Compliance

Das Compliance-Modul verwaltet regulatorische Anforderungen und deren Abdeckung durch IT-Services.

Frameworks

Compliance-Frameworks sind regulatorische Rahmenwerke mit Anforderungskatalogen:

Framework	Beispiele
ISO 27001	Informationssicherheit
DSGVO	Datenschutz
BSI IT-Grundschutz	Bundesamt fuer Sicherheit in der Informationstechnik
SOC 2	Service Organization Controls
DORA	Digital Operational Resilience Act
Eigene Frameworks	Intern definiert

Jedes Framework hat:

Name und Version
Gueltigkeitsdatum
Anforderungskatalog

Anforderungen

Anforderungen sind einzelne Kontrollziele innerhalb eines Frameworks:

ISO 27001 / A.12.1.1
"Betriebsverfahren sollen dokumentiert werden..."

Kategorie: Betriebssicherheit
Abdeckungsgrad: full
Nachweis: "Betriebshandbuch v2.3, Kapitel 4"

Compliance-Matrix

Die Matrix zeigt, welche Services welche Anforderungen abdecken:

            Anf. A.12.1.1  Anf. A.12.1.2  Anf. A.12.3.1
Service A      ✅ full      ⚠️ partial    ❌ none
Service B      ✅ full      ✅ full       ⚠️ partial

Abdeckungsgrade:

full — Anforderung vollstaendig abgedeckt
partial — Teilweise abgedeckt, Luecken dokumentiert
none — Nicht abgedeckt

Gap-Analyse

Die Gap-Analyse zeigt:

Alle nicht abgedeckten Anforderungen
Anforderungen mit nur teilweiser Abdeckung
Compliance-Score (% der vollstaendig abgedeckten Anforderungen)

Asset-Regulatorik-Flags

Assets koennen mit Frameworks verknuepft werden, um anzuzeigen, dass bestimmte Compliance-Anforderungen fuer dieses Asset gelten:

Asset "kunden-datenbank-01"
  → DSGVO (personenbezogene Daten)
  → ISO 27001 (kritische Daten)

REST API

GET    /api/v1/compliance/frameworks                          # Frameworks
POST   /api/v1/compliance/frameworks                          # Erstellen
GET    /api/v1/compliance/frameworks/:id/requirements         # Anforderungen
POST   /api/v1/compliance/frameworks/:id/requirements         # Hinzufuegen
GET    /api/v1/compliance/frameworks/:id/matrix               # Compliance-Matrix
GET    /api/v1/compliance/frameworks/:id/gaps                 # Gap-Analyse
POST   /api/v1/compliance/mappings                            # Service↔Anforderung verknuepfen
DELETE /api/v1/compliance/mappings                            # Verknuepfung entfernen
GET    /api/v1/compliance/assets/:id                          # Asset-Flags

Community-Limit

Community Edition: 1 Compliance-Framework pro Mandant.

Compliance ​

Frameworks ​

Anforderungen ​

Compliance-Matrix ​

Gap-Analyse ​

Asset-Regulatorik-Flags ​

REST API ​

Community-Limit ​