ISMS Copilot
Prompt engineering

Bestanden uploaden voor context en analyse

Voor het volledige uploadmechanisme, de groottelimieten en probleemoplossing, zie Bestanden uploaden en analyseren.

Waarom bestanden uploaden?

Compliance-werkzaamheden draaien om documenten: bestaande beleidsregels, auditrapporten, risicobeoordelingen, leverancierscontracten en inventarisaties van bedrijfsmiddelen. Deze tekstueel beschrijven kost tijd en vergroot de kans op fouten. Door bestanden rechtstreeks te uploaden, krijgt ISMS Copilot nauwkeurige context voor gap-analyses, verbeteringsvoorstellen en compliance-mapping.

Bestandsanalyse transformeert vage vragen zoals "Is ons beleid goed genoeg?" in specifieke, bruikbare feedback: "Uw toegangsbeheerbeleid behandelt SOC 2 CC6.1 en CC6.2, maar mist de CC6.3-vereisten voor monitoring van geprivilegieerde toegang. Voeg secties toe voor..."

Ondersteunde bestandstypen en limieten

ISMS Copilot accepteert:

  • PDF – Beleidsstukken, auditrapporten, certificeringen, beoordelingen van leveranciers

  • DOCX – Conceptbeleid, procedures, documentatiesjablonen

  • XLS/XLSX – Risicoregisters, inventarisaties van bedrijfsmiddelen, beheersmaatregelen-matrices, bewijsstukkenlogs

Bestandsgrootte: Tot 5 MB voor PDF- en Office-bestanden (DOCX, XLSX); 10 MB voor tekstgebaseerde bestanden (CSV, JSON, TXT)

Lengte: Documenten tot meer dan 20 pagina's worden effectief verwerkt; langere documenten moeten mogelijk in delen worden gesplitst

Uploadlocatie: Voeg bestanden toe via het paperclip-icoon in het invoerveld

Geüploade bestanden worden verwerkt met dezelfde privacystandaarden als tekstvragen: end-to-end encryptie, opslag in de EU (Frankfurt) en nooit gebruikt voor AI training. Vermijd echter het uploaden van bestanden die daadwerkelijke wachtwoorden, API-sleutels of persoonlijk herleidbare informatie (PII) bevatten, tenzij dit noodzakelijk is.

Behoud van Excel-layout

XLSX-bestanden worden speciaal behandeld om de structuur van uw spreadsheet te behouden tijdens de analyse. Wanneer u een Excel-bestand uploadt, stuurt ISMS Copilot dit via een speciaal conversiepad dat is ontworpen om tabellen intact te houden:

  • Tabelstructuur behouden — Kolommen, rijen en celrelaties blijven zoals ze in uw oorspronkelijke bestand waren

  • Oriëntatie behouden — Verticale gegevens blijven verticaal, horizontale blijven horizontaal; geen ongewenste transpositie

  • Brede tabellen ondersteund — Spreadsheets met veel kolommen worden correct geconverteerd, in tegenstelling tot het standaard op markdown gebaseerde pad dat wordt gebruikt voor PDF- en DOCX-bestanden

Dit betekent dat risicoregisters, beheersmaatregelen-matrices, inventarisaties van bedrijfsmiddelen en bewijsstukkenlogs die als XLSX worden geüpload, een layout krijgen die dichter bij het origineel ligt dan voorheen. U hoeft niets te configureren — het tabelbehoudpad wordt automatisch geactiveerd wanneer u een Excel-bestand uploadt.

Voor de beste resultaten bij complexe spreadsheets moet u ervoor zorgen dat uw bestand kleiner is dan 5 MB en duidelijke tabelkoppen bevat. De AI leest zowel de structuur als de inhoud om een nauwkeurige compliance-analyse te bieden.

Veelvoorkomende scenario's voor het uploaden van bestanden

1. Gap-analyse

Upload bestaand beleid of documentatie voor compliance-beoordeling.

Voorbeeldvraag met upload: "Beoordeel dit toegangsbeheerbeleid [voeg PDF bij] op basis van de SOC 2 CC6.1-6.3 vereisten. Identificeer ontbrekende beheersmaatregelen, verouderde taal en hiaten in bewijsvoering voor een Type II-audit."

Reactie van ISMS Copilot: Specifieke secties die updates nodig hebben, ontbrekende beheersmaatregelen (bijv. monitoring van geprivilegieerde toegang voor CC6.3), aanbevolen toevoegingen en bewijsvereisten.

Voorbeeld auditrapport: "Analyseer de bevindingen van onze laatste ISO 27001-surveillance-audit [voeg PDF bij]. Prioriteer herstelmaatregelen op basis van ernst en maak een actieplan met tijdlijnen."

2. Beleidsverbetering

Verbeter bestaande documentatie om te voldoen aan nieuwe standaarden of frameworks.

Voorbeeldvraag: "Update dit informatiebeveiligingsbeleid [voeg DOCX bij] van de ISO 27001:2013- naar de 2022-vereisten. Markeer secties die herzien moeten worden en stel nieuwe tekst voor gewijzigde beheersmaatregelen voor."

Reactie van ISMS Copilot: Een zij-aan-zij vergelijking van oude versus nieuwe vereisten, herziene beleidssecties, nieuwe toe te voegen beheersmaatregelen (bijv. A.5.7 threat intelligence, A.8.23 webfiltering).

3. Beoordeling van de risicobeoordeling

Valideer de risicomethodologie en -score op basis van framework-vereisten.

Voorbeeldvraag: "Beoordeel dit risicoregister [voeg XLSX bij] op basis van de ISO 27001 A.5.7-vereisten. Zijn de dreigingsbronnen volledig? Is onze 1-5 score passend? Welke risico's missen we voor een cloud-first SaaS-platform?"

Reactie van ISMS Copilot: Beoordeling van de methodologie, voorgestelde aanvullende dreigingscategorieën (bijv. toeleveringsketen, insider threats), ontbrekende koppelingen tussen bedrijfsmiddelen en risico's, feedback over de kalibratie van de scoring.

4. Beoordeling van leveranciers

Evalueer certificeringen en contracten van derden op compliance.

Voorbeeldvraag: "Analyseer dit SOC 2-rapport van de leverancier [voeg PDF bij] voor onze risicobeoordeling van derden. Dekt het de diensten die we gebruiken (gegevensopslag en -verwerking)? Zijn er relevante uitzonderingen of kwalificaties? Voldoet het aan onze SOC 2 CC9.2-vereisten?"

Reactie van ISMS Copilot: Dekking van de service-scope, opmerkelijke uitzonderingen, hiaten in beheersmaatregelen, aanbevelingen voor vervolgvragen in de leveranciersvragenlijst.

5. Bewijsstukken koppelen (Evidence Mapping)

Koppel bestaande artefacten aan auditvereisten.

Voorbeeldvraag: "Koppel dit trainingslogboek voor security awareness [voeg XLSX bij] aan de ISO 27001 A.6.3-bewijsvereisten. Welk extra bewijs hebben we nodig voor de certificeringsaudit?"

Reactie van ISMS Copilot: Huidige dekking van bewijsvoering, ontbrekende elementen (bijv. bijhouden van voltooiing, testscores, rolspecifieke training), aanbevolen verbeteringen voor het logboek.

6. Verificatie van implementatie van beheersmaatregelen

Valideer technische configuraties op basis van de vereisten voor beheersmaatregelen.

Voorbeeldvraag: "Beoordeel deze AWS CloudTrail-configuratiedocumentatie [voeg PDF bij] op basis van de ISO 27001 A.8.15-vereisten (logging en monitoring). Is de bewaartermijn voldoende? Worden kritieke gebeurtenissen gedekt?"

Reactie van ISMS Copilot: Beoordeling van de geschiktheid van de configuratie, ontbrekende logbronnen (bijv. applicatielogs, databasetoegang), aanbevelingen voor bewaartermijnen, hiaten in alarmering.

7. Evaluatie van sjablonen

Beoordeel of sjablonen voldoen aan de framework-standaarden.

Voorbeeldvraag: "Evalueer dit incident response-sjabloon [voeg DOCX bij] voor SOC 2 CC7.3-7.5 compliance. Bevat het alle vereiste elementen (detectie, reactie, communicatie, evaluatie na incident)? Wat ontbreekt er?"

8. Vergelijking van meerdere documenten

Analyseer meerdere bestanden op consistentie of dekking.

Voorbeeldvraag: "Vergelijk ons toegangsbeheerbeleid [voeg DOCX bij] met ons werkelijke logboek voor toegangsbeoordelingen [voeg XLSX bij]. Volgen we onze gedocumenteerde procedures? Waar wijken de praktijk en het beleid van elkaar af?"

Voeg bestanden toe aan het begin van gesprekken om context te creëren voor alle vervolgvragen. ISMS Copilot onthoudt geüploade documenten binnen het gesprek in de werkruimte.

Effectieve vragen bij het uploaden van bestanden

Specificeer wat geanalyseerd moet worden

Upload niet alleen een bestand met de tekst "Beoordeel dit." Geef richting:

  • ❌ "Wat vind je hiervan?" [bijlage beleid]

  • ✅ "Beoordeel dit dataclassificatiebeleid op basis van de ISO 27001 A.5.12-vereisten. Controleer op volledigheid, passende vertrouwelijkheidsniveaus en behandelingsprocedures."

Vermeld uw framework en scope

Bestanden hebben van zichzelf geen context over welke standaard van toepassing is:

  • ❌ "Is dit beleid compliant?" [bijlage toegangsbeheerbeleid]

  • ✅ "Beoordeel dit toegangsbeheerbeleid op basis van SOC 2 CC6.1-6.3 voor onze komende Type II-audit. Focus op gebruikers-provisioning, beoordelingen en geprivilegieerde toegang."

Geef de gewenste output aan

Specificeer wat u terug wilt krijgen:

  • "Maak een gap-samenvattingstabel met de kolommen: Vereiste, Huidige staat, Gap (J/N), Aanbeveling"

  • "Zorg voor een versie met markeringen en voorgestelde bewerkingen in de tekst"

  • "Maak een lijst van de top 5 prioritaire verbeteringen, gerangschikt op auditrisico"

  • "Genereer een compliance-checklist die laat zien welke beheersmaatregelen zijn behandeld versus welke ontbreken"

Geef organisatorische context

Bestanden onthullen niet uw bedrijfsgrootte, tech-stack of beperkingen:

Voorbeeld: "Beoordeel dit bedrijfscontinuïteitsplan [voeg PDF bij] op basis van ISO 27001 A.5.29 voor een SaaS-bedrijf met 60 personen, een AWS-infrastructuur en een SLA van 99,9% uptime. Zijn de RTO's en RPO's passend? Is onze back-upstrategie voldoende?"

Analyse van meerdere bestanden

Upload meerdere gerelateerde bestanden voor een uitgebreide beoordeling:

Voorbeeldvraag: "Beoordeel deze drie beleidsstukken [bijlagen: InfoSec Policy.pdf, Access Control Policy.pdf, Incident Response Policy.pdf] op consistentie en volledigheid ten opzichte van de ISO 27001:2022 Bijlage A.5 organisatorische beheersmaatregelen. Identificeer tegenstrijdigheden, hiaten en redundanties."

Voorbeeld van kruisverwijzing: "Vergelijk onze gedocumenteerde wijzigingsbeheerprocedure [voeg DOCX bij] met de werkelijke Jira-wijzigingslogs [voeg XLSX bij]. Volgen we ons proces? Waar treden afwijkingen op?"

Hoewel u meerdere bestanden per vraag kunt uploaden, werkt het analyseren van 2-3 gerelateerde documenten het beste. Meer dan dat kan de focus verwateren — overweeg opeenvolgende vragen voor grote sets documenten.

Best practices voor het uploaden van bestanden

Voorafgaand aan het uploaden

  1. Verwijder gevoelige gegevens: Anonimiseer werkelijke klantnamen, inloggegevens en PII als deze niet essentieel zijn voor de analyse

  2. Controleer bestandsgrootte: Zorg dat deze onder de limiet blijft (5 MB voor PDF/Office, 10 MB voor tekstformaten); comprimeer of splits grote bestanden indien nodig

  3. Gebruik duidelijke bestandsnamen: "Toegangsbeheerbeleid_v2.pdf" is beter dan "Document1.pdf"

  4. Controleer bestandstype: Converteer niet-ondersteunde formaten (bijv. .pages naar .docx)

In uw vraag

  1. Verwijs naar de upload: "Beoordeel het bijgevoegde risicoregister..." verduidelijkt om welk document het gaat als er meerdere bestanden in het gesprek staan

  2. Leg het doel van het bestand uit: "Dit is ons huidige beleid dat moet worden bijgewerkt naar de 2022-standaard"

  3. Stel verwachtingen in: "Focus op hiaten, niet op opmaakproblemen" of "Prioriteer bevindingen met een hoog risico"

Na het uploaden

  1. Itereer op basis van bevindingen: "Ga dieper in op de CC6.3-gap die je hebt geïdentificeerd — welke specifieke beheersmaatregelen ontbreken?"

  2. Vraag om herzieningen: "Herschrijf de sectie over toegangsbeoordelingen om die hiaten aan te pakken"

  3. Genereer gerelateerde inhoud: "Maak een bewijsstukken-checklist voor de beheersmaatregelen die in dit beleid worden behandeld"

Problemen met het uploaden van bestanden oplossen

Upload mislukt of er is een time-out

  • Controleer de bestandsgrootte (5 MB voor PDF/Office, 10 MB voor tekstformaten)

  • Controleer het bestandstype (alleen PDF, DOCX, XLS/XLSX)

  • Probeer grote bestanden in secties te splitsen

  • Zorg voor een stabiele internetverbinding

Analyse mist belangrijke punten

  • Geef specifiekere richting aan de vraag ("Focus op Sectie 3.2 met betrekking tot geprivilegieerde toegang")

  • Upload een bron van hogere kwaliteit (bijv. originele DOCX versus gescande PDF)

  • Splits documenten met meerdere onderwerpen op in afzonderlijke uploads met gerichte vragen

Reactie verwijst naar het verkeerde framework

  • Vermeld het framework expliciet in de vraag: "Beoordeel op basis van ISO 27001:2022, niet SOC 2"

  • Controleer de aangepaste instructies van de werkruimte op conflicterende context

Bestandsverwerking duurt te lang

  • Grote bestanden (15+ pagina's) kunnen 30-60 seconden nodig hebben om te worden verwerkt

  • Complexe spreadsheets met veel tabbladen kunnen de reactie vertragen

  • Gescande PDF's (afbeeldingen) worden langzamer verwerkt dan tekstgebaseerde PDF's

Privacy- en beveiligingsoverwegingen

De bestandsverwerking van ISMS Copilot voldoet aan strikte privacystandaarden:

  • Encryptie: Bestanden zijn versleuteld tijdens verzending en in rust

  • Dataresidency: Opgeslagen in datacenters in de EU (Frankfurt)

  • Geen AI-training: Geüploade inhoud wordt nooit gebruikt om modellen te trainen

  • Toegangsbeheer: Bestanden zijn alleen zichtbaar binnen uw werkruimte

  • Bewaartermijn: Bestanden worden bewaard gedurende het gesprek; verwijder de werkruimte om ze te verwijderen

Wanneer PII-reductie te gebruiken: Schakel de PII-reductie-knop in als bestanden voorbeelden bevatten met echte namen, e-mails of identificatoren die niet essentieel zijn voor de analyse.

Overweeg voor bestanden die zeer gevoelige gegevens bevatten (M&A-contracten, beloningen voor leidinggevenden, werkelijke forensische gegevens van incidenten met PII) om geanonimiseerde versies te uploaden of tijdelijke tekst in vragen te gebruiken in plaats van volledige documenten.

Het combineren van bestandsuploads met andere technieken

Bestanden + Aangepaste instructies

Stel de context van de werkruimte in en upload vervolgens bestanden — de context wordt automatisch toegepast:

Instructie: "Financiële dienstverlener, 200 medewerkers, implementatie van ISO 27001:2022"

Upload + Vraag: "Beoordeel het bijgevoegde toegangsbeheerbeleid op basis van A.5.15-5.18" (het is niet nodig om de sector/grootte te herhalen)

Bestanden + Persona's

Wissel van persona voor verschillende analyse-invalshoeken:

  1. Auditor-persona: "Beoordeel dit beleid [bijlage] op gereedheid voor een SOC 2-audit — welke hiaten in bewijsvoering zijn er?"

  2. Implementeerder-persona: "Geef op basis van dat beleid stapsgewijze implementatietaken voor ons DevOps-team"

Bestanden + Iteratieve verfijning

Upload eenmalig, verfijn door middel van het gesprek:

  1. Upload: Voeg het huidige risicoregister bij

  2. Stap 1: "Beoordeel op basis van ISO 27001 A.5.7 — wat ontbreekt er?"

  3. Stap 2: "Voeg de ontbrekende risico's voor de cloudinfrastructuur toe die je hebt geïdentificeerd"

  4. Stap 3: "Update de risicoscores met behulp van de 5x5-matrix die je hebt voorgesteld"

  5. Stap 4: "Genereer risicobehandelingsplannen voor risico's met een score van 15 of hoger"

Voorbeeld-workflows

Workflow 1: Beleidsmodernisering

  1. Upload een verouderd beleid (toegangsbeheerbeleid uit het ISO 27001:2013-tijdperk)

  2. Vraag: "Vergelijk dit beleid met de ISO 27001:2022 A.5.15-5.18 vereisten. Wat is er gewijzigd?"

  3. Vervolgvraag: "Herschrijf Sectie 4 (Toegangsbeoordelingen) om te voldoen aan de nieuwe A.5.18-vereisten"

  4. Vervolgvraag: "Voeg een nieuwe Sectie 5 toe voor geprivilegieerde toegang (A.5.17) met onze AWS- en GitHub-beheerdersrollen"

  5. Afronding: "Genereer een goedkeuringsmemo voor de CTO waarin de wijzigingen en compliance-voordelen worden uitgelegd"

Workflow 2: Voorbereiding op de audit

  1. Upload 3 bestanden: Toegangsbeheerbeleid, logboek voor toegangsbeoordelingen (XLSX), Okta-configuratiedocument

  2. Vraag: "Beoordeel de SOC 2 CC6.1-gereedheid aan de hand van deze documenten. Welk bewijs is sterk? Wat ontbreekt er?"

  3. Vervolgvraag: "Maak een herstelplan voor het ontbrekende bewijs met een tijdlijn van 60 dagen"

  4. Vervolgvraag: "Stel een bijgewerkte procedure voor toegangsbeoordelingen op waarin je aanbevelingen zijn verwerkt"

  5. Afronding: "Genereer een briefingdocument voor de auditor waarin onze CC6.1-beheersmaatregelen en bewijsstukken worden samengevat"

Workflow 3: Risicobeoordeling van leveranciers

  1. Upload het SOC 2-rapport van de leverancier + het leverancierscontract

  2. Vraag: "Evalueer het SOC 2-rapport van deze leverancier op basis van onze CC9.2-vereisten. Dekt het de gegevensverwerkingsdiensten die binnen de scope van ons contract vallen?"

  3. Vervolgvraag: "Welke vragen moeten we stellen in een vragenlijst voor de leverancier om de gevonden hiaten aan te pakken?"

  4. Vervolgvraag: "Stel een samenvatting van de risicobeoordeling van de leverancier op voor onze compliance-commissie"

Bestandsuploads zijn het krachtigst wanneer ze worden gecombineerd met specifieke vragen en iteratieve verfijning. Uploaden, analyseren, verbeteren, verifiëren — allemaal in één gesprek in de werkruimte.

Volgende stappen

Zoek een bestaand beleid, rapport of beoordeling dat herzien moet worden. Upload het met een specifieke gap-analyse of verbeteringsvraag en ervaar hoe de bestandscontext het compliance-werk versnelt.

Was dit nuttig?