlijke aanpassingen vereist voor rollen, tools en processen.

✅ Met context: "Genereer een toegangscontrolebeleid voor SOC 2 CC6 voor een SaaS-bedrijf van 50 personen dat Okta SSO, GitHub, AWS en Salesforce gebruikt. Neem driemaandelijkse toegangsbeoordelingen door managers en op rollen gebaseerde toegang voor engineering-, verkoop- en supportteams op."

Resultaat: Een conceptbeleid met genoemde tools, specifieke rollen, gedefinieerde beoordelingsfrequentie en procedures die klaar zijn voor audit.

Voorbeeld 2: Risicobeoordeling

❌ Zonder context: "Hoe voer ik een risicobeoordeling uit voor ISO 27001?"

Resultaat: Een algemeen overzicht van de methodologie zonder details over activa of prioritering.

✅ Met context: "Maak een sjabloon voor risicobeoordeling voor ISO 27001 A.5.7 voor een healthcare SaaS met 100k patiëntendossiers in AWS RDS, waarbij Stripe wordt gebruikt voor betalingen en Intercom voor support. Geef prioriteit aan HIPAA-relevante dreigingen."

Resultaat: Een sjabloon dat kritieke activa (patiëntendatabase, betalingsverwerker), relevante dreigingen (datalek, ransomware) en zorgspecifieke beheersmaatregelen identificeert.

Voorbeeld 3: Implementatie-stappenplan

❌ Zonder context: "Geef me een SOC 2-implementatieplan"

Resultaat: Fasen op hoog niveau zonder tijdlijn of afstemming van middelen.

✅ Met context: "Maak een SOC 2 Type I implementatie-stappenplan van 9 maanden voor een startup van 30 personen met één parttime security lead, gericht op de Trust Services Criteria voor Beveiliging en Beschikbaarheid. We gebruiken Google Workspace, GitHub, AWS en hebben basis MFA maar geen formeel beleid."

Resultaat: Een gefaseerd plan met snelle successen (formaliseren van bestaande MFA), mijlpalen die passen bij de middelen en tool-specifieke taken die zijn afgestemd op de tijdlijn en teamcapaciteit.

Gebruik Custom Instructions in Workspaces om de context eenmalig in te stellen voor alle queries in een project. Dit voorkomt dat u in elk bericht "Wij zijn een healthcare SaaS van 50 personen die AWS gebruikt..." moet herhalen.

Context organiseren met Workspaces

Maak voor klantwerk of scenario's met meerdere projecten afzonderlijke werkruimten aan met aangepaste instructies die het volgende bevatten:

  • Klantnaam en sector

  • Bedrijfsomvang en structuur

  • Technologiestack

  • Frameworks en audit-tijdlijnen

  • Specifieke prioriteiten of beperkingen

Voorbeeld instructie:

"Klant: Acme Corp, fintech van 120 personen, gevestigd in de EU. Technologie: Azure, GitHub, Salesforce, Okta. Implementatie van ISO 27001:2022 en voorbereiding op AVG-audit. Prioriteit: snelle resultaten voor certificering over 6 maanden, nadruk op datalocatie en encryptie. Budget: $25k voor tooling."

Alle queries in die werkruimte passen deze context automatisch toe zonder herhaling.

Meer informatie over Workspaces

Context voor verschillende query-typen

Beleidsgeneratie

Vermeld: rollen, tools, beoordelingsfrequenties, goedkeuringsworkflows

Voorbeeld: "Schrijf een incidentresponsbeleid voor ISO 27001 A.5.24. Rollen: Security Lead (Jane), CTO (goedkeuring), Engineering team (respons). Tools: PagerDuty voor waarschuwingen, Jira voor tracking, Slack voor communicatie. Beoordelingen na incidenten binnen 48 uur."

Gap-analyse

Vermeld: huidige status, doelframework, bekende zwakheden

Voorbeeld: "Analyseer onze huidige beveiligingsstatus ten opzichte van SOC 2 CC6-CC8. We hebben MFA via Okta, driemaandelijkse toegangsbeoordelingen, GitHub branch protection en AWS CloudTrail. Ontbrekend: formele documenten voor wijzigingsbeheer, risicobeoordelingen van leveranciers en DRP-testen."

Voorbereiding van bewijsmateriaal

Vermeld: auditscope, mogelijkheden voor bewijsverzameling, tools met logboekregistratie

Voorbeeld: "Welk bewijsmateriaal heb ik nodig voor ISO 27001 A.8.15 (logboekregistratie en monitoring)? We hebben AWS CloudTrail, Datadog APM en Okta-systeemlogboeken. Auditscope: AWS-productieomgeving en zakelijke SSO."

Implementatiebegeleiding

Vermeld: teamvaardigheden, tijdlijn, bestaande tools

Voorbeeld: "Hoe implementeer ik encryptie in rust (at rest) voor ISO 27001 A.8.24? Onze DevOps engineer heeft AWS-ervaring, we gebruiken RDS PostgreSQL en S3 voor bestandsopslag, en de implementatie moet over 4 weken voltooid zijn."

Vermijd het opnemen van werkelijke gevoelige gegevens (klantnamen, echte wachtwoorden, PII) in queries. Gebruik placeholders zoals "[klantendatabase]" of "[betalingsverwerker]" en schakel PII-reductie in als u over scenario's voor gegevensverwerking praat.

Wanneer de context moet worden bijgewerkt

Vernieuw de context wanneer uw organisatie verandert:

  • Aanzienlijke groei of inkrimping van het personeelsbestand

  • Adoptie van nieuwe technologie (bijv. migreren naar Kubernetes)

  • Wijzigingen in de regelgeving (bijv. nieuwe AVG-vereisten)

  • Bevindingen na een audit die herstel vereisen

  • Overgang van de implementatie- naar de onderhoudsfase

Werk de aangepaste instructies van de werkruimte bij in plaats van eerdere queries te bewerken.

Uw context testen

Controleer voordat u een query verzendt of u het volgende hebt opgenomen:

  1. Bedrijfsomvang en teamstructuur

  2. Sector en relevante regelgeving

  3. Belangrijkste technologieën en tools

  4. Huidige status en doelen

  5. Eventuele beperkingen of prioriteiten

Als een categorie van toepassing is op uw query, neem deze dan op.

Queries met een goede context produceren bij de eerste poging resultaten die klaar zijn voor de audit. Generieke queries vereisen meerdere verfijningsrondes, wat tijd en uw berichtenquotum kost.

Volgende stappen

Voeg organisatorische context toe aan uw volgende query. Vergelijk de kwaliteit en specificiteit van het antwoord met eerdere generieke pogingen.

Terug naar Overzicht Prompt Engineering

Was dit nuttig?