ISMS Copilot
Prompt engineering

Itereren en verfijnen met gesprekken over meerdere ronden

De kracht van gesprekcontext

In tegenstelling tot eenmalige vragen aan generieke AI-tools, behoudt ISMS Copilot de gespreksgeschiedenis binnen workspaces. Elke vervolgvraag bouwt voort op eerdere antwoorden, waardoor u beleidsregels kunt verfijnen, specifieke controles kunt uitbreiden of aanbevelingen kunt aanpassen zonder de context te herhalen.

Deze iteratieve aanpak weerspiegelt hoe compliance-professionals daadwerkelijk werken: begin met een overzicht van het framework, zoom in op prioritaire controles, genereer eerste concepten en verfijn deze vervolgens op basis van organisatiespecifieke kenmerken en auditfeedback.

Hoe contextbehoud werkt

Binnen een workspace-gesprek onthoudt ISMS Copilot het volgende:

  • Aangepaste instructies ingesteld voor de workspace

  • Eerdere query's en antwoorden in de huidige thread

  • Frameworks, controles en organisatorische details die eerder zijn genoemd

  • Documenten en beleidsregels die in eerdere berichten zijn gegenereerd

  • Verduidelikingen en beperkingen die u hebt opgegeven

Hiermee kunt u verwijzen naar "het toegangscontrolebeleid van eerder" of "A.5.15 uit het vorige antwoord uitbreiden" zonder alles opnieuw te hoeven formuleren.

Start nieuwe workspace-gesprekken voor ongerelateerde projecten (verschillende klanten, frameworks of fasen) om contextverwarring te voorkomen. Gebruik hetzelfde gesprek voor het itereren op verbonden taken.

Veelvoorkomende iteratiepatronen

1. Verkennen → Focussen → Implementeren

Begin breed, vernauw tot details en genereer vervolgens de op te leveren resultaten.

Voorbeeldgesprek:

  1. Verkennen: "Wat zijn de belangrijkste SOC 2 CC7-controles voor systeembeheer?"

  2. Focus: "Breid CC7.2 (systeembewaking) uit voor een SaaS-platform dat gebruikmaakt van Datadog en PagerDuty"

  3. Implementeren: "Stel een systeembewakingsprocedure op voor CC7.2 inclusief drempelwaarden voor alerts, escalatiepaden en incidentregistratie"

  4. Verfijnen: "Voeg een sectie toe over het beheer van fout-positieven en stem de drempelwaarden voor alerts af op een 99,9% uptime SLA"

Elke ronde gaat dieper, van concept naar implementatie naar operationele details.

2. Genereren → Controleren → Verbeteren

Creëer de eerste output, identificeer tekortkomingen en verbeter deze vervolgens.

Voorbeeldgesprek:

  1. Genereren: "Maak een sjabloon voor risicobeoordeling voor ISO 27001 A.5.7 voor onze AWS-infrastructuur"

  2. Controleren: "Behandelt dit sjabloon de risico's van implementatie in meerdere regio's en integraties van derden?"

  3. Verbeteren: "Voeg secties toe voor risico's van datareplicatie tussen regio's en beveiligingsbeoordelingen voor API-integraties"

  4. Valideren: "Welk bewijsmateriaal verwachten auditors voor deze aanpak van risicobeoordeling?"

Iteratieve verfijning zorgt voor audit-ready resultaten zonder opnieuw te hoeven beginnen.

3. Vergelijken → Beslissen → Aanpassen

Evalueer opties, selecteer een aanpak en stem deze vervolgens af op uw organisatie.

Voorbeeldgesprek:

  1. Vergelijken: "Wat zijn de voor- en nadelen van rolgebaseerde versus attribuutgebaseerde toegangscontrole voor ISO 27001 A.5.15?"

  2. Beslissen: "We gaan RBAC gebruiken. Welke rollen moeten we definiëren voor een SaaS-bedrijf van 50 personen met engineering-, verkoop- en supportteams?"

  3. Aanpassen: "Genereer een RBAC-matrix die deze rollen koppelt aan systemen: AWS, GitHub, Salesforce, Zendesk en admin-tools"

  4. Implementeren: "Maak een procedure voor toegangsverlening met dit RBAC-model en goedkeuringsworkflows"

Beslissingen sturen de volgende stappen aan zonder de rationale te herhalen.

4. Controle → Bewijs → Verificatie

Implementeer de controle, identificeer de bewijsbehoeften en plan de validatie.

Voorbeeldgesprek:

  1. Controle: "Hoe implementeer ik ISO 27001 A.8.15 logging voor AWS CloudTrail en applicatielogboeken?"

  2. Bewijs: "Welk bewijs toont naleving van A.8.15 aan voor een auditor?"

  3. Verificatie: "Maak een kwartaalchecklist voor logboekcontrole om de effectiviteit van A.8.15 te verifiëren en bewijsmateriaal bij te houden"

  4. Documenteren: "Schrijf de logging-sectie van onze ISMS-documentatie met verwijzing naar deze controles en bewijsstukken"

End-to-end implementatie in één gespreksthread.

Effectieve vervolgtechnieken

Verwijzen naar eerdere output

Gebruik zinnen die gebruikmaken van het geheugen van het gesprek:

  • "Breid het derde punt uit je laatste antwoord uit"

  • "Pas de risicomethodologie die we net hebben besproken toe op database-encryptie"

  • "Werk het conceptbeleid bij met die bewijsvereisten"

  • "Voeg de tools die je noemde (Okta, AWS IAM) toe aan de toegangscontrolematrix"

Incrementeel opbouwen

Voeg geleidelijk complexiteit toe in plaats van alles tegelijk:

  1. "Maak een basisprocedure voor incidentrespons voor ISO 27001 A.5.24"

  2. "Voeg communicatiesjablonen toe voor interne escalatie en klantmeldingen"

  3. "Inclusief integratie met onze PagerDuty-alerting en Jira-ticketingworkflow"

  4. "Breid de sectie over evaluatie na incidenten uit met stappen voor root cause analysis"

Door details in lagen aan te brengen, wordt voorkomen dat de eerste resultaten overweldigend zijn.

Begrip testen

Verifieer de afstemming voordat u uitgebreid laat genereren:

  • "Bevestig voordat je het volledige beleid opstelt: moet het zowel voor werknemers als voor externe contractanten gelden?"

  • "Voldoet deze aanpak aan zowel ISO 27001 A.6.1 als onze AVG-verplichtingen?"

  • "Is een kwartaalfrequentie voldoende voor SOC 2 CC6.1, of moet het maandelijks zijn?"

Corrigeer vroegtijdig om herstelwerk te voorkomen.

Alternatieven aanvragen

Verken opties binnen het gesprek:

  • "Wat is een alternatieve aanpak voor kleinere teams met een beperkt budget?"

  • "Laat me een vereenvoudigde versie zien voor de eerste implementatie, en daarna de volledige enterprise-aanpak"

  • "Vergelijk handmatige versus geautomatiseerde oplossingen voor deze controle"

De gesprekcontext wordt gereset tussen verschillende workspace-gesprekken. Verwacht niet dat ISMS Copilot details onthoudt van de workspace van een andere klant of een andere gespreksthread binnen dezelfde workspace.

Voorbeelden per scenario

Iteratie bij beleidsontwikkeling

Ronde 1: "Stel een toegangscontrolebeleid op voor SOC 2 CC6 dat de in- en uitdiensttreding van gebruikers en controles dekt"

Ronde 2: "Voeg een sectie toe over beheer van geprivilegieerde toegang voor admin-rollen in AWS en GitHub"

Ronde 3: "Inclusief procedures voor noodtoegang voor storingsmonteurs met logging na afloop"

Ronde 4: "Herzie de controlefrequentie van driemaandelijks naar maandelijks voor geprivilegieerde accounts, en driemaandelijks voor standaardgebruikers"

Ronde 5: "Voeg verwijzingen toe naar onze Okta SSO-configuratie en rolgebaseerde groepen"

Resultaat: Een uitgebreid, op maat gemaakt beleid dat is opgebouwd door verfijning.

Diepgaande gap-analyse

Ronde 1: "Analyseer onze huidige beveiligingsstatus ten opzichte van ISO 27001:2022 Annex A.8 (technische controles)"

Ronde 2: "Focus op de hiaten die je hebt geïdentificeerd in A.8.1 (eindpunten van gebruikers) en A.8.15 (logging)"

Ronde 3: "Welke tools voldoen voor het gat in endpoint management aan A.8.1 voor een remote-first team dat macOS en Windows gebruikt?"

Ronde 4: "Maak een implementatieplan voor Jamf (macOS) and Intune (Windows) dat inspeelt op de A.8.1-vereisten"

Ronde 5: "Welk bewijsmateriaal hebben auditors nodig om naleving van A.8.1 met deze tools te verifiëren?"

Resultaat: Van gap-analyse op hoog niveau naar toolselectie naar implementatieplan in één thread.

Afstemming tussen meerdere frameworks

Ronde 1: "We moeten voldoen aan zowel ISO 27001 A.5.24 (incident management) als SOC 2 CC7.3-7.5. Welke overlappen zijn er?"

Ronde 2: "Maak een uniform incidentresponsplan dat beide frameworks dekt"

Ronde 3: "Voeg specifieke secties toe voor de unieke SOC 2-vereisten die je noemde (beschikbaarheidsincidenten en communicatietermijnen)"

Ronde 4: "Voeg een tabel toe die elke procedurestap koppelt aan de relevante ISO 27001- en SOC 2-controles voor traceerbaarheid bij audits"

Resultaat: Efficiënt enkelvoudig plan met duidelijke compliance-mapping.

Problemen bij implementatie oplossen

Ronde 1: "Hoe implementeer ik MFA voor ISO 27001 A.5.17 met Okta?"

Ronde 2: "We hebben verouderde applicaties die geen SAML ondersteunen. Hoe gaan we daarmee om?"

Ronde 3: "Stel een compenserende controle voor de verouderde apps voor totdat we ze kunnen migreren"

Ronde 4: "Documenteer de aanpak van de compenserende controle voor de auditor, inclusief de tijdlijn voor de volledige MFA-migratie"

Resultaat: Pragmatische oplossing die rekening houdt met technische beperkingen.

Lange gesprekken beheren

Bericht-compactie is nu live voor de Think-modus (Claude Opus 4.6)! Automatische gesprekscompactie maakt veel langere gesprekken in de Think-modus mogelijk zonder zware impact op uw gebruikslimieten. Hoewel langere gesprekken altijd meer tokens zullen verbruiken (dat is hoe AI werkt), brengt compactie u veel dichter bij oneindige gesprekken met een minimale impact op het verbruik. Ondersteuning voor de Fast-modus volgt binnenkort.

Wanneer doorgaan versus opnieuw beginnen

Ga door met het gesprek wanneer u:

  • Voortbouwt op eerdere resultaten (beleid verfijnen, procedure uitbreiden)

  • Gerelateerde controles op volgorde afwerkt (A.5.1 → A.5.2 → A.5.3)

  • Itereert aan een enkel resultaat (verfijning van risicobeoordeling)

  • Problemen oplost bij de implementatie van een besproken controle

  • Het gesprek nog onder de 15-20 berichten is

Start een nieuw gesprek wanneer u:

  • Overstapt naar een niet-gerelateerd framework of domein (SOC 2 → AVG)

  • In een andere projectfase komt (van implementatie naar auditvoorbereiding)

  • De context te complex wordt (10+ interacties over meerdere onderwerpen)

  • Een schone lei nodig heeft zonder eerdere aannames

  • Het gesprek meer dan 20 berichten bevat (gebruiksefficiëntie, totdat compactie beschikbaar is)

Samenvatten voor de duidelijkheid

Vat in lange gesprekken periodiek samen:

Voorbeeld: "Ter bevestiging van onze beslissingen tot nu toe: we gebruiken RBAC met 5 rollen (Admin, Developer, Sales, Support, Contractor), kwartaalcontroles op toegang behalve maandelijks voor admins, Okta SSO voor alle apps behalve de legacy CRM waarvoor compenserende controles gelden. Laten we nu het formele beleid opstellen."

Dit herstelt het gedeelde begrip en voorkomt afwijkingen.

Gebruik de dropdown voor de antwoordstijl (Beknopt/Normaal/Gedetailleerd) strategisch: Beknopt voor snelle iteraties, Gedetailleerd voor eerste concepten, Normaal voor de meeste verfijningen.

Iteratie combineren met andere technieken

Iteratie + Aangepaste instructies

Stel workspace-instructies in voor een consistente context in alle rondes:

Instructie: "Zorg-SaaS, 80 werknemers, AWS-infrastructuur, implementatie van ISO 27001:2022 met HIPAA-afstemming, audit over 8 maanden"

Query-reeks: Elke query erft deze context over zonder deze opnieuw te vermelden

Iteratie + Bestandsuploads

Upload één keer, verwijs er het hele gesprek naar:

  1. Upload: Voeg het huidige toegangscontrolebeleid toe (PDF)

  2. Ronde 1: "Toets dit beleid aan SOC 2 CC6 en identificeer hiaten"

  3. Ronde 2: "Schrijf de sectie over toegangscontrole opnieuw om de hiaten die je hebt gevonden aan te pakken"

  4. Ronde 3: "Voeg de bewijsvereisten die je noemde toe aan een nieuwe Bijlage A"

Iteratie + Persona's

Wissel halverwege het gesprek van persona voor verschillende perspectieven:

  1. Implementeerder-persona: "Geef me een stapsgewijze MFA-implementatie voor Okta"

  2. Auditor-persona: "Beoordeel dat implementatieplan—welk bewijsmateriaal zal ontbreken?"

  3. Consultant-persona: "Hoe rechtvaardig ik de implementatiekosten bij onze CFO?"

Meerdere gezichtspunten op hetzelfde onderwerp in één thread.

Herkenning van afnemende meeropbrengst

Stop met itereren wanneer:

  • U micro-aanpassingen maakt die de audit-readiness niet verbeteren

  • Vervolgvragen de eerdere context niet meer nauwkeurig verwerken (teken van overbelasting van het gesprek)

  • U herhaaldelijk dezelfde vraag in andere bewoordingen stelt

  • De resultaten minder nuttig of generieker worden

Sla op dat moment de beste versie op en ga over tot implementatie of start een nieuw gesprek.

Iteratief werk opslaan

Best practices voor het bewaren van gespreksresultaten:

  • Kopieer de definitieve versies naar uw documentatie-repository na elke belangrijke verfijning

  • Gebruik het gesprek als een audittrail die laat zien hoe het beleid/de procedure is geëvolueerd

  • Exporteer belangrijke antwoorden voor beoordeling door belanghebbenden vóór verdere iteratie

  • Geef workspaces duidelijke namen om gesprekken later terug te vinden ("ISO 27001 - Toegangscontroles - Klant ABC")

Gesprekken over meerdere ronden zijn waar de specialisatie van ISMS Copilot uitblinkt. Generieke AI-tools verliezen context of nauwkeurigheid na 2-3 ronden. ISMS Copilot behoudt compliance-specifiek begrip gedurende hele implementatieprojecten.

Volgende stappen

Start een gesprek over meerdere ronden voor uw volgende compliance-taak. Begin met een query op hoog niveau en gebruik vervolgens 3-5 vervolgvragen om de output te verfijnen tot een resultaat dat klaar is voor implementatie. Merk op hoe contextbehoud de kwaliteit versnelt.

Terug naar overzicht Prompt Engineering

Was dit nuttig?