ISMS Copilot
Prompt engineering

Itereren en Verfijnen met Meerstapsgesprekken

De Kracht van Conversatiecontext

In tegenstelling tot eenmalige vragen aan algemene AI-tools, bewaart ISMS Copilot de gespreksgeschiedenis binnen workspaces. Elke vervolgvraag bouwt voort op eerdere antwoorden, waardoor u beleid kunt verfijnen, specifieke beheersmaatregelen kunt uitdiepen of aanbevelingen kunt aanpassen zonder de context te hoeven herhalen.

Deze iteratieve aanpak weerspiegelt hoe compliance-professionals werkelijk werken: begin met een overzicht van het framework, zoom in op prioritaire beheersmaatregelen, genereer eerste concepten en verfijn deze vervolgens op basis van organisatiespecifieke details en feedback van audits.

Hoe Contextbehoud Werkt

Binnen een workspace-gesprek onthoudt ISMS Copilot het volgende:

  • Aangepaste instructies die voor de workspace zijn ingesteld

  • Eerdere vragen en antwoorden in de huidige thread

  • Frameworks, beheersmaatregelen en organisatiedetails die eerder zijn genoemd

  • Documenten en beleid die in eerdere berichten zijn gegenereerd

  • Verduidelijkingen en beperkingen die u hebt opgegeven

Hierdoor kunt u verwijzen naar "het toegangsbeheerbeleid van eerder" of "A.5.15 uit het vorige antwoord uitdiepen" zonder alles opnieuw te hoeven benoemen.

Start nieuwe workspace-gesprekken voor niet-gerelateerde projecten (verschillende klanten, frameworks of fasen) om contextverwarring te voorkomen. Gebruik hetzelfde gesprek voor het itereren op verbonden taken.

Veelvoorkomende Iteratiepatronen

1. Verkennen → Focus → Implementeren

Begin breed, versmal naar details en genereer vervolgens de definitieve resultaten.

Voorbeeldgesprek:

  1. Verkennen: "Wat zijn de belangrijkste SOC 2 CC7-beheersmaatregelen voor systeemoperaties?"

  2. Focus: "Diep CC7.2 (systeemmonitoring) verder uit voor een SaaS-platform dat gebruikmaakt van Datadog en PagerDuty"

  3. Implementeren: "Maak een concept voor een systeemmonitoringprocedure voor CC7.2, inclusief drempelwaarden voor meldingen, escalatiepaden en incidentregistratie"

  4. Verfijnen: "Voeg een sectie toe over het beheer van fout-positieven en stem de meldingdrempels af op een uptime-SLA van 99,9%"

Elke stap gaat dieper, van concept naar implementatie naar operationele details.

2. Genereren → Beoordelen → Verbeteren

Maak een eerste versie, identificeer hiaten en verbeter vervolgens.

Voorbeeldgesprek:

  1. Genereren: "Maak een template voor een risicobeoordeling voor ISO 27001 A.5.7 voor onze AWS-infrastructuur"

  2. Beoordelen: "Behandelt dit template ook de risico's van multi-regio implementaties en integraties met derden?"

  3. Verbeteren: "Voeg secties toe voor risico's rondom gegevensreplicatie tussen regio's en beveiligingsbeoordelingen voor API-integraties"

  4. Valideren: "Welk bewijsmateriaal verwachten auditors voor deze aanpak van risicobeoordeling?"

Iteratieve verfijning levert audit-klare resultaten op zonder opnieuw te hoeven beginnen.

3. Vergelijken → Beslissen → Aanpassen

Evalueer opties, selecteer een aanpak en stem deze af op uw organisatie.

Voorbeeldgesprek:

  1. Vergelijken: "Wat zijn de voor- en nadelen van rolgebaseerde versus attribuutgebaseerde toegangscontrole voor ISO 27001 A.5.15?"

  2. Beslissen: "We gaan voor RBAC. Welke rollen moeten we definiëren voor een SaaS-bedrijf van 50 personen met engineering-, verkoop- en supportteams?"

  3. Aanpassen: "Genereer een RBAC-matrix die deze rollen mapt aan systemen: AWS, GitHub, Salesforce, Zendesk en beheertools"

  4. Implementeren: "Maak een procedure voor toegangsverlening op basis van dit RBAC-model met goedkeuringsworkflows"

Beslissingen sturen de volgende stappen aan zonder de redenatie te herhalen.

4. Beheersmaatregel → Bewijslast → Verificatie

Implementeer de maatregel, identificeer de benodigde bewijslast en plan de validatie.

Voorbeeldgesprek:

  1. Beheersmaatregel: "Hoe implementeer ik ISO 27001 A.8.15 logging voor AWS CloudTrail en applicatielogboeken?"

  2. Bewijslast: "Welk bewijsmateriaal toont naleving van A.8.15 aan voor een auditor?"

  3. Verificatie: "Maak een driemaandelijkse checklist voor logboekcontrole om de effectiviteit van A.8.15 te verifiëren en bewijslast bij te houden"

  4. Documenteren: "Schrijf de sectie over logging voor onze ISMS-documentatie met verwijzing naar deze beheersmaatregelen en de bewijslast"

End-to-end implementatie in één gespreksdraad.

Effectieve Vervolgtechnieken

Verwijzen naar Eerdere Resultaten

Gebruik zinnen die gebruikmaken van het geheugen van het gesprek:

  • "Ga dieper in op het derde punt van je laatste antwoord"

  • "Pas de risicomethodologie die we net hebben besproken toe op database-encryptie"

  • "Werk het conceptbeleid bij met die bewijslastvereisten"

  • "Voeg de tools die je noemde (Okta, AWS IAM) toe aan de toegangscontrolematrix"

Stapsgewijs Opbouwen

Voeg complexiteit geleidelijk toe in plaats van alles in één keer:

  1. "Maak een basisprocedure voor incidentrespons voor ISO 27001 A.5.24"

  2. "Voeg communicatietemplates toe voor interne escalatie en klantmeldingen"

  3. "Incorporeer integratie met onze PagerDuty-alarmering en Jira-ticketworkflow"

  4. "Breid de sectie over de evaluatie na incidenten uit met stappen voor oorzaakanalyse (root cause analysis)"

Door details in lagen aan te brengen, wordt voorkomen dat de eerste resultaten overweldigend zijn.

Begrip Testen

Verifieer of u op één lijn zit voordat u uitgebreide teksten laat genereren:

  • "Bevestig voordat je het volledige beleid schrijft: moet het zowel medewerkers als externe contractanten dekken?"

  • "Voldoet deze aanpak zowel aan ISO 27001 A.6.1 als aan onze AVG-verplichtingen?"

  • "Is een driemaandelijkse controlefrequentie voldoende voor SOC 2 CC6.1, of moet dit maandelijks zijn?"

Stuur vroegtijdig bij om herwerk te voorkomen.

Vragen naar Alternatieven

Verken opties binnen het gesprek:

  • "Wat is een alternatieve aanpak voor kleinere teams met een beperkt budget?"

  • "Laat me een vereenvoudigde versie zien voor de eerste implementatie, en daarna de volledige enterprise-aanpak"

  • "Vergelijk handmatige versus geautomatiseerde oplossingen voor deze beheersmaatregel"

De gesprekcontext wordt gereset tussen verschillende workspace-gesprekken. Verwacht niet dat ISMS Copilot details onthoudt van de workspace van een andere klant of uit een andere gespreksdraad binnen dezelfde workspace.

Voorbeelden per Scenario

Iteratie bij Beleidsontwikkeling

Stap 1: "Maak een concept voor een toegangsbeheerbeleid voor SOC 2 CC6 dat de toewijzing, beoordeling en beëindiging van gebruikers dekt"

Stap 2: "Voeg een sectie toe over het beheer van geprivilegieerde toegang voor admin-rollen in AWS en GitHub"

Stap 3: "Incorporeer procedures voor noodtoegang voor dienstdoende technici met logging na afloop"

Stap 4: "Herzie de controlefrequentie van driemaandelijks naar maandelijks voor geprivilegieerde accounts, en houd het op driemaandelijks voor standaardgebruikers"

Stap 5: "Voeg verwijzingen toe naar onze Okta SSO-configuratie en rolgebaseerde groepen"

Resultaat: Een uitgebreid, op maat gemaakt beleid gevormd door verfijning.

Diepe Duik in Gap-analyse

Stap 1: "Analyseer onze huidige beveiligingsstatus ten opzichte van ISO 27001:2022 Bijlage A.8 (technische beheersmaatregelen)"

Stap 2: "Focus op de hiaten die je hebt geïdentificeerd in A.8.1 (apparatuur van gebruikers) en A.8.15 (logging)"

Stap 3: "Welke tools voldoen voor het hiaat in endpointbeheer aan A.8.1 voor een remote-first team dat macOS en Windows gebruikt?"

Stap 4: "Maak een implementatieplan voor Jamf (macOS) en Intune (Windows) dat voldoet aan de eisen van A.8.1"

Stap 5: "Welke bewijslast hebben auditors nodig om de naleving van A.8.1 met deze tools te verifiëren?"

Resultaat: Van een gap-analyse op hoog niveau naar toolselectie en een implementatieplan in één thread.

Afstemming tussen Meerdere Frameworks

Stap 1: "We moeten voldoen aan zowel ISO 27001 A.5.24 (incidentbeheer) als SOC 2 CC7.3-7.5. Welke overlappen zijn er?"

Stap 2: "Maak een uniform incidentresponsplan dat beide frameworks dekt"

Stap 3: "Voeg specifieke secties toe voor de unieke SOC 2-vereisten die je noemde (beschikbaarheidsincidenten en tijdlijnen voor communicatie)"

Stap 4: "Voeg een tabel toe waarin elke stap van de procedure wordt gemapt aan de relevante ISO 27001- en SOC 2-beheersmaatregelen voor traceerbaarheid tijdens de audit"

Resultaat: Een efficiënt enkelvoudig plan met duidelijke compliance-mapping.

Problemen bij Implementatie Oplossen

Stap 1: "Hoe implementeer ik MFA voor ISO 27001 A.5.17 met behulp van Okta?"

Stap 2: "We hebben legacy-applicaties die geen SAML ondersteunen. Hoe gaan we daarmee om?"

Stap 3: "Stel een compenserende maatregel voor voor de legacy-apps totdat we deze kunnen migreren"

Stap 4: "Documenteer de aanpak van de compenserende maatregel voor de beoordeling door de auditor, inclusief de tijdlijn voor de volledige MFA-migratie"

Resultaat: Een pragmatische oplossing die rekening houdt met technische beperkingen.

Lange Gesprekken Beheren

We weten dat de beperkingen bij lange gesprekken frustrerend kunnen zijn. Onze hoogste technische prioriteit op dit moment is het implementeren van berichtcompressie om veel langere gesprekken mogelijk te maken zonder uw verbruikslimieten zwaar te belasten. Hoewel langere gesprekken altijd meer tokens zullen verbruiken (dat is hoe AI werkt), zal compressie u veel dichter bij oneindige gesprekken brengen met een minimale impact op het verbruik. Verwachte oplevering: eind februari tot begin maart 2026.

Wanneer Doorgaan versus Opnieuw Beginnen

Ga door met het gesprek wanneer u:

  • Voortbouwt op eerdere resultaten (beleid verfijnen, procedure uitbreiden)

  • Gerelateerde beheersmaatregelen in volgorde doorloopt (A.5.1 → A.5.2 → A.5.3)

  • Itereert op één specifiek resultaat (verfijning van risicobeoordeling)

  • Problemen oplost bij de implementatie van een besproken beheersmaatregel

  • Het gesprek nog minder dan 15-20 berichten bevat

Start een nieuw gesprek wanneer u:

  • Overschakelt naar een niet-gerelateerd framework of domein (SOC 2 → AVG)

  • In een andere projectfase komt (van implementatie naar auditvoorbereiding)

  • De context te complex wordt (10+ interacties over meerdere onderwerpen)

  • Een schone lei nodig hebt zonder eerdere aannames

  • Het gesprek meer dan 20 berichten bevat (voor efficiënt verbruik, totdat compressie beschikbaar is)

Samenvatten voor Helderheid

Vat in lange gesprekken periodiek samen:

Voorbeeld: "Om onze beslissingen tot nu toe te bevestigen: we gebruiken RBAC met 5 rollen (Admin, Developer, Sales, Support, Contractor), driemaandelijkse toegangsbeoordelingen behalve maandelijks voor admins, Okta SSO voor alle apps behalve de legacy CRM waarvoor compenserende maatregelen gelden. Laten we nu het formele beleid opstellen."

Dit herstelt het gedeelde begrip en voorkomt afwijkingen.

Gebruik het dropdownmenu voor de antwoordstijl (Beknopt/Normaal/Gedetailleerd) strategisch: Beknopt voor snelle iteraties, Gedetailleerd voor eerste concepten, Normaal voor de meeste verfijningen.

Iteratie Combineren met Andere Technieken

Iteratie + Aangepaste Instructies

Stel workspace-instructies in voor een consistente context over alle stappen heen:

Instructie: "SaaS in de gezondheidszorg, 80 medewerkers, AWS-infrastructuur, implementatie van ISO 27001:2022 met HIPAA-afstemming, audit over 8 maanden"

Vraagvolgorde: Elke vraag erft deze context over zonder deze opnieuw te hoeven benoemen

Iteratie + Bestandsuploads

Upload eenmalig, verwijs er het hele gesprek naar:

  1. Upload: Voeg het huidige toegangsbeheerbeleid bij (PDF)

  2. Stap 1: "Beoordeel dit beleid ten opzichte van SOC 2 CC6 en identificeer hiaten"

  3. Stap 2: "Herschrijf de sectie over toegangsbeoordeling om de gevonden hiaten aan te pakken"

  4. Stap 3: "Voeg de bewijslastvereisten die je noemde toe aan een nieuwe Bijlage A"

Iteratie + Persona's

Wissel halverwege het gesprek van persona voor verschillende perspectieven:

  1. Implementeerder-persona: "Geef me een stapsgewijze MFA-implementatie voor Okta"

  2. Auditor-persona: "Beoordeel dat implementatieplan—welk bewijsmateriaal zal er ontbreken?"

  3. Consultant-persona: "Hoe rechtvaardig ik de implementatiekosten bij onze CFO?"

Meerdere invalshoeken op hetzelfde onderwerp in één thread.

Verminderde Meeropbrengst Herkennen

Stop met itereren wanneer:

  • U micro-aanpassingen maakt die de audit-bereidheid niet verbeteren

  • Vervolgvragen de eerdere context niet meer nauwkeurig verwerken (teken van overbelasting van het gesprek)

  • U dezelfde vraag meerdere keren op een andere manier stelt

  • Resultaten minder nuttig of algemener worden

Sla op dat moment de beste versie op en ga over tot implementatie of start een nieuw gesprek.

Iteratief Werk Opslaan

Best practices voor het bewaren van gespreksresultaten:

  • Kopieer definitieve versies naar uw documentatiebeheer na elke grote verfijning

  • Gebruik het gesprek als een audittrail die laat zien hoe het beleid/de procedure is geëvolueerd

  • Exporteer belangrijke antwoorden voor beoordeling door stakeholders voordat u verder itereert

  • Geef workspaces duidelijke namen om gesprekken later terug te vinden ("ISO 27001 - Toegangsbeheer - Klant ABC")

In meerstapsgesprekken komt de specialisatie van ISMS Copilot het beste tot zijn recht. Algemene AI-tools verliezen context of nauwkeurigheid na 2-3 stappen. ISMS Copilot behoudt compliance-specifiek begrip gedurende gehele implementatieprojecten.

Volgende Stappen

Start een meerstapsgesprek voor uw volgende compliance-taak. Begin met een vraag op hoofdlijnen en gebruik vervolgens 3-5 vervolgvragen om het resultaat te verfijnen tot een resultaat dat klaar is voor implementatie. Merk op hoe contextbehoud de kwaliteit versnelt.

Terug naar Overzicht Prompt Engineering

Was dit nuttig?