ISMS Copilot
ISMS opbouwen met Copilot

ISMS bouwen met Copilot: Een starters-workflow

Deze gids leidt u door het bouwen van een ISMS vanaf nul met ISMS Copilot, van het instellen van de workspace tot het genereren van uw kernset met documenten. Volg deze workflow om een gestructureerde, audit-klare basis te leggen voor uw ISO 27001-implementatie.

Wat u zult bereiken

Aan het einde van deze workflow beschikt u over:

  • Een speciale workspace voor uw ISMS-project

  • Projectinstructies op maat voor uw organisatie

  • Kern-ISMS-documenten: beleid, risicobeoordeling en Verklaring van Toepasselijkheid

  • Een duidelijk pad om AI-gegenereerde output te valideren en te verbeteren

Vereisten

Verzamel het volgende voordat u begint:

  • Uw frameworkkeuze (ISO 27001:2022 is de standaard voor nieuwe ISMS-bouw)

  • Basiscontext van de organisatie: sector, bedrijfsgrootte, systemen binnen de scope

  • Alle bestaande beveiligingsdocumentatie (beleid, procedures, diagrammen) om te uploaden

ISMS Copilot ondersteunt ISO 27001:2022, ISO 42001:2023, SOC 2, AVG (GDPR), HIPAA, DORA, NIS2 en meer. Deze workflow richt zich op ISO 27001 als het meest voorkomende startpunt, maar dezelfde aanpak geldt voor andere frameworks.

Stap 1: Maak een speciale workspace

Uw ISMS-project heeft zijn eigen workspace nodig om gesprekken, context en gegenereerde documenten op één plek georganiseerd te houden.

  1. Navigeer naar de sectie Workspaces in de zijbalk

  2. Klik op Add workspace of de + knop

  3. Geef uw workspace een beschrijvende naam: ISO 27001 Implementatie of [Bedrijfsnaam] — ISO 27001

  4. Klik op Create Workspace

Voor gedetailleerde instructies voor het instellen van een workspace, zie Hoe u uw eerste workspace aanmaakt en instelt.

Stap 2: Projectinstructies toevoegen

Projectinstructies geven de AI blijvende context over uw organisatie. Dit betekent dat u niet in elk gesprek dezelfde achtergronddetails hoeft te herhalen.

Om projectinstructies toe te voegen:

  1. Open uw workspace en klik op Edit op de workspace-kaart

  2. Zoek het tekstveld Project Instructions

  3. Voer de context van uw organisatie in

  4. Klik op Save Changes

Wat u moet opnemen

Effectieve projectinstructies bevatten:

  • Sector en bedrijfsgrootte — bijv. "B2B SaaS, 50 medewerkers, cloud-native op AWS"

  • Scope van het framework — bijv. "ISO 27001:2022, volledige ISMS-certificering"

  • Huidige volwassenheid — bijv. "Geen bestaand ISMS, beginnend vanaf nul"

  • Belangrijkste systemen — bijv. "GitHub, Google Workspace, AWS, Stripe"

  • Outputvoorkeuren — bijv. "Formeel taalgebruik geschikt voor auditdocumentatie"

Voorbeeld van projectinstructies

Industry: B2B SaaS (healthcare sector)
Framework: ISO 27001:2022
Scope: Full ISMS implementation
Team: 45 employees, 3-person security team
Systems: GitHub, AWS, Google Workspace, Stripe
Current state: No existing ISMS, starting fresh
Output style: Formal, audit-ready documents

Vermijd het opnemen van gevoelige gegevens in projectinstructies: echte klantnamen, e-mailadressen van medewerkers, specifieke budgetcijfers of details over beveiligingsincidenten. Gebruik in plaats daarvan algemene beschrijvingen.

Stap 3: Kies een persona

Elke workspace kan een standaardpersona hebben die de AI-antwoorden vormgeeft. Kies voor het bouwen van een ISMS de persona die bij uw rol past:

  • Implementeerder — Het beste voor het vanaf nul opbouwen van een ISMS. Antwoorden richten zich op uitvoerbare stappen, beleidssjablonen en begeleiding bij de implementatie van beheersmaatregelen.

  • Consultant — Het beste als u een organisatie adviseert. Antwoorden bevatten strategische aanbevelingen en resultaten voor de klant.

  • Standaard — Algemene begeleiding voor gemengde taken.

Om een persona in te stellen:

  1. Open de workspace-instellingen (klik op Edit op de workspace-kaart)

  2. Selecteer uw persona in het dropdownmenu Default Persona

  3. Klik op Save Changes

Stap 4: Genereer uw kern-ISMS-documenten

Begin met het genereren van documenten zodra uw workspace is geconfigureerd. Begin met de fundamentele ISMS-artefacten en bouw van daaruit verder.

Aanbevolen volgorde van genereren

  1. Gap-analyse — Begrijp wat u heeft versus wat ISO 27001 vereist

  2. Risicobeoordeling — Identificeer activa, bedreigingen en behandelplannen

  3. Verklaring van Toepasselijkheid — Documenteer welke Annex A-beheersmaatregelen van toepassing zijn

  4. Kernbeleid — Informatiebeveiligingsbeleid, toegangsbeheerbeleid, acceptabel gebruiksbeleid

  5. Ondersteunende procedures — Incidentbeheer, wijzigingsbeheer, back-upprocedures

Voorbeeld prompts

Start met deze prompts in uw workspace:

Create a gap analysis table for ISO 27001:2022 Annex A controls.
Include columns: control ID, requirement, current status, gap description, priority.
Generate an information security policy for a SaaS company.
Reference ISO 27001 clauses 5.1-5.2 and include version control headers.
Create a risk assessment template with asset inventory, threat analysis,
and risk treatment plan. Format as a structured table.

Gebruik de Think mode voor uitgebreide sessies voor het genereren van documenten. Think mode ondersteunt eindeloze gesprekken door automatische compressie, waardoor u zonder onderbreking meerdere beleidsstukken kunt genereren. Zie Efficiënt meerdere documenten genereren voor details.

Stap 5: Toegang tot uw gegenereerde documenten

Documenten die binnen een workspace zijn gegenereerd, worden opgeslagen in de bestandsruimte van die workspace. Om ze te vinden:

  1. Navigeer naar uw workspace

  2. Scrol naar de sectie Generated Files

  3. Klik op een bestand voor een voorbeeld of om het te downloaden

Voor gedetailleerd bestandsbeheer, zie Toegang tot door workspace gegenereerde bestanden.

Alleen documenten die binnen die specifieke workspace zijn gegenereerd, verschijnen in de bijbehorende bestandsruimte. Documenten die buiten een workspace zijn gemaakt, worden niet automatisch gekoppeld.

Stap 6: Valideer AI-output voor ingebruikname

AI-gegenereerde documenten versnellen uw werk, maar ze moeten worden gevalideerd voordat u ze als definitieve artefacten beschouwt. ISMS Copilot vermindert het risico op hallucinaties door injectie van frameworkkennis, maar u moet kritieke output nog steeds verifiëren.

Snelle validatiechecklist

  • Controleer steekproefsgewijs de nummers van beheersmaatregelen tegen de officiële ISO 27001:2022-standaard

  • Controleer of de AI de huidige versie van het framework heeft gebruikt (2022, niet 2013)

  • Controleer of de implementatiebegeleiding overeenkomt met uw werkelijke tech-stack

  • Bevestig dat de bewijsvereisten haalbaar zijn voor de grootte van uw organisatie

  • Stel vervolgvragen om de diepgang te testen: "Waarom is deze beheersmaatregel vereist?"

Voor uitgebreide verificatiestappen, zie Hoe u door AI gegenereerde compliance-checklists voor ISO 27001 en SOC 2 verifieert.

Alarmsignalen om op te letten

  • Beheersmaatregel-ID's die de nummering van ISO 27001 Annex A niet volgen (A.5.1 tot A.8.34)

  • Algemene tijdelijke aanduidingen zoals "YourCompany" die niet zijn aangepast

  • Implementatiestappen die uitgaan van enterprise-resources die u niet heeft

  • Ontbrekende bewijsvereisten voor beheersmaatregelen die verificatie vereisen

Stap 7: Itereren en uitbreiden

Het bouwen van een ISMS is een iteratief proces. Na uw kerndocumenten:

  • Verfijn op basis van tekortkomingen — Uw gap-analyse laat zien wat er ontbreekt. Genereer eerst beleid voor gaten met een hoge prioriteit.

  • Upload bestaande documenten — Als u beveiligingsbeleid of -procedures heeft, upload deze dan voor een gap-analyse en een controle op afstemming.

  • Maak documentatie voor beheersmaatregelen — Genereer sjablonen voor implementatiebewijs voor elke Annex A-beheersmaatregel in uw Verklaring van Toepasselijkheid.

  • Bereid u voor op de audit — Genereer checklists voor interne audits en sjablonen voor managementbeoordelingen naarmate de certificering dichterbij komt.

Voor organisatiestrategieën voor workspaces naarmate uw ISMS groeit, zie Hoe u compliance-projecten organiseert met workspaces.

Checklist voor de starters-workflow

Gebruik deze checklist om uw voortgang tijdens de ISMS-bouw bij te houden:

  • Maak een speciale workspace voor uw ISMS-project

  • Voeg projectinstructies toe met de context van de organisatie

  • Stel de persona 'Implementeerder' in voor uitvoerbare begeleiding

  • Genereer een gap-analyse om ontbrekende beheersmaatregelen te identificeren

  • Maak een risicobeoordeling met activa-inventaris en behandelplan

  • Genereer een Verklaring van Toepasselijkheid voor de toepasbare beheersmaatregelen

  • Stel kernbeleid op (informatiebeveiliging, toegangsbeheer, acceptabel gebruik)

  • Valideer de output tegen de officiële frameworkvereisten

  • Breid uit naar specifieke procedures voor beheersmaatregelen en bewijssjablonen

Wat nu

Was dit nuttig?