feat(isms): ISO 27001 Frontend, Proxy, Sidebar, Flow-Data, Architecture, MkDocs

ISMS-Modul mit 6 Tabs (Uebersicht, Policies, SoA, Ziele, Audits/Findings/CAPA,
Management-Reviews) fuer alle 39 Backend-Endpoints. Readiness-Check identifiziert
potenzielle Major/Minor-Findings vor externer Zertifizierung.

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

docs-src/services/sdk-modules/isms.md

@@ -0,0 +1,171 @@
+# ISMS — ISO 27001 Managementsystem
+
+## Uebersicht
+
+Das ISMS-Modul (Informationssicherheits-Managementsystem) unterstuetzt die vollstaendige
+ISO 27001:2022 Zertifizierungsvorbereitung. Es deckt alle relevanten Kapitel der Norm ab
+und bietet einen automatischen Readiness-Check, der potenzielle Major- und Minor-Findings
+**vor** der externen Zertifizierung identifiziert.
+
+**Frontend:** `https://macmini:3007/sdk/isms`
+
+**Backend:** `backend-compliance` (Python/FastAPI), Prefix `/api/isms/`
+
+## Abgedeckte ISO 27001 Kapitel
+
+| Kapitel | Titel | Funktionen |
+|---------|-------|------------|
+| 4.1/4.2 | Kontext der Organisation | Interne/externe Themen, Stakeholder-Analyse, SWOT |
+| 4.3 | Geltungsbereich | Scope-Definition, Standorte, Prozesse, Ausschlüsse |
+| 5.2 | Informationssicherheitspolitik | Policy-Verwaltung mit Versioning und Genehmigung |
+| 6.2 | Sicherheitsziele | SMART-Ziele mit KPI-Tracking und Fortschrittsmessung |
+| Annex A | Statement of Applicability (SoA) | 93 Controls, Applicability, Implementierungsstatus |
+| 9.2 | Internes Audit | Audit-Planung, Durchfuehrung, Abschluss |
+| 9.3 | Managementbewertung | Review-Protokolle, Action Items, Genehmigung |
+| 10.1 | Nichtkonformitaet & Korrekturmassnahmen | Findings (Major/Minor/OFI) und CAPA-Workflow |
+
+## API-Endpunkte (39 Endpoints)
+
+### ISMS Scope (Kap. 4.3)
+
+| Methode | Pfad | Beschreibung |
+|---------|------|--------------|
+| `GET` | `/isms/scope` | Aktuellen Scope abrufen |
+| `POST` | `/isms/scope` | Neuen Scope erstellen (ersetzt bestehenden) |
+| `PUT` | `/isms/scope/{id}` | Scope aktualisieren (nur im Draft-Status) |
+| `POST` | `/isms/scope/{id}/approve` | Scope genehmigen (Top-Management-Signatur) |
+
+### Kontext (Kap. 4.1, 4.2)
+
+| Methode | Pfad | Beschreibung |
+|---------|------|--------------|
+| `GET` | `/isms/context` | Kontextanalyse abrufen |
+| `POST` | `/isms/context` | Neue Kontextanalyse erstellen |
+
+### Policies (Kap. 5.2)
+
+| Methode | Pfad | Beschreibung |
+|---------|------|--------------|
+| `GET` | `/isms/policies` | Alle Policies auflisten (Filter: `policy_type`, `status`) |
+| `POST` | `/isms/policies` | Neue Policy erstellen |
+| `GET` | `/isms/policies/{id}` | Einzelne Policy abrufen |
+| `PUT` | `/isms/policies/{id}` | Policy aktualisieren (neue Version bei genehmigter Policy) |
+| `POST` | `/isms/policies/{id}/approve` | Policy genehmigen |
+
+### Sicherheitsziele (Kap. 6.2)
+
+| Methode | Pfad | Beschreibung |
+|---------|------|--------------|
+| `GET` | `/isms/objectives` | Alle Ziele auflisten (Filter: `category`, `status`) |
+| `POST` | `/isms/objectives` | Neues Ziel erstellen |
+| `PUT` | `/isms/objectives/{id}` | Ziel-Fortschritt aktualisieren |
+
+### Statement of Applicability (SoA)
+
+| Methode | Pfad | Beschreibung |
+|---------|------|--------------|
+| `GET` | `/isms/soa` | SoA-Eintraege auflisten (Filter: `is_applicable`, `implementation_status`, `category`) |
+| `POST` | `/isms/soa` | Neuen SoA-Eintrag erstellen |
+| `PUT` | `/isms/soa/{id}` | SoA-Eintrag aktualisieren |
+| `POST` | `/isms/soa/{id}/approve` | SoA-Eintrag genehmigen |
+
+### Audit Findings
+
+| Methode | Pfad | Beschreibung |
+|---------|------|--------------|
+| `GET` | `/isms/findings` | Findings auflisten (Filter: `finding_type`, `status`, `internal_audit_id`) |
+| `POST` | `/isms/findings` | Neues Finding erstellen (auto-generierte ID: FIND-YYYY-NNN) |
+| `PUT` | `/isms/findings/{id}` | Finding aktualisieren |
+| `POST` | `/isms/findings/{id}/close` | Finding schliessen (alle CAPAs muessen verifiziert sein) |
+
+### Corrective Actions (CAPA)
+
+| Methode | Pfad | Beschreibung |
+|---------|------|--------------|
+| `GET` | `/isms/capa` | CAPAs auflisten (Filter: `finding_id`, `status`, `assigned_to`) |
+| `POST` | `/isms/capa` | Neue CAPA erstellen (auto-generierte ID: CAPA-YYYY-NNN) |
+| `PUT` | `/isms/capa/{id}` | CAPA-Fortschritt aktualisieren |
+| `POST` | `/isms/capa/{id}/verify` | CAPA-Wirksamkeit verifizieren |
+
+### Management Reviews (Kap. 9.3)
+
+| Methode | Pfad | Beschreibung |
+|---------|------|--------------|
+| `GET` | `/isms/management-reviews` | Reviews auflisten |
+| `POST` | `/isms/management-reviews` | Neue Review erstellen |
+| `GET` | `/isms/management-reviews/{id}` | Einzelne Review abrufen |
+| `PUT` | `/isms/management-reviews/{id}` | Review aktualisieren |
+| `POST` | `/isms/management-reviews/{id}/approve` | Review genehmigen |
+
+### Interne Audits (Kap. 9.2)
+
+| Methode | Pfad | Beschreibung |
+|---------|------|--------------|
+| `GET` | `/isms/internal-audits` | Audits auflisten |
+| `POST` | `/isms/internal-audits` | Neues Audit planen |
+| `PUT` | `/isms/internal-audits/{id}` | Audit aktualisieren |
+| `POST` | `/isms/internal-audits/{id}/complete` | Audit abschliessen |
+
+### Readiness-Check
+
+| Methode | Pfad | Beschreibung |
+|---------|------|--------------|
+| `POST` | `/isms/readiness-check` | Readiness-Check durchfuehren |
+| `GET` | `/isms/readiness-check/latest` | Letztes Ergebnis abrufen |
+
+### Audit Trail & Uebersicht
+
+| Methode | Pfad | Beschreibung |
+|---------|------|--------------|
+| `GET` | `/isms/audit-trail` | Audit-Trail abfragen (paginiert) |
+| `GET` | `/isms/overview` | ISO 27001 Gesamtuebersicht |
+
+## Datenbank-Tabellen
+
+| Tabelle | Beschreibung |
+|---------|--------------|
+| `compliance_isms_scope` | ISMS-Geltungsbereich |
+| `compliance_isms_context` | Kontextanalyse (4.1/4.2) |
+| `compliance_isms_policy` | Sicherheitspolicies |
+| `compliance_security_objectives` | Sicherheitsziele mit KPIs |
+| `compliance_soa` | Statement of Applicability (93 Annex-A-Controls) |
+| `compliance_audit_findings` | Audit-Findings (Major/Minor/OFI/Positive) |
+| `compliance_corrective_actions` | CAPA (Corrective/Preventive Actions) |
+| `compliance_management_reviews` | Management-Reviews |
+| `compliance_internal_audits` | Interne Audits |
+| `compliance_audit_trail` | Audit-Trail (alle ISMS-Aenderungen) |
+| `compliance_isms_readiness_checks` | Readiness-Check-Ergebnisse |
+
+## Readiness-Check
+
+Der Readiness-Check prueft automatisch alle Zertifizierungsvoraussetzungen:
+
+- **Scope genehmigt?** (Kap. 4.3) → Major wenn nein
+- **Kontextanalyse vorhanden?** (Kap. 4.1/4.2) → Major wenn nein
+- **Master-Policy genehmigt?** (Kap. 5.2) → Major wenn nein
+- **Risiken mit Behandlungsplan?** (Kap. 6.1.2) → Major wenn Risiken ohne Plan
+- **Sicherheitsziele definiert?** (Kap. 6.2) → Major wenn keine
+- **SoA erstellt und genehmigt?** (Annex A) → Major/Minor
+- **Internes Audit in letzten 12 Monaten?** (Kap. 9.2) → Major wenn nein
+- **Management-Review in letzten 12 Monaten?** (Kap. 9.3) → Major wenn nein
+- **Offene Major-Findings?** (Kap. 10.1) → Major wenn ja
+- **Offene Minor-Findings?** (Kap. 10.1) → Minor wenn ja
+
+Das Ergebnis zeigt einen Readiness-Score (0-100%) und ob eine Zertifizierung moeglich ist.
+
+## Frontend-Tabs
+
+| Tab | Inhalt |
+|-----|--------|
+| **Uebersicht** | Readiness-Score, Kapitel-Status, Scope-Zusammenfassung, Readiness-Check |
+| **Policies** | Policy-Liste mit Filter, Versionierung, Genehmigungsworkflow |
+| **SoA (Annex A)** | 93 Controls-Tabelle, Applicability, Implementierungsstatus |
+| **Ziele** | Sicherheitsziele mit KPI-Fortschrittsbalken |
+| **Audits & Findings** | Interne Audits, Findings (Major/Minor/OFI), CAPA-Workflow |
+| **Management Reviews** | Review-Protokolle, Genehmigung, naechste Review-Planung |
+
+## Rechtliche Grundlagen
+
+- **ISO/IEC 27001:2022** — Informationssicherheits-Managementsysteme
+- **Art. 32 DSGVO** — Sicherheit der Verarbeitung
+- **Art. 5 Abs. 1f DSGVO** — Integritaet und Vertraulichkeit