4435e7ea0a
Services: Admin-Compliance, Backend-Compliance, AI-Compliance-SDK, Consent-SDK, Developer-Portal, PCA-Platform, DSMS Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
297 lines
10 KiB
TypeScript
297 lines
10 KiB
TypeScript
/**
|
|
* Demo TOMs (Technical & Organizational Measures) for AI Compliance SDK
|
|
* These are seed data structures - actual data is stored in database
|
|
*/
|
|
|
|
import { TOM } from '../types'
|
|
|
|
export const DEMO_TOMS: TOM[] = [
|
|
// Zugangskontrolle
|
|
{
|
|
id: 'demo-tom-1',
|
|
category: 'Zugangskontrolle',
|
|
name: 'Physische Zutrittskontrolle',
|
|
description: 'Elektronische Zugangskontrollsysteme mit personenbezogenen Zutrittskarten für alle Serverräume und Rechenzentren. Protokollierung aller Zutritte.',
|
|
type: 'TECHNICAL',
|
|
implementationStatus: 'IMPLEMENTED',
|
|
priority: 'HIGH',
|
|
responsiblePerson: 'Facility Management',
|
|
implementationDate: new Date('2025-06-01'),
|
|
reviewDate: new Date('2026-06-01'),
|
|
evidence: ['demo-evi-tom-1'],
|
|
},
|
|
{
|
|
id: 'demo-tom-2',
|
|
category: 'Zugangskontrolle',
|
|
name: 'Besuchermanagement',
|
|
description: 'Registrierung aller Besucher mit Identitätsprüfung, Ausgabe von Besucherausweisen und permanente Begleitung in sicherheitsrelevanten Bereichen.',
|
|
type: 'ORGANIZATIONAL',
|
|
implementationStatus: 'IMPLEMENTED',
|
|
priority: 'MEDIUM',
|
|
responsiblePerson: 'Empfang/Security',
|
|
implementationDate: new Date('2025-03-15'),
|
|
reviewDate: new Date('2026-03-15'),
|
|
evidence: ['demo-evi-tom-2'],
|
|
},
|
|
|
|
// Zugriffskontrolle
|
|
{
|
|
id: 'demo-tom-3',
|
|
category: 'Zugriffskontrolle',
|
|
name: 'Identity & Access Management (IAM)',
|
|
description: 'Zentrales IAM-System mit automatischer Provisionierung, Deprovisionierung und regelmäßiger Rezertifizierung aller Benutzerkonten.',
|
|
type: 'TECHNICAL',
|
|
implementationStatus: 'IMPLEMENTED',
|
|
priority: 'CRITICAL',
|
|
responsiblePerson: 'IT-Sicherheit',
|
|
implementationDate: new Date('2025-01-01'),
|
|
reviewDate: new Date('2026-01-01'),
|
|
evidence: ['demo-evi-tom-3'],
|
|
},
|
|
{
|
|
id: 'demo-tom-4',
|
|
category: 'Zugriffskontrolle',
|
|
name: 'Privileged Access Management (PAM)',
|
|
description: 'Spezielles Management für administrative Zugänge mit Session-Recording, automatischer Passwortrotation und Just-in-Time-Berechtigungen.',
|
|
type: 'TECHNICAL',
|
|
implementationStatus: 'IMPLEMENTED',
|
|
priority: 'CRITICAL',
|
|
responsiblePerson: 'IT-Sicherheit',
|
|
implementationDate: new Date('2025-04-01'),
|
|
reviewDate: new Date('2026-04-01'),
|
|
evidence: ['demo-evi-tom-4'],
|
|
},
|
|
{
|
|
id: 'demo-tom-5',
|
|
category: 'Zugriffskontrolle',
|
|
name: 'Berechtigungskonzept-Review',
|
|
description: 'Halbjährliche Überprüfung aller Berechtigungen durch die jeweiligen Fachbereichsleiter mit dokumentierter Rezertifizierung.',
|
|
type: 'ORGANIZATIONAL',
|
|
implementationStatus: 'IMPLEMENTED',
|
|
priority: 'HIGH',
|
|
responsiblePerson: 'Fachbereichsleiter',
|
|
implementationDate: new Date('2025-02-01'),
|
|
reviewDate: new Date('2026-02-01'),
|
|
evidence: ['demo-evi-tom-5'],
|
|
},
|
|
|
|
// Verschlüsselung
|
|
{
|
|
id: 'demo-tom-6',
|
|
category: 'Verschlüsselung',
|
|
name: 'Datenverschlüsselung at Rest',
|
|
description: 'AES-256 Verschlüsselung aller personenbezogenen Daten in Datenbanken und Dateisystemen. Key Management über HSM.',
|
|
type: 'TECHNICAL',
|
|
implementationStatus: 'IMPLEMENTED',
|
|
priority: 'CRITICAL',
|
|
responsiblePerson: 'IT-Sicherheit',
|
|
implementationDate: new Date('2025-01-15'),
|
|
reviewDate: new Date('2026-01-15'),
|
|
evidence: ['demo-evi-tom-6'],
|
|
},
|
|
{
|
|
id: 'demo-tom-7',
|
|
category: 'Verschlüsselung',
|
|
name: 'Transportverschlüsselung',
|
|
description: 'TLS 1.3 für alle externen Verbindungen, mTLS für interne Service-Kommunikation. Regelmäßige Überprüfung der Cipher Suites.',
|
|
type: 'TECHNICAL',
|
|
implementationStatus: 'IMPLEMENTED',
|
|
priority: 'CRITICAL',
|
|
responsiblePerson: 'IT-Sicherheit',
|
|
implementationDate: new Date('2025-01-01'),
|
|
reviewDate: new Date('2026-01-01'),
|
|
evidence: ['demo-evi-tom-7'],
|
|
},
|
|
|
|
// Pseudonymisierung
|
|
{
|
|
id: 'demo-tom-8',
|
|
category: 'Pseudonymisierung',
|
|
name: 'Pseudonymisierungs-Pipeline',
|
|
description: 'Automatisierte Pseudonymisierung von Daten vor der Verarbeitung in Analytics-Systemen. Reversible Zuordnung nur durch autorisierten Prozess.',
|
|
type: 'TECHNICAL',
|
|
implementationStatus: 'IMPLEMENTED',
|
|
priority: 'HIGH',
|
|
responsiblePerson: 'Data Engineering',
|
|
implementationDate: new Date('2025-05-01'),
|
|
reviewDate: new Date('2026-05-01'),
|
|
evidence: ['demo-evi-tom-8'],
|
|
},
|
|
|
|
// Integrität
|
|
{
|
|
id: 'demo-tom-9',
|
|
category: 'Integrität',
|
|
name: 'Datenintegritätsprüfung',
|
|
description: 'Checksummen-Validierung bei allen Datentransfers, Hash-Verifikation gespeicherter Daten, automatische Alerts bei Abweichungen.',
|
|
type: 'TECHNICAL',
|
|
implementationStatus: 'IMPLEMENTED',
|
|
priority: 'HIGH',
|
|
responsiblePerson: 'IT-Betrieb',
|
|
implementationDate: new Date('2025-03-01'),
|
|
reviewDate: new Date('2026-03-01'),
|
|
evidence: ['demo-evi-tom-9'],
|
|
},
|
|
{
|
|
id: 'demo-tom-10',
|
|
category: 'Integrität',
|
|
name: 'Change Management',
|
|
description: 'Dokumentierter Change-Prozess mit Vier-Augen-Prinzip für alle Änderungen an produktiven Systemen. CAB-Freigabe für kritische Changes.',
|
|
type: 'ORGANIZATIONAL',
|
|
implementationStatus: 'IMPLEMENTED',
|
|
priority: 'HIGH',
|
|
responsiblePerson: 'IT-Leitung',
|
|
implementationDate: new Date('2025-01-01'),
|
|
reviewDate: new Date('2026-01-01'),
|
|
evidence: ['demo-evi-tom-10'],
|
|
},
|
|
|
|
// Verfügbarkeit
|
|
{
|
|
id: 'demo-tom-11',
|
|
category: 'Verfügbarkeit',
|
|
name: 'Disaster Recovery Plan',
|
|
description: 'Dokumentierter und getesteter DR-Plan mit RTO <4h und RPO <1h. Jährliche DR-Tests mit Dokumentation.',
|
|
type: 'ORGANIZATIONAL',
|
|
implementationStatus: 'IMPLEMENTED',
|
|
priority: 'CRITICAL',
|
|
responsiblePerson: 'IT-Leitung',
|
|
implementationDate: new Date('2025-02-01'),
|
|
reviewDate: new Date('2026-02-01'),
|
|
evidence: ['demo-evi-tom-11'],
|
|
},
|
|
{
|
|
id: 'demo-tom-12',
|
|
category: 'Verfügbarkeit',
|
|
name: 'High Availability Cluster',
|
|
description: 'Aktiv-Aktiv-Cluster für alle kritischen Systeme mit automatischem Failover. 99,9% Verfügbarkeits-SLA.',
|
|
type: 'TECHNICAL',
|
|
implementationStatus: 'IMPLEMENTED',
|
|
priority: 'CRITICAL',
|
|
responsiblePerson: 'IT-Betrieb',
|
|
implementationDate: new Date('2025-01-01'),
|
|
reviewDate: new Date('2026-01-01'),
|
|
evidence: ['demo-evi-tom-12'],
|
|
},
|
|
|
|
// Belastbarkeit
|
|
{
|
|
id: 'demo-tom-13',
|
|
category: 'Belastbarkeit',
|
|
name: 'Load Balancing & Auto-Scaling',
|
|
description: 'Dynamische Skalierung basierend auf Last-Metriken. Load Balancer mit Health Checks und automatischer Traffic-Umleitung.',
|
|
type: 'TECHNICAL',
|
|
implementationStatus: 'IMPLEMENTED',
|
|
priority: 'HIGH',
|
|
responsiblePerson: 'IT-Betrieb',
|
|
implementationDate: new Date('2025-04-01'),
|
|
reviewDate: new Date('2026-04-01'),
|
|
evidence: ['demo-evi-tom-13'],
|
|
},
|
|
{
|
|
id: 'demo-tom-14',
|
|
category: 'Belastbarkeit',
|
|
name: 'DDoS-Schutz',
|
|
description: 'Cloudbasierter DDoS-Schutz mit automatischer Traffic-Filterung. Kapazität für 10x Normal-Traffic.',
|
|
type: 'TECHNICAL',
|
|
implementationStatus: 'IMPLEMENTED',
|
|
priority: 'HIGH',
|
|
responsiblePerson: 'IT-Sicherheit',
|
|
implementationDate: new Date('2025-01-01'),
|
|
reviewDate: new Date('2026-01-01'),
|
|
evidence: ['demo-evi-tom-14'],
|
|
},
|
|
|
|
// Wiederherstellbarkeit
|
|
{
|
|
id: 'demo-tom-15',
|
|
category: 'Wiederherstellbarkeit',
|
|
name: 'Backup-Strategie',
|
|
description: '3-2-1 Backup-Strategie: 3 Kopien, 2 verschiedene Medien, 1 Offsite. Tägliche inkrementelle, wöchentliche Vollbackups.',
|
|
type: 'TECHNICAL',
|
|
implementationStatus: 'IMPLEMENTED',
|
|
priority: 'CRITICAL',
|
|
responsiblePerson: 'IT-Betrieb',
|
|
implementationDate: new Date('2025-01-01'),
|
|
reviewDate: new Date('2026-01-01'),
|
|
evidence: ['demo-evi-tom-15'],
|
|
},
|
|
{
|
|
id: 'demo-tom-16',
|
|
category: 'Wiederherstellbarkeit',
|
|
name: 'Restore-Tests',
|
|
description: 'Monatliche Restore-Tests mit zufällig ausgewählten Daten. Dokumentation der Recovery-Zeit und Vollständigkeit.',
|
|
type: 'ORGANIZATIONAL',
|
|
implementationStatus: 'IMPLEMENTED',
|
|
priority: 'HIGH',
|
|
responsiblePerson: 'IT-Betrieb',
|
|
implementationDate: new Date('2025-02-01'),
|
|
reviewDate: new Date('2026-02-01'),
|
|
evidence: ['demo-evi-tom-16'],
|
|
},
|
|
|
|
// Überprüfung & Bewertung
|
|
{
|
|
id: 'demo-tom-17',
|
|
category: 'Überprüfung & Bewertung',
|
|
name: 'Penetration Tests',
|
|
description: 'Jährliche externe Penetration Tests durch zertifizierte Dienstleister. Zusätzliche Tests nach größeren Änderungen.',
|
|
type: 'ORGANIZATIONAL',
|
|
implementationStatus: 'IMPLEMENTED',
|
|
priority: 'HIGH',
|
|
responsiblePerson: 'IT-Sicherheit',
|
|
implementationDate: new Date('2025-03-01'),
|
|
reviewDate: new Date('2026-03-01'),
|
|
evidence: ['demo-evi-tom-17'],
|
|
},
|
|
{
|
|
id: 'demo-tom-18',
|
|
category: 'Überprüfung & Bewertung',
|
|
name: 'Security Awareness Training',
|
|
description: 'Verpflichtendes Security-Training für alle Mitarbeiter bei Einstellung und jährlich. Phishing-Simulationen quartalsweise.',
|
|
type: 'ORGANIZATIONAL',
|
|
implementationStatus: 'IMPLEMENTED',
|
|
priority: 'MEDIUM',
|
|
responsiblePerson: 'HR / IT-Sicherheit',
|
|
implementationDate: new Date('2025-01-15'),
|
|
reviewDate: new Date('2026-01-15'),
|
|
evidence: ['demo-evi-tom-18'],
|
|
},
|
|
|
|
// KI-spezifische TOMs
|
|
{
|
|
id: 'demo-tom-19',
|
|
category: 'KI-Governance',
|
|
name: 'Model Governance Framework',
|
|
description: 'Dokumentierter Prozess für Entwicklung, Test, Deployment und Monitoring von KI-Modellen. Model Cards für alle produktiven Modelle.',
|
|
type: 'ORGANIZATIONAL',
|
|
implementationStatus: 'IMPLEMENTED',
|
|
priority: 'HIGH',
|
|
responsiblePerson: 'Data Science Lead',
|
|
implementationDate: new Date('2025-06-01'),
|
|
reviewDate: new Date('2026-06-01'),
|
|
evidence: ['demo-evi-tom-19'],
|
|
},
|
|
{
|
|
id: 'demo-tom-20',
|
|
category: 'KI-Governance',
|
|
name: 'Bias Detection & Monitoring',
|
|
description: 'Automatisiertes Monitoring der Modell-Outputs auf Bias. Alerting bei signifikanten Abweichungen von Fairness-Metriken.',
|
|
type: 'TECHNICAL',
|
|
implementationStatus: 'IMPLEMENTED',
|
|
priority: 'HIGH',
|
|
responsiblePerson: 'Data Science Lead',
|
|
implementationDate: new Date('2025-07-01'),
|
|
reviewDate: new Date('2026-07-01'),
|
|
evidence: ['demo-evi-tom-20'],
|
|
},
|
|
]
|
|
|
|
export function getDemoTOMs(): TOM[] {
|
|
return DEMO_TOMS.map(tom => ({
|
|
...tom,
|
|
implementationDate: tom.implementationDate ? new Date(tom.implementationDate) : null,
|
|
reviewDate: tom.reviewDate ? new Date(tom.reviewDate) : null,
|
|
}))
|
|
}
|