ISMS Copilot
Prompt engineering

Complexe Verzoeken Opsplitsen

Waarom Complexe Zoekopdrachten Opsplitsen?

Compliance-projecten bestaan uit gelaagde taken: beleid vereist risicobeoordelingen, implementaties vereisen leveranciersevaluaties en audits vereisen bewijslast voor tientallen beheersmaatregelen. Als u ISMS Copilot vraagt om in één keer "de SOC 2-audit voor te bereiden", levert dit slechts algemene richtlijnen op over te veel onderwerpen.

Opeenvolgende, gerichte vragen leveren diepere, bruikbaardere antwoorden op. Elke stap bouwt voort op de vorige, waardoor u de richting kunt verfijnen en problemen vroegtijdig kunt signaleren, in plaats van achteraf te ontdekken dat er gaten zitten in 50 pagina's aan generieke documentatie.

Voordelen van Opeenvolgende Vragen

  • Hogere kwaliteit per onderwerp – Gerichte prompts leveren gedetailleerde, audit-klare resultaten op in plaats van beknopte samenvattingen

  • Gemakkelijkere verificatie – Beoordeel één beheersmaatregel of beleidspunt tegelijk tegen de standaarden, in plaats van volledige frameworks

  • Aanpasbare koers – Pas vervolgvragen aan op basis van tussentijdse bevindingen zonder verspilde moeite

  • Beter gebruik van berichtenquotum – De limieten van het gratis abonnement stimuleren efficiëntie; gerichte vragen maximaliseren de waarde per bericht

  • Contextbehoud – Workspaces bewaren de gespreksgeschiedenis, zodat latere vragen kunnen verwijzen naar eerdere resultaten

Opmerking: Onze hoogste technische prioriteit is het implementeren van berichtcompressie (verwacht eind februari tot begin maart 2026) om veel langere gesprekken mogelijk te maken zonder uw gebruikslimieten zwaar te belasten. Dit zal opeenvolgende workflows met meerdere stappen nog efficiënter maken.

Hoe u Complexe Verzoeken Kunt Ontleden

1. Begin met de Afbakening (Scoping)

Eerste vraag: Begrijp het volledige landschap voordat u in detail treedt.

Voorbeeld van een complex doel: "Implementeer ISO 27001 voor onze startup"

Scoping-vraag: "Wat zijn de belangrijkste fasen en beheersmaatregelen voor ISO 27001:2022-implementatie in een SaaS-bedrijf met 40 medewerkers en een tijdlijn van 9 maanden?"

Resultaat: Een roadmap op hoog niveau, prioritaire beheersmaatregelen en schattingen van middelen. Gebruik dit om volgende vragen te structureren.

2. Behandel Eén Domein Tegelijk

Doorloop de domeinen van het framework of de Trust Services Criteria opeenvolgend.

Voorbeeldvolgorde voor SOC 2:

  1. "Welke SOC 2 CC6 (logische toegang) controls zijn van toepassing op een SaaS-platform dat Okta en AWS gebruikt?"

  2. "Genereer een procedure voor de beoordeling van gebruikerstoegang voor CC6.1 met driemaandelijkse beoordelingen door managers"

  3. "Welk bewijs toont aan dat CC6.2 (authenticatie) voldoet middels MFA via Okta?"

  4. "Stel een wachtwoordbeleid op dat voldoet aan de CC6.1-vereisten voor ons team"

Elke vraag produceert een volledige, implementeerbare output voor die specifieke maatregel voordat u verdergaat.

3. Werk van Hooflijnen naar Details

Begin breed en zoom vervolgens in op details op basis van de eerste antwoorden.

Volgorde:

  1. "Wat zijn de ISO 27001 Annex A.5 organisatorische beheersmaatregelen?" (overzicht)

  2. "Diep de vereisten voor A.5.1 (informatiebeveiligingsbeleid) verder uit" (gericht)

  3. "Stel een informatiebeveiligingsbeleid op voor A.5.1 voor een healthcare SaaS met HIPAA-vereisten" (implementatie)

  4. "Welk bewijs verwachten auditors voor de goedkeuring en communicatie van het A.5.1-beleid?" (audit-voorbereiding)

Elke stap verdiept het begrip voordat u zich vastlegt op documentatie.

4. Scheid Generatie van Beoordeling

Vraag niet tegelijkertijd om documentcreatie en gap-analyse.

❌ Overbelaste vraag: "Maak een risicobeoordeling voor ISO 27001 en vertel me wat er ontbreekt in onze huidige aanpak"

✅ Opeenvolgende aanpak:

  1. "Beoordeel ons huidige risicobeoordelingsproces [bijlage] tegen ISO 27001 A.5.7 en identificeer de tekortkomingen"

  2. "Maak een sjabloon voor risicobeoordeling die de geïdentificeerde hiaten aanpakt voor onze AWS-omgeving"

Dit zorgt ervoor dat de gap-analyse het ontwerp van het sjabloon informeert, en niet andersom.

5. Pak Afhankelijkheden in Volgorde aan

Sommige compliance-taken vereisen voorafgaande resultaten.

Voorbeeld van een afhankelijkheidsketen:

  1. "Welke assets moeten we opnemen in een ISO 27001 asset-inventaris voor een SaaS-platform?" (basis)

  2. "Maak een classificatieschema voor assets voor klantgegevens, interne systemen en code-repositories" (structuur)

  3. "Genereer een risicobeoordelingssjabloon met gebruik van de asset-inventaris en classificaties" (bouwt voort op 1-2)

  4. "Stel risicobehandelingsplannen op voor de prioritaire risico's uit de beoordeling" (bouwt voort op 3)

Elke output voedt de volgende, waardoor een samenhangende documentatie ontstaat.

Gebruik Workspaces om de context te behouden tijdens workflows met meerdere stappen. ISMS Copilot onthoudt eerdere gesprekswendingen, zodat latere vragen kunnen verwijzen naar "de risicobeoordeling van eerder" of "het beleid dat we net hebben gemaakt".

Voorbeelden per Scenario

Scenario 1: Eerste SOC 2-audit

Complex verzoek: "Help me met de voorbereiding op de SOC 2 Type I-audit over 6 maanden"

Opgesplitst:

  1. "Wat zijn de SOC 2 Trust Services Criteria voor Security en Availability, en welke zijn van toepassing op een B2B SaaS-platform?"

  2. "Maak een SOC 2-gereedheidschecklist voor een bedrijf met 50 personen met nog 6 maanden tot de audit"

  3. "Genereer een informatiebeveiligingsbeleid dat CC1.1-1.5 (governance en risico) dekt"

  4. "Welk proces voor risicobeoordeling van leveranciers voldoet aan CC9.2 voor onze SaaS-afhankelijkheden (AWS, Stripe, SendGrid)?"

  5. "Stel een incident response plan op voor CC7.3 met rollen, escalatie en communicatieprocedures"

  6. "Met welke bewijsmateriaalverzameling moeten we nu beginnen voor CC6.1 (toegangsbeoordelingen) gezien de driemaandelijkse beoordelingscycli?"

Zes gerichte vragen zijn beter dan één overweldigend verzoek.

Scenario 2: ISO 27001 Gap-remediatie

Complex verzoek: "Los onze ISO 27001 auditbevindingen op voor toegangscontrole, wijzigingsbeheer en logging"

Opgesplitst:

  1. "Onze auditor rapporteerde ontoereikende toegangsbeoordelingen voor ISO 27001 A.5.18. Ontwerp een driemaandelijks proces voor toegangsbeoordeling voor Okta, AWS IAM en GitHub"

  2. "Maak een wijzigingsbeheerprocedure voor A.8.32 die onze GitHub + AWS CodePipeline CI/CD-workflow dekt met approval gates"

  3. "Welke loggingconfiguratie voldoet aan ISO 27001 A.8.15 voor AWS CloudTrail, applicatielogboeken in Datadog en Okta-systeemlogboeken?"

  4. "Genereer procedures voor bewijsmateriaalverzameling voor de nieuwe maatregelen voor toegangsbeoordeling, wijzigingsbeheer en logging"

Behandelt elke bevinding grondig met details over de implementatie.

Scenario 3: Afstemming tussen Meerdere Frameworks

Complex verzoek: "Mapt ISO 27001- en SOC 2-controls om dubbel werk te verminderen"

Opgesplitst:

  1. "Welke SOC 2-controls overlappen met ISO 27001:2022 Annex A.5 (organisatorische beheersmaatregelen)?"

  2. "Maak één toegangsbeleid dat voldoet aan zowel ISO 27001 A.5.15-5.18 als SOC 2 CC6.1-6.3"

  3. "Hoe kan één incident response procedure zowel de vereisten van ISO 27001 A.5.24 als SOC 2 CC7.3-7.5 dekken?"

  4. "Ontwerp een uniform proces voor de verzameling van bewijsmateriaal voor overlappende maatregelen in beide frameworks"

Identificeert synergieën voordat gedeelde documentatie wordt gemaakt.

Scenario 4: Documentbeoordeling en Verbetering

Complex verzoek: "Beoordeel al ons beleid en werk het bij voor de nieuwe ISO 27001:2022-norm"

Opgesplitst:

  1. "Wat is er veranderd tussen ISO 27001:2013 en 2022 dat invloed heeft op bestaand beleid?" (begrip)

  2. "Beoordeel ons informatiebeveiligingsbeleid [bijlage] tegen ISO 27001:2022 A.5.1 en stel updates voor" (één beleidsstuk)

  3. "Beoordeel ons toegangsbeleid [bijlage] tegen de nieuwe maatregelen A.5.15-5.18 en identificeer de gaten" (volgende beleidsstuk)

  4. "Werk onze risicobeoordelingsmethodologie bij om de nieuwe A.5.7-vereisten voor cloud-assets op te nemen" (specifieke update)

Een systematische beoordeling is beter dan proberen alles tegelijk bij te werken.

Herkennen Wanneer u Moet Opsplitsen

Uw vraag is te complex als deze:

  • Vraagt om resultaten voor 5 of meer controls of domeinen

  • Vraagt om zowel strategische sturing als implementatiedetails

  • Generatie, beoordeling en gap-analyse combineert

  • Meerdere frameworks beslaat zonder een prioriteit op te geven

  • Het woord "en" of "ook" meer dan twee keer bevat

Complexe vragen leiden vaak tot oppervlakkige resultaten die sowieso uitgebreide vervolgvragen vereisen. Beginnen met gerichte vragen bespaart tijd en verbetert de kwaliteit van de eerste opzet.

Context Behouden Over Meerdere Vragen

Binnen een gesprek in een workspace onthoudt ISMS Copilot eerdere interacties. Gebruik verwijzingen zoals:

  • "Diep het proces voor toegangsbeoordeling uit de vorige reactie verder uit"

  • "Pas de risicomethodologie die we bespraken toe op databaseversleuteling"

  • "Werk het conceptbeleid bij met de bewijsvereisten die je zojuist hebt opgesomd"

Dit bouwt stapsgewijs aan samenhangende documentatie zonder de draad kwijt te raken.

Wanneer Complexiteit wel Gepast is

Sommige vragen profiteren juist van het bundelen van gerelateerde elementen:

  • Implementatie van een enkele maatregel – "Implementeer ISO 27001 A.8.24 (cryptografie) voor versleuteling in rust, in transit en sleutelbeheer voor onze AWS-omgeving" (één domein, gerelateerde aspecten)

  • Vergelijkende analyse – "Vergelijk de toegangsvereisten van ISO 27001, SOC 2 en NIST CSF voor ons SaaS-platform" (bewuste blik over meerdere raamwerken)

  • Geïntegreerde procedures – "Maak een gecombineerde onboarding/offboarding procedure voor ISO 27001 A.5.17 en SOC 2 CC6.1 met roltoewijzing in Okta, AWS, GitHub en Salesforce" (een natuurlijk geïntegreerde workflow)

De sleutel: gerelateerde elementen met natuurlijke verbanden versus ongerelateerde taken die bij elkaar geforceerd zijn.

Succes Meten

Effectieve ontleding levert het volgende op:

  • Antwoorden die u onmiddellijk kunt implementeren zonder grote aanpassingen

  • Duidelijk begrip van elke component voordat u verdergaat

  • Herbruikbare resultaten (beleid, sjablonen, procedures) zonder hiaten

  • Efficiënt gebruik van het berichtenquotum (kwaliteit boven kwantiteit)

Als u drie keer een vraag stelt over hetzelfde onderwerp, was uw eerste vraag waarschijnlijk te breed of te vaag.

Beschouw gesprekken met ISMS Copilot als pair programming: iteratieve, gerichte uitwisselingen produceren betere resultaten dan proberen een heel systeem in één verzoek te ontwerpen. Hetzelfde geldt voor compliance-documentatie.

Volgende Stappen

Neem uw volgende complexe compliance-taak en schets 3-5 opeenvolgende vragen om deze aan te pakken. Merk op hoe elke gerichte stap kwalitatief betere en beter uitvoerbare richtlijnen oplevert.

Terug naar Overzicht Prompt Engineering

Was dit nuttig?