9e65dff7d6
All checks were successful
CI / go-lint (push) Has been skipped
CI / python-lint (push) Has been skipped
CI / nodejs-lint (push) Has been skipped
CI / test-go-ai-compliance (push) Successful in 33s
CI / test-python-backend-compliance (push) Successful in 29s
CI / test-python-document-crawler (push) Successful in 20s
CI / test-python-dsms-gateway (push) Successful in 16s
ISMS-Modul mit 6 Tabs (Uebersicht, Policies, SoA, Ziele, Audits/Findings/CAPA, Management-Reviews) fuer alle 39 Backend-Endpoints. Readiness-Check identifiziert potenzielle Major/Minor-Findings vor externer Zertifizierung. Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
7.4 KiB
7.4 KiB
ISMS — ISO 27001 Managementsystem
Uebersicht
Das ISMS-Modul (Informationssicherheits-Managementsystem) unterstuetzt die vollstaendige ISO 27001:2022 Zertifizierungsvorbereitung. Es deckt alle relevanten Kapitel der Norm ab und bietet einen automatischen Readiness-Check, der potenzielle Major- und Minor-Findings vor der externen Zertifizierung identifiziert.
Frontend: https://macmini:3007/sdk/isms
Backend: backend-compliance (Python/FastAPI), Prefix /api/isms/
Abgedeckte ISO 27001 Kapitel
| Kapitel | Titel | Funktionen |
|---|---|---|
| 4.1/4.2 | Kontext der Organisation | Interne/externe Themen, Stakeholder-Analyse, SWOT |
| 4.3 | Geltungsbereich | Scope-Definition, Standorte, Prozesse, Ausschlüsse |
| 5.2 | Informationssicherheitspolitik | Policy-Verwaltung mit Versioning und Genehmigung |
| 6.2 | Sicherheitsziele | SMART-Ziele mit KPI-Tracking und Fortschrittsmessung |
| Annex A | Statement of Applicability (SoA) | 93 Controls, Applicability, Implementierungsstatus |
| 9.2 | Internes Audit | Audit-Planung, Durchfuehrung, Abschluss |
| 9.3 | Managementbewertung | Review-Protokolle, Action Items, Genehmigung |
| 10.1 | Nichtkonformitaet & Korrekturmassnahmen | Findings (Major/Minor/OFI) und CAPA-Workflow |
API-Endpunkte (39 Endpoints)
ISMS Scope (Kap. 4.3)
| Methode | Pfad | Beschreibung |
|---|---|---|
GET |
/isms/scope |
Aktuellen Scope abrufen |
POST |
/isms/scope |
Neuen Scope erstellen (ersetzt bestehenden) |
PUT |
/isms/scope/{id} |
Scope aktualisieren (nur im Draft-Status) |
POST |
/isms/scope/{id}/approve |
Scope genehmigen (Top-Management-Signatur) |
Kontext (Kap. 4.1, 4.2)
| Methode | Pfad | Beschreibung |
|---|---|---|
GET |
/isms/context |
Kontextanalyse abrufen |
POST |
/isms/context |
Neue Kontextanalyse erstellen |
Policies (Kap. 5.2)
| Methode | Pfad | Beschreibung |
|---|---|---|
GET |
/isms/policies |
Alle Policies auflisten (Filter: policy_type, status) |
POST |
/isms/policies |
Neue Policy erstellen |
GET |
/isms/policies/{id} |
Einzelne Policy abrufen |
PUT |
/isms/policies/{id} |
Policy aktualisieren (neue Version bei genehmigter Policy) |
POST |
/isms/policies/{id}/approve |
Policy genehmigen |
Sicherheitsziele (Kap. 6.2)
| Methode | Pfad | Beschreibung |
|---|---|---|
GET |
/isms/objectives |
Alle Ziele auflisten (Filter: category, status) |
POST |
/isms/objectives |
Neues Ziel erstellen |
PUT |
/isms/objectives/{id} |
Ziel-Fortschritt aktualisieren |
Statement of Applicability (SoA)
| Methode | Pfad | Beschreibung |
|---|---|---|
GET |
/isms/soa |
SoA-Eintraege auflisten (Filter: is_applicable, implementation_status, category) |
POST |
/isms/soa |
Neuen SoA-Eintrag erstellen |
PUT |
/isms/soa/{id} |
SoA-Eintrag aktualisieren |
POST |
/isms/soa/{id}/approve |
SoA-Eintrag genehmigen |
Audit Findings
| Methode | Pfad | Beschreibung |
|---|---|---|
GET |
/isms/findings |
Findings auflisten (Filter: finding_type, status, internal_audit_id) |
POST |
/isms/findings |
Neues Finding erstellen (auto-generierte ID: FIND-YYYY-NNN) |
PUT |
/isms/findings/{id} |
Finding aktualisieren |
POST |
/isms/findings/{id}/close |
Finding schliessen (alle CAPAs muessen verifiziert sein) |
Corrective Actions (CAPA)
| Methode | Pfad | Beschreibung |
|---|---|---|
GET |
/isms/capa |
CAPAs auflisten (Filter: finding_id, status, assigned_to) |
POST |
/isms/capa |
Neue CAPA erstellen (auto-generierte ID: CAPA-YYYY-NNN) |
PUT |
/isms/capa/{id} |
CAPA-Fortschritt aktualisieren |
POST |
/isms/capa/{id}/verify |
CAPA-Wirksamkeit verifizieren |
Management Reviews (Kap. 9.3)
| Methode | Pfad | Beschreibung |
|---|---|---|
GET |
/isms/management-reviews |
Reviews auflisten |
POST |
/isms/management-reviews |
Neue Review erstellen |
GET |
/isms/management-reviews/{id} |
Einzelne Review abrufen |
PUT |
/isms/management-reviews/{id} |
Review aktualisieren |
POST |
/isms/management-reviews/{id}/approve |
Review genehmigen |
Interne Audits (Kap. 9.2)
| Methode | Pfad | Beschreibung |
|---|---|---|
GET |
/isms/internal-audits |
Audits auflisten |
POST |
/isms/internal-audits |
Neues Audit planen |
PUT |
/isms/internal-audits/{id} |
Audit aktualisieren |
POST |
/isms/internal-audits/{id}/complete |
Audit abschliessen |
Readiness-Check
| Methode | Pfad | Beschreibung |
|---|---|---|
POST |
/isms/readiness-check |
Readiness-Check durchfuehren |
GET |
/isms/readiness-check/latest |
Letztes Ergebnis abrufen |
Audit Trail & Uebersicht
| Methode | Pfad | Beschreibung |
|---|---|---|
GET |
/isms/audit-trail |
Audit-Trail abfragen (paginiert) |
GET |
/isms/overview |
ISO 27001 Gesamtuebersicht |
Datenbank-Tabellen
| Tabelle | Beschreibung |
|---|---|
compliance_isms_scope |
ISMS-Geltungsbereich |
compliance_isms_context |
Kontextanalyse (4.1/4.2) |
compliance_isms_policy |
Sicherheitspolicies |
compliance_security_objectives |
Sicherheitsziele mit KPIs |
compliance_soa |
Statement of Applicability (93 Annex-A-Controls) |
compliance_audit_findings |
Audit-Findings (Major/Minor/OFI/Positive) |
compliance_corrective_actions |
CAPA (Corrective/Preventive Actions) |
compliance_management_reviews |
Management-Reviews |
compliance_internal_audits |
Interne Audits |
compliance_audit_trail |
Audit-Trail (alle ISMS-Aenderungen) |
compliance_isms_readiness_checks |
Readiness-Check-Ergebnisse |
Readiness-Check
Der Readiness-Check prueft automatisch alle Zertifizierungsvoraussetzungen:
- Scope genehmigt? (Kap. 4.3) → Major wenn nein
- Kontextanalyse vorhanden? (Kap. 4.1/4.2) → Major wenn nein
- Master-Policy genehmigt? (Kap. 5.2) → Major wenn nein
- Risiken mit Behandlungsplan? (Kap. 6.1.2) → Major wenn Risiken ohne Plan
- Sicherheitsziele definiert? (Kap. 6.2) → Major wenn keine
- SoA erstellt und genehmigt? (Annex A) → Major/Minor
- Internes Audit in letzten 12 Monaten? (Kap. 9.2) → Major wenn nein
- Management-Review in letzten 12 Monaten? (Kap. 9.3) → Major wenn nein
- Offene Major-Findings? (Kap. 10.1) → Major wenn ja
- Offene Minor-Findings? (Kap. 10.1) → Minor wenn ja
Das Ergebnis zeigt einen Readiness-Score (0-100%) und ob eine Zertifizierung moeglich ist.
Frontend-Tabs
| Tab | Inhalt |
|---|---|
| Uebersicht | Readiness-Score, Kapitel-Status, Scope-Zusammenfassung, Readiness-Check |
| Policies | Policy-Liste mit Filter, Versionierung, Genehmigungsworkflow |
| SoA (Annex A) | 93 Controls-Tabelle, Applicability, Implementierungsstatus |
| Ziele | Sicherheitsziele mit KPI-Fortschrittsbalken |
| Audits & Findings | Interne Audits, Findings (Major/Minor/OFI), CAPA-Workflow |
| Management Reviews | Review-Protokolle, Genehmigung, naechste Review-Planung |
Rechtliche Grundlagen
- ISO/IEC 27001:2022 — Informationssicherheits-Managementsysteme
- Art. 32 DSGVO — Sicherheit der Verarbeitung
- Art. 5 Abs. 1f DSGVO — Integritaet und Vertraulichkeit