ISMS Copilot
Prompt engineering

Complexe verzoeken opsplitsen

Waarom complexe queries opsplitsen?

Compliance-projecten bestaan uit gelaagde taken: beleid vereist risicobeoordelingen, implementaties hebben leveranciersevaluaties nodig en audits vereisen bewijslast voor tientallen beheersingsmaatregelen (controls). Als u ISMS Copilot in één query vraagt om "voor te bereiden op een SOC 2-audit", levert dit oppervlakkige begeleiding op over te veel onderwerpen.

Opeenvolgende, gerichte queries leveren diepere, bruikbaardere antwoorden op. Elke stap bouwt voort op de vorige, waardoor u de richting kunt verfijnen en problemen vroegtijdig kunt signaleren, in plaats van gaten te ontdekken nadat u 50 pagina's aan generieke documentatie heeft gegenereerd.

Voordelen van opeenvolgende queries

  • Hogere kwaliteit per onderwerp – Gerichte prompts zorgen voor gedetailleerde, audit-ready resultaten in plaats van beknopte samenvattingen

  • Gemakkelijkere verificatie – Beoordeel één control of beleid per keer tegen standaarden, in plaats van volledige frameworks

  • Aanpasbare richting – Pas vervolgstappen aan op basis van tussenresultaten zonder verspilde moeite

  • Beter gebruik van uw berichtenquotum – De limieten van het gratis abonnement stimuleren efficiëntie; gerichte queries maximaliseren de waarde per bericht

  • Behoud van context – Werkruimtes behouden de gespreksgeschiedenis, zodat latere queries kunnen verwijzen naar eerdere resultaten

Opmerking: Berichtcompressie is nu live voor de Think-modus (Claude Opus 4.6), wat veel langere gesprekken mogelijk maakt zonder uw gebruikslimieten zwaar te belasten. Ondersteuning voor de Fast-modus volgt binnenkort. Dit maakt opeenvolgende stappenplannen nog efficiënter.

Hoe u complexe verzoeken ontleedt

1. Begin met scopen

Eerste query: Begrijp het volledige landschap voordat u in de details duikt.

Voorbeeld van een complex doel: "Implementeer ISO 27001 voor onze startup"

Scoping-query: "Wat zijn de belangrijkste fasen en controls voor de ISO 27001:2022-implementatie in een SaaS-bedrijf van 40 personen met een tijdlijn van 9 maanden?"

Resultaat: Een roadmap op hoog niveau, prioritaire controls en schattingen van middelen. Gebruik dit om volgende queries te structureren.

2. Behandel één domein per keer

Loop opeenvolgend door de domeinen van het framework of de Trust Services Criteria.

Voorbeeldvolgorde voor SOC 2:

  1. "Welke SOC 2 CC6 (logische toegang) controls zijn van toepassing op een SaaS-platform dat gebruikmaakt van Okta en AWS?"

  2. "Genereer een procedure voor gebruikersbeoordeling voor CC6.1 met driemaandelijkse beoordelingen door managers"

  3. "Welk bewijs toont CC6.2 (authenticatie) compliance aan bij gebruik van MFA via Okta?"

  4. "Stel een wachtwoordbeleid op dat voldoet aan de CC6.1-vereisten voor ons team"

Elke query produceert een volledige, implementeerbare output voor die specifieke control voordat u doorgaat.

3. Werk van hoog niveau naar detail

Begin breed en zoom vervolgens in op details op basis van de eerste antwoorden.

Volgorde:

  1. "Wat zijn de organisatorische controls van ISO 27001 Annex A.5?" (overzicht)

  2. "Werk de vereisten van A.5.1 (informatiebeveiligingsbeleid) verder uit" (gericht)

  3. "Stel een informatiebeveiligingsbeleid op voor A.5.1 voor een healthcare SaaS met HIPAA-vereisten" (implementatie)

  4. "Welk bewijs verwachten auditors voor de goedkeuring en communicatie van het A.5.1-beleid?" (auditvoorbereiding)

Elke stap verdiept het begrip voordat u zich vastlegt op documentatie.

4. Scheid genereren van beoordelen

Vraag niet tegelijkertijd om documentcreatie en een gap-analyse.

❌ Overbelaste query: "Maak een risicobeoordeling voor ISO 27001 en vertel me wat er ontbreekt in onze huidige aanpak"

✅ Opeenvolgende aanpak:

  1. "Beoordeel ons huidige risicobeoordelingsproces [bijlage] tegen ISO 27001 A.5.7 en identificeer de gaten"

  2. "Maak een sjabloon voor risicobeoordeling die de geïdentificeerde gaten aanpakt voor onze AWS-omgeving"

Dit zorgt ervoor dat de gap-analyse het ontwerp van het sjabloon informeert, en niet andersom.

5. Pak afhankelijkheden in de juiste volgorde aan

Sommige compliance-taken vereisen voorafgaande resultaten.

Voorbeeld van een afhankelijkheidsketen:

  1. "Welke activa moeten we opnemen in een ISO 27001 inventaris voor een SaaS-platform?" (basis)

  2. "Maak een classificatieschema voor klantgegevens, interne systemen en code-repositories" (structuur)

  3. "Genereer een sjabloon voor risicobeoordeling op basis van de inventaris en classificaties" (bouwt voort op 1-2)

  4. "Stel plannen voor risicobehandeling op voor de hoogste prioriteit risico's uit de beoordeling" (bouwt voort op 3)

Elke output voedt de volgende, waardoor coherente documentatie ontstaat.

Gebruik werkruimtes om context te behouden over workflows met meerdere stappen. ISMS Copilot onthoudt eerdere gesprekspunten, zodat latere queries kunnen verwijzen naar "de risicobeoordeling van eerder" of "het beleid dat we zojuist hebben gemaakt."

Voorbeelden per scenario

Scenario 1: Eerste SOC 2-audit

Complex verzoek: "Help me voor te bereiden op de SOC 2 Type I-audit over 6 maanden"

Opgesplitst:

  1. "Wat zijn de SOC 2 Trust Services Criteria voor Security en Availability, en welke zijn van toepassing op een B2B SaaS-platform?"

  2. "Maak een SOC 2 readiness-checklist voor een bedrijf van 50 personen met nog 6 maanden tot de audit"

  3. "Genereer een informatiebeveiligingsbeleid dat CC1.1-1.5 (governance en risico) dekt"

  4. "Welk leveranciersrisicobeoordelingsproces voldoet aan CC9.2 voor onze SaaS-afhankelijkheden (AWS, Stripe, SendGrid)?"

  5. "Stel een incident response plan op voor CC7.3 met rollen, escalatie en communicatieprocedures"

  6. "Met welke bewijsverzameling moeten we nu beginnen voor CC6.1 (toegangsbeoordelingen) gezien de kwartaalcycli?"

Zes gerichte queries zijn beter dan één overweldigend verzoek.

Scenario 2: ISO 27001 gap-remediatie

Complex verzoek: "Herstel onze ISO 27001-auditbevindingen op het gebied van toegangscontrole, wijzigingsbeheer en logging"

Opgesplitst:

  1. "Onze auditor merkte ontoereikende toegangsbeoordelingen op voor ISO 27001 A.5.18. Ontwerp een driemaandelijks proces voor Okta, AWS IAM en GitHub"

  2. "Maak een procedure voor wijzigingsbeheer voor A.8.32 die onze GitHub + AWS CodePipeline CI/CD-workflow dekt met goedkeuringsmomenten"

  3. "Welke loggingconfiguratie voldoet aan ISO 27001 A.8.15 voor AWS CloudTrail, applicatielogs in Datadog en Okta-systeemlogs?"

  4. "Genereer procedures voor bewijsverzameling voor de nieuwe controls voor toegangsbeoordeling, wijzigingsbeheer en logging"

Behandelt elke bevinding grondig met details over de implementatie.

Scenario 3: Afstemming tussen meerdere frameworks

Complex verzoek: "Map ISO 27001 en SOC 2 controls om dubbel werk te verminderen"

Opgesplitst:

  1. "Welke SOC 2 controls overlappen met ISO 27001:2022 Annex A.5 (organisatorische controls)?"

  2. "Maak één toegangscontrolebeleid dat voldoet aan zowel ISO 27001 A.5.15-5.18 als SOC 2 CC6.1-6.3"

  3. "Hoe kan één incident response procedure voldoen aan zowel ISO 27001 A.5.24 als SOC 2 CC7.3-7.5 vereisten?"

  4. "Ontwerp een uniform proces voor bewijsverzameling voor overlappende controls in beide frameworks"

Identificeert synergieën voordat er gedeelde documentatie wordt gemaakt.

Scenario 4: Documentbeoordeling en verbetering

Complex verzoek: "Beoordeel al ons beleid en werk het bij voor de nieuwe ISO 27001:2022-norm"

Opgesplitst:

  1. "Wat is er veranderd tussen ISO 27001:2013 en 2022 dat invloed heeft op bestaand beleid?" (begrip)

  2. "Beoordeel ons informatiebeveiligingsbeleid [bijlage] tegen ISO 27001:2022 A.5.1 en stel updates voor" (één beleid)

  3. "Beoordeel ons toegangscontrolebeleid [bijlage] tegen de nieuwe controls A.5.15-5.18 en identificeer gaten" (volgende beleid)

  4. "Werk onze risicobeoordelingsmethodologie bij met de nieuwe A.5.7-vereisten voor cloud-assets" (specifieke update)

Systematische beoordeling is beter dan proberen alles tegelijkertijd bij te werken.

Herkennen wanneer u moet opsplitsen

Uw query is te complex als deze:

  • Outputs aanvraagt voor 5 of meer controls of domeinen

  • Vraagt om zowel strategische begeleiding als implementatiedetails

  • Generatie, beoordeling en gap-analyse combineert

  • Meerdere frameworks bestrijkt zonder prioriteit aan te geven

  • De woorden "en" of "ook" meer dan twee keer bevat

Complexe queries leveren vaak oppervlakkige resultaten op die sowieso uitgebreide vervolgvragen vereisen. Beginnen met gerichte queries bespaart tijd en verbetert de kwaliteit van de eerste versie.

Context behouden over queries heen

Binnen een gesprek in een werkruimte onthoudt ISMS Copilot eerdere interacties. Gebruik verwijzingen zoals:

  • "Breid het proces voor toegangsbeoordeling uit de vorige reactie verder uit"

  • "Pas de risicomethodologie die we besproken hebben toe op database-encryptie"

  • "Werk het conceptbeleid bij met de bewijsvereisten die je zojuist hebt opgesomd"

Dit bouwt stapsgewijs aan samenhangende documentatie zonder de draad kwijt te raken.

Wanneer complexiteit wel gepast is

Sommige queries hebben baat bij het bundelen van gerelateerde elementen:

  • Implementatie van een enkele control – "Implementeer ISO 27001 A.8.24 (cryptografie) voor encryptie in rust, in transit en sleutelbeheer voor onze AWS-omgeving" (één domein, gerelateerde aspecten)

  • Vergelijkende analyse – "Vergelijk de toegangscontrole-vereisten van ISO 27001, SOC 2 en NIST CSF voor ons SaaS-platform" (bewuste blik over meerdere frameworks)

  • Geïntegreerde procedures – "Maak een gecombineerde onboarding/offboarding-procedure die voldoet aan ISO 27001 A.5.17 en SOC 2 CC6.1 met role provisioning in Okta, AWS, GitHub en Salesforce" (natuurlijk geïntegreerde workflow)

De sleutel: gerelateerde elementen met natuurlijke verbindingen versus ongerelateerde taken die samen worden geforceerd.

Succes meten

Effectieve ontleding produceert:

  • Antwoorden die u onmiddellijk kunt implementeren zonder grote aanpassingen

  • Duidelijk begrip van elk onderdeel voordat u verdergaat

  • Herbruikbare resultaten (beleid, sjablonen, procedures) zonder gaten

  • Efficiënt gebruik van het berichtenquotum (kwaliteit boven kwantiteit)

Als u drie keer een query stelt over hetzelfde onderwerp, was uw eerste vraag waarschijnlijk te breed of te vaag.

Zie gesprekken met ISMS Copilot als pair programming: iteratieve, gerichte uitwisselingen leveren betere resultaten op dan proberen een volledig systeem in één verzoek te ontwerpen. Hetzelfde geldt voor compliance-documentatie.

Volgende stappen

Neem uw volgende complexe compliance-taak en schets 3-5 opeenvolgende queries om deze aan te pakken. Merk op hoe elke gerichte stap kwalitatief betere en bruikbaardere begeleiding oplevert.

Terug naar Overzicht Prompt Engineering

Was dit nuttig?