Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues 24 Pull Requests Actions Packages Projects Releases Wiki Activity
Files
051890c370584e44a37235120f7be73e4507c5aa
breakpilot-compliance/backend-compliance/migrations/110_unreviewed_policies_v2.sql
T
Benjamin Admin 64700b355e feat: Review all 12 remaining policy templates + categorize 
Migration 110: Updated descriptions and version for 12 previously
unreviewed templates (asset_management, backup, change_management,
cloud_security, devsecops, incident_response, logging, patch_management,
secrets_management, vulnerability_management, informationspflichten,
verpflichtungserklaerung).

All templates assessed as "Very Good" quality — only incremental
updates needed (AI Act, CRA, NIS2UmsuCG references in descriptions).

informationspflichten: Kept as separate compact checklist (distinct
from the full privacy_policy DSI template).
verpflichtungserklaerung: Kept as standalone HR document (employee
signs at onboarding). Added to HR & Mitarbeiter category.

Result: 88 templates, 44 at v1.1+, 0 unreviewed remaining.

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
2026-05-03 07:19:41 +02:00

88 lines
5.9 KiB
SQL
Raw Blame History

-- Migration 110: Review + Update der 12 bisher ungeprüften Policy-Templates
-- Alle Templates sind bereits auf gutem Niveau (7-14 Abschnitte, ISO/BSI/DSGVO)
-- Updates: AI Act Referenz, CRA, NIS2UmsuCG, Version-Bump
-- Zusaetzlich: informationspflichten + verpflichtungserklaerung pruefen
-- ===========================================================================
-- IT Security Policies (Migration 071) — 10 Templates
-- ===========================================================================
-- 1. Asset-Management-Richtlinie
UPDATE compliance_legal_templates SET
description = 'Asset-Management-Richtlinie nach ISO 27001 A.5.9. CMDB, Lebenszyklus, Klassifizierung, sichere Entsorgung (DIN 66399), Verantwortlichkeiten. Inkl. virtuelle Assets (APIs, KI-Modelle).',
version = '1.1.0', updated_at = NOW()
WHERE document_type = 'asset_management_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- 2. Datensicherungsrichtlinie
UPDATE compliance_legal_templates SET
description = 'Datensicherungsrichtlinie nach BSI CON.3. 3-2-1-Regel, RTO/RPO, Backup-Zyklen, Verschluesselung, Restore-Tests. Immutable Backups fuer Ransomware-Schutz.',
version = '1.1.0', updated_at = NOW()
WHERE document_type = 'backup_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- 3. Change-Management-Richtlinie
UPDATE compliance_legal_templates SET
description = 'Change-Management-Richtlinie nach ITIL/ISO 20000. Change-Klassen (Standard/Normal/Emergency), CAB, Risikobewertung, Rollback, Dokumentation.',
version = '1.1.0', updated_at = NOW()
WHERE document_type = 'change_management_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- 4. Cloud-Security-Richtlinie
UPDATE compliance_legal_templates SET
description = 'Cloud-Security-Richtlinie nach ISO 27017/27018. Shared Responsibility, Vendor-Assessment, Datenresidenz, Verschluesselung (BYOK), Exit-Strategie. NIS2/CRA-konform.',
version = '1.1.0', updated_at = NOW()
WHERE document_type = 'cloud_security_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- 5. DevSecOps-Richtlinie
UPDATE compliance_legal_templates SET
description = 'DevSecOps-Richtlinie fuer sichere Softwareentwicklung. SDLC, CI/CD-Gates (SAST/SCA/Container-Scan), Code-Review, Secrets Management. CRA Art. 21 konform.',
version = '1.1.0', updated_at = NOW()
WHERE document_type = 'devsecops_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- 6. Incident-Response-Richtlinie (ergaenzt den Incident-Response-Plan aus 051)
UPDATE compliance_legal_templates SET
description = 'Incident-Response-Richtlinie: Kurzfassung der Reaktionsprozesse fuer Mitarbeitende. Klassifizierung (P1-P4), Eskalation, Meldepflichten (DSGVO 72h, NIS2 24h). Ergaenzt den detaillierten Incident-Response-Plan.',
version = '1.1.0', updated_at = NOW()
WHERE document_type = 'incident_response_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- 7. Protokollierungsrichtlinie (ergaenzt das Logging-Konzept aus 051)
UPDATE compliance_legal_templates SET
description = 'Protokollierungsrichtlinie: Kurzfassung der Logging-Anforderungen fuer Mitarbeitende und Entwickler. Pflicht-Events, Log-Format, Aufbewahrung, SIEM. Ergaenzt das detaillierte Logging-Konzept.',
version = '1.1.0', updated_at = NOW()
WHERE document_type = 'logging_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- 8. Patch-Management-Richtlinie
UPDATE compliance_legal_templates SET
description = 'Patch-Management-Richtlinie nach BSI OPS.1.1.3. Scan-Zyklen, CVSS-Klassifizierung, SLAs (72h-90d), Ausnahmen, Automatisierung. NIS2/CRA-konform.',
version = '1.1.0', updated_at = NOW()
WHERE document_type = 'patch_management_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- 9. Secrets-Management-Richtlinie
UPDATE compliance_legal_templates SET
description = 'Secrets-Management-Richtlinie: Vault-basierte zentrale Verwaltung, Rotation (90d DB, 180d API), kein Hardcoding, Break-Glass-Verfahren.',
version = '1.1.0', updated_at = NOW()
WHERE document_type = 'secrets_management_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- 10. Schwachstellenmanagement-Richtlinie
UPDATE compliance_legal_templates SET
description = 'Schwachstellenmanagement-Richtlinie nach ISO 27001 A.8.8. Scan-Schedule, CVSS-Klassifizierung, SLAs, Triage, Responsible Disclosure (90d), Metriken. CRA-konform.',
version = '1.1.0', updated_at = NOW()
WHERE document_type = 'vulnerability_management_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- ===========================================================================
-- Altbestand aus Migration 021 — 2 Templates
-- ===========================================================================
-- 11. Informationspflichten — evtl. Duplikat zu privacy_policy
-- Entscheidung: BEHALTEN als separates, kuerzeres Dokument fuer interne Zwecke
-- (privacy_policy ist die ausfuehrliche DSI fuer externe Kommunikation)
UPDATE compliance_legal_templates SET
description = 'Kompakte Uebersicht der Informationspflichten gemaess Art. 13/14 DSGVO. Kurzfassung fuer interne Verwendung (Checkliste). Die ausfuehrliche Datenschutzinformation fuer Kunden/Nutzer ist das privacy_policy Template.',
version = '1.1', updated_at = NOW()
WHERE document_type = 'informationspflichten' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- 12. Verpflichtungserklaerung auf das Datengeheimnis
-- Eigenstaendiges HR-Dokument: Mitarbeiter unterschreiben bei Eintritt
UPDATE compliance_legal_templates SET
description = 'Verpflichtungserklaerung auf das Datengeheimnis fuer Mitarbeitende. Wird bei Eintritt unterschrieben. Bezieht sich auf DSGVO, BDSG und betriebliche Datenschutzrichtlinien. Eigenstaendiges HR-Dokument.',
version = '1.1', updated_at = NOW()
WHERE document_type = 'verpflichtungserklaerung' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
Reference in New Issue View Git Blame Copy Permalink