ISMS Copilot
Engineering

Dynamic Framework Knowledge Injection

Wat is Dynamic Framework Knowledge Injection?

Dynamic Framework Knowledge Injection is de kerntechnologie die ISMS Copilot onderscheidt van algemene AI-assistenten. Wanneer u een vraag stelt over compliance-frameworks, detecteert het systeem automatisch naar welke frameworks u verwijst en verrijkt het de context van de AI met gezaghebbende kennis. Dit garandeert nauwkeurige, audit-ready antwoorden die gebaseerd zijn op de feitelijke framework-eisen.

Deze functie werkt automatisch in elk gesprek. Geen configuratie nodig — noem gewoon een framework zoals "ISO 27001" of "GDPR" en het systeem doet de rest.

Waarom we dit hebben gebouwd

Algemene AI-modellen zijn getraind op brede internetkennis, wat twee problemen veroorzaakt voor compliance-professionals:

  • Risico op hallucinaties: AI kan met veel vertrouwen maatregelen of eisen citeren die niet bestaan

  • Verouderde informatie: Framework-updates (zoals ISO 27001:2022) zijn mogelijk niet verwerkt in de trainingsdata

We hadden een manier nodig om elk antwoord te baseren op geverifieerde, actuele framework-kennis zonder dat gebruikers voor elk gesprek honderden pagina's aan documentatie van normen hoeven te uploaden.

Hoe het werkt (op hoofdlijnen)

Het injectiesysteem werkt in drie fasen tijdens elke chat-interactie:

1. Intelligente detectie

Het systeem monitort uw gesprek op vermeldingen van compliance-frameworks. Dit werkt voor expliciete verwijzingen ("ISO 27001 Annex A.8.1") en impliciete verwijzingen ("wat zijn de eisen voor toegangscontrole?" in een werkomgeving gericht op informatiebeveiliging).

2. Kennis ophalen

Wanneer een framework wordt gedetecteerd, haalt het systeem de relevante gestructureerde kennis op — maatregelen, clausules, eisen en mappings — uit onze eigen kennisbank die is opgebouwd uit echte consultancyprojecten en officiële framework-documentatie.

Het ophalen is selectief en efficiënt. In plaats van volledige framework-documenten te laden, worden alleen de relevante delen geïnjecteerd op basis van de context van uw vraag.

3. Context-verrijking

Voordat de AI een antwoord genereert, wordt de framework-kennis in de prompt-context geïnjecteerd. Dit zorgt ervoor dat het antwoord van de AI is gebaseerd op nauwkeurige, actuele framework-eisen in plaats van generieke trainingsdata.

Ondersteunde Frameworks

Het systeem ondersteunt momenteel automatische kennisinjectie voor veertien compliance-frameworks:

  • ISO 27001:2022 – Managementsysteem voor informatiebeveiliging

  • ISO 42001:2023 – AI-managementsysteem

  • ISO 27701:2019 – Privacy Information Management System

  • SOC 2 – Trust Services Criteria

  • HIPAA – Health Insurance Portability and Accountability Act

  • GDPR / AVG – Algemene Verordening Gegevensbescherming

  • CCPA – California Consumer Privacy Act

  • NIS 2 – Netwerk- en Informatiebeveiligingsrichtlijn

  • DORA – Digital Operational Resilience Act

  • ISO 9001:2015 – Kwaliteitsmanagementsysteem

  • ISO 22301:2019 – Business Continuity Managementsysteem

  • HDS v2.0 – Franse certificering voor hosting van gezondheidsgegevens

  • TISAX – Trusted Information Security Assessment Exchange

  • EU AI Act – Verordening betreffende kunstmatige intelligentie van de Europese Unie

Extra frameworks worden toegevoegd op basis van gebruikersvraag en onderzoek van ons GRC-engineeringteam naar opkomende regelgeving.

De gebruikerservaring

Wanneer u een bericht verstuurt dat framework-detectie activeert, ziet u laadindicatoren zoals:

  • "Uw vraag analyseren..."

  • "Framework-kennis raadplegen..."

  • "Antwoord voorbereiden..."

Dit duurt meestal 5-15 seconden. Het antwoord dat u ontvangt, bevat specifieke verwijzingen naar framework-eisen, maatregelen of clausules — het bewijs dat de kennisinjectie heeft gewerkt.

Ondersteuning voor meerdere frameworks: Als uw vraag betrekking heeft op meerdere frameworks (bijv. "Hoe worden ISO 27001 en SOC 2 maatregelen gemapt voor toegangsbeheer?"), injecteert het systeem tegelijkertijd kennis voor alle gedetecteerde frameworks.

Evolutie van RAG

ISMS Copilot v1.0 gebruikte Retrieval-Augmented Generation (RAG), die telkens in een vector-database zocht naar relevante stukken tekst. Hoewel effectief, had RAG beperkingen:

  • Variabele kwaliteit van resultaten afhankelijk van de formulering van de vraag

  • Hogere latentie door het opzoeken in databases

  • Moeite met het handhaven van volledige dekking van frameworks

In december 2024 zijn we overgestapt op dynamische injectie met gestructureerde, gecureerde framework-kennis. Deze aanpak biedt:

  • Consistentie: Dezelfde framework-vermelding haalt altijd dezelfde gezaghebbende kennis op

  • Snelheid: Geen latentie door vector-zoeken

  • Volledigheid: Volledige framework-structuren (maatregelen, clausules, mappings) on-demand beschikbaar

  • Onderhoudbaarheid: GRC-engineers kunnen framework-kennis centraal bijwerken wanneer normen veranderen

Overzicht Technische Architectuur

Hoewel de specifieke implementatiedetails vertrouwelijk zijn, volgt de architectuur de best practices uit de sector voor contextuele AI-systemen:

  • Detectielaag: Patroonherkenning identificeert framework-verwijzingen in de gespreksgeschiedenis

  • Kennislaag: Gestructureerde markdown-tabellen bevatten maatregelen, clausules en eisen voor elk framework

  • Injectielaag: Geselecteerde kennis wordt toegevoegd aan de system prompt vóór de AI-inferentie

  • Responselaag: AI genereert antwoorden gebaseerd op de geïnjecteerde framework-kennis

Token-efficiëntie is cruciaal. Het injecteren van volledige framework-documentatie (10.000+ tokens) zou de contextlimieten van het model overschrijden en antwoorden vertragen. Het systeem haalt selectief alleen op wat nodig is voor elke vraag.

Kwaliteitsborging

Framework-kennis ondergaat een strikte beoordeling voordat deze in het systeem wordt opgenomen:

  • Verificatie door GRC-engineers: Ons team van compliance-professionals valideert alle framework-inhoud aan de hand van officiële bronnen

  • Menselijke beoordeling: Elke update aan framework-kennis wordt handmatig gecontroleerd op nauwkeurigheid en volledigheid

  • Versiebeheer: Framework-kennis wordt voorzien van versies (bijv. ISO 27001:2022 vs. 2013) om te garanderen dat gebruikers de huidige normen krijgen

Dit dubbele beoordelingsproces — validatie door GRC-engineers plus grondig menselijk toezicht — garandeert dat de kennis die u ontvangt voldoet aan kwaliteitsnormen die geschikt zijn voor audits.

Wat dit betekent voor gebruikers

Wanneer u ISMS Copilot gebruikt, krijgt u:

  • Nauwkeurige antwoorden: Gebaseerd op feitelijke framework-eisen, niet op gefantaseerde inhoud

  • Actuele informatie: De kennisbank weerspiegelt de nieuwste framework-versies en updates

  • Audit-ready output: Antwoorden bevatten specifieke verwijzingen naar maatregelen/clausules die u kunt verifiëren

  • Geen configuratie: U hoeft geen normdocumenten te uploaden of instellingen te configureren

Voor meer details over hoe ISMS Copilot AI-hallucinaties voorkomt door middel van kennis-grounding, zie AI-hallucinaties begrijpen en voorkomen.

Was dit nuttig?