ISMS Copilot
Prompt engineering

Bestanden uploaden voor context en analyse

Waarom bestanden uploaden?

Compliancewerk draait om documenten: bestaande beleidsregels, auditrapporten, risicobeoordelingen, leverancierscontracten en inventarissen van bedrijfsmiddelen. Deze in tekst beschrijven verspilt tijd en vergroot de kans op fouten. Door bestanden direct te uploaden, krijgt ISMS Copilot nauwkeurige context voor gap-analyses, aanbevelingen voor verbetering en compliance-mapping.

Bestandsanalyse transformeert vage vragen zoals "Is ons beleid goed genoeg?" naar specifieke, bruikbare feedback: "Uw toegangscontrolebeleid voldoet aan SOC 2 CC6.1 en CC6.2, maar mist de CC6.3-vereisten voor monitoring van geprivilegieerde toegang. Voeg secties toe voor..."

Ondersteunde bestandstypen en limieten

ISMS Copilot accepteert:

  • PDF – Beleid, auditrapporten, certificeringen, leveranciersbeoordelingen

  • DOCX – Conceptbeleid, procedures, documentatiesjablonen

  • XLS/XLSX – Risicoregisters, inventarissen van bedrijfsmiddelen, controlematrices, bewijslogs

Bestandsgrootte: Tot 10 MB per bestand

Lengte: Documenten tot ongeveer 20 pagina's worden effectief verwerkt; langere documenten moeten mogelijk in delen worden gesplitst

Uploadlocatie: Voeg bestanden toe via het paperclip-icoon in het tekstvak

Geüploade bestanden worden verwerkt met dezelfde privacystandaarden als tekstvragen: end-to-end versleuteling, opslag in de EU (Frankfurt) en nooit gebruikt voor AI-training. Vermijd echter het uploaden van bestanden met werkelijke wachtwoorden, API-sleutels of persoonlijk identificeerbare informatie (PII), tenzij dit noodzakelijk is.

Veelvoorkomende scenario's voor het uploaden van bestanden

1. Gap-analyse

Upload bestaand beleid of documentatie voor een compliance-beoordeling.

Voorbeeldvraag met upload: "Beoordeel dit toegangscontrolebeleid [bijlage PDF] tegenover de SOC 2 CC6.1-6.3 vereisten. Identificeer ontbrekende controles, verouderde terminologie en hiaten in bewijsvoering voor een Type II-audit."

ISMS Copilot-reactie: Specifieke secties die updates nodig hebben, ontbrekende controles (bijv. monitoring van geprivilegieerde toegang voor CC6.3), aanbevolen toevoegingen en bewijsvereisten.

Voorbeeld auditrapport: "Analyseer de bevindingen van onze laatste ISO 27001-surveillance-audit [bijlage PDF]. Prioriteer herstelacties op basis van ernst en maak een actieplan met tijdlijnen."

2. Beleidsverbetering

Verbeter bestaande documentatie om te voldoen aan nieuwe standaarden of frameworks.

Voorbeeldvraag: "Update dit informatiebeveiligingsbeleid [bijlage DOCX] van ISO 27001:2013 naar de 2022-vereisten. Markeer secties die herziening nodig hebben en stel nieuwe tekst voor voor gewijzigde controles."

ISMS Copilot-reactie: Een zij-aan-zij vergelijking van oude versus nieuwe vereisten, herziene beleidssecties en nieuwe controls om toe te voegen (bijv. A.5.7 threat intelligence, A.8.23 webfiltering).

3. Beoordeling van risicoanalyse

Valideer risicomethodologie en scores tegen frameworkvereisten.

Voorbeeldvraag: "Beoordeel dit risicoregister [bijlage XLSX] tegen de ISO 27001 A.5.7 vereisten. Zijn de dreigingsbronnen volledig? Is onze 1-5 scoring passend? Welke risico's missen we voor een cloud-first SaaS-platform?"

ISMS Copilot-reactie: Beoordeling van de methodologie, suggesties voor extra dreigingscategorieën (bijv. supply chain, insider threats), ontbrekende asset-risicokoppelingen en feedback op de kalibratie van de scores.

4. Leveranciersbeoordeling

Evalueer certificeringen en contracten van derden op compliance.

Voorbeeldvraag: "Analyseer dit SOC 2-rapport van de leverancier [bijlage PDF] voor onze risicobeoordeling van derden. Dekt het de diensten die wij gebruiken (dataopslag en verwerking)? Zijn er relevante uitzonderingen of voorbehouden? Voldoet het aan onze SOC 2 CC9.2 vereisten?"

ISMS Copilot-reactie: Dekking van de service-scope, opmerkelijke uitzonderingen, hiaten in controles en aanbevelingen voor vervolgvragen aan de leverancier.

5. Bewijsvoering in kaart brengen (Evidence Mapping)

Koppel bestaande bewijsstukken aan auditvereisten.

Voorbeeldvraag: "Map dit trainingslogboek voor security awareness [bijlage XLSX] aan de ISO 27001 A.6.3 bewijsvereisten. Welk aanvullend bewijs hebben we nodig voor de certificeringsaudit?"

ISMS Copilot-reactie: Huidige dekking van bewijsmateriaal, ontbrekende elementen (bijv. voortgangsregistratie, testscores, rolspecifieke training) en aanbevolen verbeteringen voor het logboek.

6. Verificatie van controle-implementatie

Valideer technische configuraties tegen controlevereisten.

Voorbeeldvraag: "Beoordeel deze AWS CloudTrail configuratiedocumentatie [bijlage PDF] tegen de ISO 27001 A.8.15 (logging en monitoring) vereisten. Is de retentieperiode voldoende? Blijven kritieke gebeurtenissen gedekt?"

ISMS Copilot-reactie: Beoordeling of de configuratie toereikend is, ontbrekende logbronnen (bijv. applicatielogs, databasetoegang), aanbevelingen voor retentieperiodes en hiaten in alarmering.

7. Evaluatie van sjablonen

Beoordeel of sjablonen voldoen aan framework-standaarden.

Voorbeeldvraag: "Evalueer dit sjabloon voor incidentrespons [bijlage DOCX] voor SOC 2 CC7.3-7.5 compliance. Bevat het alle vereiste elementen (detectie, respons, communicatie, evaluatie na incident)? Wat ontbreekt er?"

8. Vergelijking van meerdere documenten

Analyseer meerdere bestanden op consistentie of dekking.

Voorbeeldvraag: "Vergelijk ons toegangscontrolebeleid [bijlage DOCX] met ons feitelijke logboek van toegangsbeoordelingen [bijlage XLSX]. Volgen we onze gedocumenteerde procedures? Waar wijken de praktijk en het beleid van elkaar af?"

Voeg bestanden toe aan het begin van een gesprek om context te scheppen voor alle vervolgvragen. ISMS Copilot onthoudt geüploade documenten binnen de conversatie in de workspace.

Effectieve vragen voor bestandsuploads

Specificeer wat geanalyseerd moet worden

Upload niet alleen een bestand met de tekst "Bekijk dit". Geef richting:

  • ❌ "Wat vind je hiervan?" [bijlage beleid]

  • ✅ "Beoordeel dit classificatiebeleid voor gegevens tegenover de ISO 27001 A.5.12 vereisten. Controleer op volledigheid, de juiste vertrouwelijkheidsniveaus en verwerkingsprocedures."

Vermeld uw framework en scope

Bestanden hebben van zichzelf geen context over welke standaard van toepassing is:

  • ❌ "Voldoet dit beleid aan de regels?" [bijlage toegangscontrolebeleid]

  • ✅ "Beoordeel dit toegangscontrolebeleid tegen SOC 2 CC6.1-6.3 voor onze komende Type II-audit. Focus op user provisioning, beoordelingen en geprivilegieerde toegang."

Geef de gewenste output aan

Specificeer wat u terug verwacht:

  • "Maak een gap-analysetabel met de kolommen: Vereiste, Huidige staat, Gap (J/N), Aanbeveling"

  • "Geef een aangepaste versie met inline suggesties voor wijzigingen"

  • "Maak een lijst van de top 5 prioriteitsverbeteringen gerangschikt op auditrisico"

  • "Genereer een compliance-checklist die laat zien welke controles zijn aangepakt versus welke ontbreken"

Geef organisatorische context

Bestanden onthullen niet uw bedrijfsgrootte, tech-stack of beperkingen:

Voorbeeld: "Beoordeel dit bedrijfscontinuïteitsplan [bijlage PDF] tegen ISO 27001 A.5.29 voor een SaaS-bedrijf van 60 personen met AWS-infrastructuur en een 99,9% uptime SLA. Zijn de RTO's en RPO's passend? Is onze back-upstrategie voldoende?"

Analyse van meerdere bestanden

Upload meerdere gerelateerde bestanden voor een uitgebreide beoordeling:

Voorbeeldvraag: "Beoordeel deze drie beleidstukken [bijlagen: InfoSec Policy.pdf, Access Control Policy.pdf, Incident Response Policy.pdf] op consistentie en volledigheid tegen de ISO 27001:2022 Annex A.5 organisatorische controles. Identificeer tegenstrijdigheden, gaten en redundanties."

Voorbeeld kruisverwijzing: "Vergelijk onze gedocumenteerde changemanagementprocedure [bijlage DOCX] met de werkelijke Jira-wijzigingslogs [bijlage XLSX]. Volgen we ons proces? Waar treden afwijkingen op?"

Hoewel u meerdere bestanden per vraag kunt uploaden, werkt het analyseren van 2-3 gerelateerde documenten het best. Meer dan dat kan de focus verwateren — overweeg opeenvolgende vragen voor grote sets documenten.

Best practices voor het uploaden van bestanden

Vóór het uploaden

  1. Verwijder gevoelige gegevens: Anonimiseer werkelijke klantnamen, inloggegevens en PII als deze niet essentieel zijn voor de analyse.

  2. Controleer de bestandsgrootte: Zorg dat deze onder de 10 MB blijft; comprimeer of splits grote bestanden indien nodig.

  3. Gebruik duidelijke bestandsnamen: "Toegangscontrolebeleid_v2.pdf" is beter dan "Document1.pdf".

  4. Verifieer het bestandstype: Converteer niet-ondersteunde formaten (bijv. .pages naar .docx).

In uw vraag

  1. Verwijs naar de upload: "Beoordeel het bijgevoegde risicoregister..." verduidelijkt welk document bedoeld wordt als er meerdere bestanden in het gesprek staan.

  2. Leg het doel van het bestand uit: "Dit is ons huidige beleid dat een update nodig heeft naar de 2022-standaard."

  3. Stel verwachtingen: "Focus op hiaten, niet op opmaakfouten" of "Prioriteer bevindingen met een hoog risico".

Na het uploaden

  1. Itereer op basis van bevindingen: "Ga dieper in op de CC6.3-gap die je hebt geïdentificeerd — welke specifieke controles ontbreken er?"

  2. Vraag om herzieningen: "Herschrijf de sectie over toegangsbeoordelingen om die gaten op te vullen."

  3. Genereer gerelateerde inhoud: "Maak een bewijs-checklist voor de controles die in dit beleid worden behandeld."

Problemen met uploaden oplossen

Upload mislukt of time-out

  • Controleer de bestandsgrootte (moet onder de 10 MB zijn)

  • Controleer het bestandstype (alleen PDF, DOCX, XLS/XLSX)

  • Probeer grote bestanden in secties op te splitsen

  • Zorg voor een stabiele internetverbinding

Analyse mist belangrijke punten

  • Geef specifiekere aanwijzingen in uw vraag ("Focus op sectie 3.2 over geprivilegieerde toegang")

  • Upload een bronbestand van hogere kwaliteit (bijv. originele DOCX versus gescande PDF)

  • Splits documenten met meerdere onderwerpen op in aparte uploads met gerichte vragen

Antwoord verwijst naar het verkeerde framework

  • Noem het framework expliciet in de vraag: "Beoordeel tegen ISO 27001:2022, niet SOC 2"

  • Controleer de aangepaste instructies (custom instructions) van de workspace op conflicterende context

Bestandsverwerking duurt te lang

  • Grote bestanden (15+ pagina's) kunnen 30-60 seconden nodig hebben voor verwerking

  • Complexe spreadsheets met veel tabbladen kunnen de reactie vertragen

  • Gescande PDF's (afbeeldingen) verwerken langzamer dan tekstgebaseerde PDF's

Privacy- en beveiligingsoverwegingen

De bestandsverwerking van ISMS Copilot voldoet aan strikte privacystandaarden:

  • Versleuteling: Bestanden worden versleuteld tijdens verzending en in rust

  • Dataremmitentie: Opgeslagen in datacenters in de EU (Frankfurt)

  • Geen AI-training: Geüploade inhoud wordt nooit gebruikt om modellen te trainen

  • Toegangscontroles: Bestanden zijn alleen zichtbaar binnen uw workspace

  • Bewaartermijn: Bestanden worden bewaard zolang het gesprek duurt; verwijder de workspace om ze definitief te verwijderen

Wanneer PII-reductie gebruiken: Schakel de PII-reductie-schakelaar in als bestanden voorbeelden bevatten met echte namen, e-mails of identificatoren die niet essentieel zijn voor de analyse.

Voor bestanden met zeer gevoelige gegevens (M&A-contracten, directiebeloningen, werkelijke incidentforensics met PII), overweeg om geanonimiseerde versies te uploaden of tijdelijke aanduidingen (placeholders) te gebruiken in vragen in plaats van volledige documenten.

Bestandsuploads combineren met andere technieken

Bestanden + Aangepaste instructies

Stel de workspace-context in en upload vervolgens bestanden — de context wordt automatisch toegepast:

Instructie: "Financieel dienstverlener, 200 werknemers, implementeert ISO 27001:2022"

Upload + Vraag: "Beoordeel bijgevoegd toegangscontrolebeleid tegen A.5.15-5.18" (het is niet nodig om branche/grootte te herhalen)

Bestanden + Persona's

Wissel van persona voor verschillende analysemethoden:

  1. Auditor-persona: "Beoordeel dit beleid [bijlage] op SOC 2-auditbereidheid — welke bewijshiaat bestaat er?"

  2. Implementeerder-persona: "Geef op basis van dat beleid stapsgewijze implementatietaken voor ons DevOps-team"

Bestanden + Iteratieve verfijning

Upload één keer, verfijn via het gesprek:

  1. Upload: Voeg het huidige risicoregister toe

  2. Stap 1: "Beoordeel tegen ISO 27001 A.5.7 — wat ontbreekt er?"

  3. Stap 2: "Voeg de ontbrekende cloud-infrastructuurrisico's toe die je hebt geïdentificeerd"

  4. Stap 3: "Update de risicoscores met de 5x5 matrix die je hebt voorgesteld"

  5. Stap 4: "Genereer risicobehandelingsplannen voor risico's met een score van 15 of hoger"

Voorbeeldworkflows

Workflow 1: Beleidsmodernisering

  1. Upload verouderd beleid (ISO 27001:2013-tijdperk toegangscontrolebeleid)

  2. Vraag: "Vergelijk dit beleid met de ISO 27001:2022 A.5.15-5.18 vereisten. Wat is er veranderd?"

  3. Vervolg: "Herschrijf Sectie 4 (Toegangsbeoordelingen) om te voldoen aan de nieuwe A.5.18-vereisten"

  4. Vervolg: "Voeg een nieuwe Sectie 5 toe voor geprivilegieerde toegang (A.5.17) met onze AWS- en GitHub-beheerdersrollen"

  5. Finaal: "Genereer een goedkeuringsmemo voor de CTO waarin de wijzigingen en de voordelen voor compliance worden uitgelegd"

Workflow 2: Auditvoorbereiding

  1. Upload 3 bestanden: Toegangscontrolebeleid, logboek toegangsbeoordelingen (XLSX), Okta-configuratiedocument

  2. Vraag: "Beoordeel SOC 2 CC6.1-gereedheid met behulp van deze documenten. Welk bewijs is sterk? Wat ontbreekt er?"

  3. Vervolg: "Maak een herstelplan voor het ontbrekende bewijs met een tijdlijn van 60 dagen"

  4. Vervolg: "Stel een bijgewerkte procedure voor toegangsbeoordeling op, inclusief jouw aanbevelingen"

  5. Finaal: "Genereer een briefingdocument voor de auditor waarin onze CC6.1-controles en bewijsvoering worden samengevat"

Workflow 3: Risicobeoordeling van leveranciers

  1. Upload SOC 2-rapport leverancier + leverancierscontract

  2. Vraag: "Evalueer het SOC 2-rapport van deze leverancier voor onze CC9.2-vereisten. Dekt het de gegevensverwerkingsdiensten binnen de scope van ons contract?"

  3. Vervolg: "Welke vragen moeten we stellen in een vragenlijst voor de leverancier om de gevonden hiaten aan te pakken?"

  4. Vervolg: "Stel een samenvatting van de risicobeoordeling van de leverancier op voor onze compliancecommissie"

Bestandsuploads zijn het krachtigst wanneer ze worden gecombineerd met specifieke vragen en iteratieve verfijning. Uploaden, analyseren, verbeteren, verifiëren — allemaal in één workspace-gesprek.

Volgende stappen

Identificeer een bestaand beleid, rapport of beoordeling die herzien moet worden. Upload het met een specifieke gap-analyse of verbeteringsvraag en ervaar hoe bestandscontext uw compliancewerk versnelt.

Terug naar Overzicht Prompt Engineering

Was dit nuttig?