Ontologibaseret Prompt Engine til Harmonisering af Sikkerhedsspørgeskemaer
TL;DR – En ontologicentreret prompt‑engine skaber en semantisk bro mellem modstridende overholdelsesrammer, så generativ AI kan levere ensartede, auditerbare svar på ethvert sikkerhedsspørgeskema, samtidig med at den bevarer kontekstuel relevans og regulatorisk nøjagtighed.
1. Hvorfor en ny tilgang er nødvendig
Sikkerhedsspørgeskemaer udgør stadig en stor flaskehals for SaaS‑leverandører. Selv med værktøjer som Procurize, der centraliserer dokumenter og automatiserer arbejdsgange, tvinger det semantiske hul mellem forskellige standarder sikkerheds‑, juridiske‑ og tekniske teams til at omskrive den samme dokumentation flere gange:
| Framework | Typisk spørgsmål | Eksempelsvar |
|---|---|---|
| SOC 2 | Beskriv jeres datakryptering ved hvile. | “Alle kundedata er krypteret med AES‑256…” |
| ISO 27001 | Hvordan beskytter I lagret information? | “Vi implementerer AES‑256‑kryptering…” |
| GDPR | Forklar de tekniske sikkerhedsforanstaltninger for personoplysninger. | “Data krypteres med AES‑256 og roteres hver kvartal.” |
Selvom den underliggende kontrol er identisk, varierer formulering, omfang og beviskrav. Eksisterende AI‑pipelines håndterer dette ved prompt‑tuning per ramme, hvilket hurtigt bliver uholdbart, når antallet af standarder stiger.
En ontologibaseret prompt‑engine løser problemet ved roden: den opbygger en enkelt, formel repræsentation af overholdelsesbegreber og mapper hver spørgeskemas sprog til den delte model. AI’en behøver kun at forstå én “kanonisk” prompt, mens ontologien udfører den tunge løftning med oversættelse, versionering og begrundelse.
2. Kernemoduler i arkitekturen
Nedenfor er et overordnet syn på løsningen, udtrykt som et Mermaid‑diagram. Alle node‑etiketter er omsluttet af dobbelte anførselstegn som påkrævet.
graph TD
A["Regulatorisk Ontologilager"] --> B["Framework‑kortlæggere"]
B --> C["Kanonisk Prompt‑generator"]
C --> D["LLM‑inferensmotor"]
D --> E["Svar‑renderer"]
E --> F["Audit‑sporlager"]
G["Bevisarkiv"] --> C
H["Ændringsdetekteringstjeneste"] --> A
- Regulatorisk Ontologilager – En vidensgraf, der indfanger begreber (fx kryptering, adgangskontrol), relationer (kræver, arver) og jurisdiktionsegenskaber.
- Framework‑kortlæggere – Letvægts‑adaptere, der parser indkommende spørgeskema‑elementer, identificerer de tilsvarende ontologinoder og vedhæfter sikkerhedsscores.
- Kanonisk Prompt‑generator – Samler en enkelt, kontekst‑rig prompt til LLM’en ved brug af ontologiens normaliserede definitioner og tilknyttet bevismateriale.
- LLM‑inferensmotor – Enhver generativ model (GPT‑4o, Claude 3 osv.), der producerer et naturligt sprog‑svar.
- Svar‑renderer – Formaterer LLM‑outputtet til den påkrævede spørgeskema‑struktur (PDF, markdown, JSON).
- Audit‑sporlager – Gemmer mappings‑beslutninger, prompt‑version og LLM‑respons for overholdelsesevaluering og fremtidig træning.
- Bevisarkiv – Opbevarer politikdokumenter, revisionsrapporter og artefakt‑links, som refereres i svarene.
- Ændringsdetekteringstjeneste – Overvåger opdateringer til standarder eller interne politikker og propagerer automatisk ændringer gennem ontologien.
3. Opbygning af ontologien
3.1 Datakilder
| Kilde | Eksempel‑entiteter | Udtrækningsmetode |
|---|---|---|
| ISO 27001 Annex A | “Kryptografiske kontroller”, “Fysisk sikkerhed” | Regelsbaseret parsing af ISO‑paragraffer |
| SOC 2 Trust Services Criteria | “Tilgængelighed”, “Fortrolighed” | NLP‑klassifikation på SOC‑dokumentation |
| GDPR Recitals & Articles | “Dataminimering”, “Ret til sletning” | Entitets‑relationsudtræk via spaCy + brugerdefinerede mønstre |
| Intern politik‑vault | “Virksomhedsomspændende krypteringspolitik” | Direkte import fra YAML/Markdown‑politik‑filer |
Hver kilde bidrager med koncept‑noder (C) og relations‑kanter (R). F.eks. er “AES‑256” en teknik (C), der implementerer kontrollen “Data‑kryptering ved hvile” (C). Kanterne mærkes med oprindelse (kilde, version) og sikkerhed.
3.2 Normaliseringsregler
For at undgå dubletter, canonicaliseres begreber:
| Rå term | Normaliseret form |
|---|---|
| “Encryption at Rest” | encryption_at_rest |
| “Data Encryption” | encryption_at_rest |
| “AES‑256 Encryption” | aes_256 (under‑type af encryption_algorithm) |
Normalisering udføres med en ordbog‑drevet fuzzy‑matcher, der lærer af menneskeligt godkendte mappinger.
3.3 Versioneringsstrategi
Overholdelsesstandarder udvikler sig; ontologien anvender et semantic versioning‑skema (MAJOR.MINOR.PATCH). Når en ny paragraf tilføjes, foretages en minor‑opgradering, hvilket udløser gen‑evaluering af berørte prompts. Audit‑loggeren registrerer den præcise ontologiversion, der anvendes for hvert svar, hvilket muliggør sporbarhed.
4. Prompt‑generering i praksis
4.1 Fra spørgeskema til ontologinode
Når en leverandør modtager spørgsmålet:
“Krypterer I sikkerhedskopier, der gemmes uden for stedet?”
Kører Framework‑kortlæggeren en lignende‑søgeforespørgsel mod ontologien og returnerer noden encryption_at_rest med en sikkerhed på 0,96. Den ekstraordinære information (“sikkerhedskopier”, “uden for stedet”) udtrækkes som attribut‑tags.
4.2 Kanonisk prompt‑skabelon
En enkelt, genanvendelig prompt‑skabelon ser således ud (pseudo‑kode):
Du er en ekspert inden for overholdelse. Besvar følgende spørgsmål ved brug af virksomhedens dokumenterede kontroller.
Spørgsmål: {{question_text}}
Relevant(e) kontrol(le): {{ontology_node_names}}
Bevis‑links: {{evidence_urls}}
Format: Giv et kort svar (maks. 150 ord) og vedhæft en punkt‑liste over støttende artefakter.
Motoren erstatter de matchede ontologinoder og henter de nyeste bevis‑URLs fra Bevisarkivet. Da den underliggende kontrol er identisk på tværs af rammerne, modtager LLM’en ensartet kontekst, hvilket eliminerer variationer forårsaget af forskellig formulering.
4.3 LLM‑output‑eksempel
Svar: Ja, alle sikkerhedskopier uden for stedet krypteres med AES‑256 ved hjælp af en unik nøgle pr. backup‑sæt. Nøglerne administreres i vores HSM‑beskyttede vault og roteres kvartalsvis.
Understøttende artefakter:
- Backup‑Krypteringspolitik –
https://repo.company.com/policies/backup-encryption.pdf- HSM‑Nøgle‑rotationslog –
https://repo.company.com/audit/hsm-rotation.json
Svar‑renderer formaterer derefter dette til den specifikke spørgeskema‑layout (f.eks. en tabelcelle for ISO, et frit tekstfelt for SOC 2).
5. Fordele i forhold til traditionel prompt‑tuning
| Metrik | Traditionel prompt‑tuning | Ontologibaseret engine |
|---|---|---|
| Skalerbarhed | Én prompt per ramme → lineær vækst | Enkelt kanonisk prompt → konstant |
| Konsistens | Varierende formulering på tværs af rammer | Ensartet svar genereret fra én kilde |
| Auditabilitet | Manuel sporing af prompt‑versioner | Automatisk ontologi‑version + audit‑log |
| Tilpasningsevne | Gen‑træning nødvendig ved hver standard‑opdatering | Ændringsdetektion propagér automatisk via ontologi |
| Vedligeholdelsesomkostning | Høj – dusinvis af prompt‑filer | Lav – enkelt mappings‑lag & vidensgraf |
I virkelige tests hos Procurize reducerede ontologie‑motoren gennemsnitlig svar‑genereringstid fra 7 sekunder (prompt‑tuned) til 2 sekunder, mens krydsgennemgående lighed (BLEU‑score) steg med 18 %.
6. Implementeringstips
- Start i det små – Populér ontologien med de mest almindelige kontroller (kryptering, adgangskontrol, logning), før du udvider.
- Udnyt eksisterende grafer – Projekter som Schema.org, OpenControl og CAPEC giver forudbyggede vokabularer, der kan udvides.
- Brug en graf‑database – Neo4j eller Amazon Neptune håndterer komplekse traversaler og versionering effektivt.
- Integrer CI/CD – Betrag ontologiændringer som kode; kør automatiserede tests, der bekræfter mapping‑nøjagtighed på et prøve‑spørgeskemasæt.
- Menneske‑i‑sløjfen – Tilbyd et UI, så sikkerhedsanalyse‑medarbejdere kan godkende eller korrigere mappinger, hvilket fodrer den fuzzy‑matcher.
7. Fremtidige udvidelser
- Federeret ontologi‑synk – Virksomheder kan dele anonymiserede dele af deres ontologier og skabe en fælles overholdelses‑vidensbase.
- Forklarlig AI‑lag – Tilknyt begrundelses‑grafer til hvert svar, så man kan visualisere, hvordan specifikke ontologinoder bidrog til den endelige tekst.
- Zero‑Knowledge‑Proof‑integration – For stærkt regulerede brancher kan man indlejre zk‑SNARK‑beviser, der attesterer korrektheden af mappingen uden at afsløre følsomt politik‑materiale.
8. Konklusion
En ontologibaseret prompt‑engine repræsenterer et paradigmeskift i automatisering af sikkerhedsspørgeskemaer. Ved at forene diverse overholdelsesstandarder under en enkelt, versioneret vidensgraf kan organisationer:
- Eliminere redundant manuelt arbejde på tværs af rammer.
- Sikre svar‑konsistens og auditabilitet.
- Reagere hurtigt på regulatoriske ændringer med minimal ingeniørindsats.
Kombineret med Procurizes samarbejdsplatform giver denne tilgang sikkerheds‑, juridiske‑ og produktteams mulighed for at reagere på leverandør‑evalueringer på minutter i stedet for dage, og omdanner overholdelse fra en omkostningspost til en konkurrencemæssig fordel.
Se også
- OpenControl GitHub‑repository – Open‑source policy‑as‑code og overholdelses‑kontroldefinitioner.
- MITRE ATT&CK® Knowledge Base – Struktur‑eret taktik‑teknik‑taksonomi, nyttig til at bygge sikkerheds‑ontologier.
- ISO/IEC 27001:2025 Standard Overview – Den seneste version af standarden for informations‑sikkerhedsstyring.