Skip to content

Commit 2362d3b

Browse files
Polish regulatory review packs
1 parent f072ed2 commit 2362d3b

13 files changed

Lines changed: 1597 additions & 205 deletions

CHANGELOG.md

Lines changed: 12 additions & 7 deletions
Original file line numberDiff line numberDiff line change
@@ -8,11 +8,15 @@ The project uses release tags for immutable release points. Changes under **Unre
88

99
### Added
1010

11-
- add contextual Regulatory Review Packs for NIS2, DORA, DSGVO/GDPR, and generic security governance
12-
- add tenant-scoped Regulatory Review Pack APIs for pack catalog, preview, snapshot creation, snapshot listing/detail, and Markdown/HTML/PDF/JSON exports
13-
- add `/regulatory-review-packs/` Web UI with pack selection, preview, snapshot creation, and snapshot list
14-
- extend Management/Regulatory snapshots with Evidence Integrity & Storage aggregate metrics covering re-hash status, restore-drill coverage, Legal Hold, and metadata-only disposition signals
15-
- add updated GUI screenshot documentation entries for Regulatory Review Packs and adjacent governance modules
11+
- ergaenzt Review-Pack-Filter fuer Pack-Typ, Status, Zeitraum, offene/kritische Luecken und sichere Limits
12+
- ergaenzt Owner-/Verantwortlichen-Hinweise in Regulatory Review Pack Previews, ohne fehlende Verantwortliche zu erfinden oder Kontaktdaten unnoetig auszugeben
13+
- ergaenzt pack-spezifische Lueckengruppierung fuer NIS2, DORA, DSGVO/GDPR und generische Security Governance
14+
- verbessert die deutsche UI-/Doku-Sprachkonsistenz der Regulatory Review-Pakete und aktualisiert die zugehoerigen Screenshots
15+
- ergaenzt kontextsensitive Regulatory Review-Pakete fuer NIS2, DORA, DSGVO/GDPR und generische Security Governance
16+
- ergaenzt tenantgebundene Regulatory-Review-Pack-APIs fuer Pack-Katalog, Preview, Snapshot-Erzeugung, Snapshot-Liste/-Detail und Markdown/HTML/PDF/JSON-Exporte
17+
- ergaenzt die Weboberflaeche `/regulatory-review-packs/` mit Pack-Auswahl, Preview, Snapshot-Erzeugung und Snapshot-Liste
18+
- erweitert Management-/Regulatory-Snapshots um Evidence-Integrity- und Storage-Aggregate zu Re-Hash-Status, Restore-Drill-Abdeckung, Legal Hold und metadata-only Disposition
19+
- ergaenzt aktualisierte GUI-Screenshot-Dokumentation fuer Regulatory Review-Pakete und angrenzende Governance-Module
1620
- add Evidence Object Storage & Restore Drill Phase 2 with an internal local-filesystem artifact storage abstraction
1721
- add tenant-scoped Evidence storage overview/detail APIs, bounded storage drill APIs, and storage event filtering without introducing production S3 or cloud credentials
1822
- extend `/evidence/integrity/` with local storage metadata and administrator/editor Storage-Drill actions
@@ -39,8 +43,9 @@ The project uses release tags for immutable release points. Changes under **Unre
3943

4044
### Security
4145

42-
- keep Regulatory Review Pack previews and snapshots tenant-scoped while allowing read-only roles to preview and reserving snapshot creation for write roles
43-
- reuse Management Review snapshot and audit infrastructure for Regulatory Review Packs without adding a second compliance-store or leaking Evidence paths, SQL details, secrets, or raw Evidence payloads
46+
- haelt Regulatory-Review-Pack-Filter, Previews, Snapshots und Exporte tenantgebunden; Read-only-Rollen duerfen sichere Inhalte lesen, Snapshot-Erzeugung bleibt schreibenden Rollen vorbehalten
47+
- validiert Pack-Typ-, Status-, Zeitraum-, Gap- und Limit-Filter mit sicheren 4xx-Fehlern ohne SQL-/Store-Details
48+
- nutzt die bestehende Management-Review-Snapshot- und Audit-Infrastruktur fuer Regulatory Review-Pakete, ohne zweiten Compliance-Store und ohne Evidence-Pfade, SQL-Details, Secrets oder rohe Evidence-Payloads offenzulegen
4449
- route Evidence artifact checks through a canonical media-root-contained filesystem backend that blocks traversal, absolute-path references, and symlink escapes
4550
- audit Evidence storage drills, artifact presence, unreadable/missing artifacts, hash matches, hash mismatches, drill failures, and drill completion without exposing absolute paths, raw payloads, SQL details, or secrets
4651
- reuse the existing Evidence Integrity metadata and audit table for storage drills, avoiding a new Evidence engine or destructive migration

docs/GUI_SCREENSHOTS.md

Lines changed: 8 additions & 8 deletions
Original file line numberDiff line numberDiff line change
@@ -52,21 +52,21 @@ Diese Screenshots dokumentieren die aktuelle serverseitige ISCY-Weboberflaeche f
5252

5353
![Reports](assets/iscy-reports.png)
5454

55-
## Regulatory Review Packs
55+
## Regulatory Review-Pakete
5656

57-
![Regulatory Review Packs](assets/iscy-regulatory-review-packs.png)
57+
![Regulatory Review-Pakete](assets/iscy-regulatory-review-packs.png)
5858

59-
## NIS2 Review Pack Preview
59+
## NIS2 Review-Paket Vorschau
6060

61-
![NIS2 Review Pack Preview](assets/iscy-regulatory-review-pack-nis2.png)
61+
![NIS2 Review-Paket Vorschau](assets/iscy-regulatory-review-pack-nis2.png)
6262

63-
## DORA Review Pack Preview
63+
## DORA Review-Paket Vorschau
6464

65-
![DORA Review Pack Preview](assets/iscy-regulatory-review-pack-dora.png)
65+
![DORA Review-Paket Vorschau](assets/iscy-regulatory-review-pack-dora.png)
6666

67-
## DSGVO Review Pack Preview
67+
## DSGVO Review-Paket Vorschau
6868

69-
![DSGVO Review Pack Preview](assets/iscy-regulatory-review-pack-dsgvo.png)
69+
![DSGVO Review-Paket Vorschau](assets/iscy-regulatory-review-pack-dsgvo.png)
7070

7171
## Assets
7272

docs/ISCY_Handbuch.md

Lines changed: 9 additions & 5 deletions
Original file line numberDiff line numberDiff line change
@@ -485,7 +485,7 @@ Ausgaben:
485485
- einfaches PDF
486486
- audit-faehiges PDF
487487
- Management-Review-Pakete unter `/management-reviews/`
488-
- kontextsensitive Regulatory Review Packs unter `/regulatory-review-packs/`
488+
- kontextsensitive Regulatory Review-Pakete unter `/regulatory-review-packs/`
489489
- Management-Review-Exporte als Markdown, HTML, PDF und JSON
490490

491491
Management-Review-Pakete:
@@ -498,12 +498,15 @@ Management-Review-Pakete:
498498
- dokumentieren Entscheidung, naechste Massnahmen, freigebenden User und Freigabezeitpunkt
499499
- erlauben eine Template-Vorschau, ohne bereits ein Review-Paket einzufrieren
500500

501-
Regulatory Review Packs:
501+
Regulatory Review-Pakete:
502502

503503
- nutzen dieselbe eingefrorene Snapshot-Schicht wie Management Reviews und erzeugen kein separates Compliance-Silo
504504
- bieten fokussierte Pack-Typen fuer NIS2, DORA und DSGVO sowie ein generisches Security-Governance-Pack
505505
- beruecksichtigen Organisationsprofil, Risiken, ISCY-27-Controls, Evidence-Qualitaet, Evidence-Integritaet, Storage-/Restore-Drill-Signale, Incidents, Supplier Review, Product Security, AI Governance, Roadmap und Agent Posture soweit vorhanden
506506
- unterscheiden Preview und Snapshot-Erzeugung: Read-only-Rollen koennen Vorschauen lesen, aber keine eingefrorenen Snapshots erstellen
507+
- bieten sichere Filter fuer Pack-Typ, Status, Zeitraum, offene Luecken, kritische Luecken und Limit
508+
- zeigen Owner-/Verantwortlichen-Hinweise aus vorhandenen Rollen-/Owner-Daten; fehlende Verantwortliche werden als `Nicht erfasst` markiert und nicht geraten
509+
- gruppieren Luecken pack-spezifisch, z. B. NIS2 nach Incident-/Meldeentscheidungen, TOMs, Evidence und Supplier; DORA nach ICT-Risk, Incident, ICT-Third-Party und Storage; DSGVO nach Datenschutzrollen, Data-Breach, Legal Hold / Aufbewahrungssperre, Disposition und Supplier-Datenbezug
507510
- enthalten Hinweise, dass ISCY Governance- und Evidence-Unterstuetzung liefert, jedoch keine Rechtsberatung, Zertifizierung, automatische Meldung oder formale Einreichung ersetzt
508511

509512
API- und Web-Pfade:
@@ -516,11 +519,11 @@ API- und Web-Pfade:
516519
- `GET /api/v1/regulatory/review-packs/{pack_type}`
517520
- `POST /api/v1/regulatory/review-packs/{pack_type}/preview`
518521
- `GET` und `POST /api/v1/regulatory/review-packs/{pack_type}/snapshots`
519-
- `GET /api/v1/regulatory/review-pack-snapshots`
522+
- `GET /api/v1/regulatory/review-pack-snapshots` mit optionalen Filtern `pack_type`, `status`, `period_start`, `period_end`, `has_open_gaps`, `has_critical_gaps` und `limit`
520523
- `GET /api/v1/regulatory/review-pack-snapshots/{snapshot_id}`
521524
- `GET /api/v1/regulatory/review-pack-snapshots/{snapshot_id}/export?format=markdown|html|pdf|json`
522525
- Weboberflaeche unter `/management-reviews/` mit Template-Auswahl und Preview
523-
- Weboberflaeche unter `/regulatory-review-packs/` mit Pack-Auswahl, Vorschau, Snapshot-Erzeugung und Snapshot-Liste
526+
- Weboberflaeche unter `/regulatory-review-packs/` mit Pack-Auswahl, Filterbereich, Vorschau, Owner-Hinweisen, pack-spezifischer Lueckenuebersicht, Snapshot-Erzeugung und Snapshot-Liste
524527

525528
Fachlicher Nutzen:
526529

@@ -530,10 +533,11 @@ Fachlicher Nutzen:
530533
- belastbare Vorbereitung von Management Review, Audit und Steering Committee
531534
- wiederholbare Steuerungspakete, ohne neue Risiko-, Evidence- oder Control-Silos anzulegen
532535
- regulatorischer Kontext wird aus vorhandenen ISCY-Daten abgeleitet und bleibt als Snapshot nachvollziehbar
536+
- deutsche UI-Beschriftungen und Empty States machen die Review-Pakete fuer Management, Fachbereich und Audit leichter nutzbar
533537

534538
GUI-Nachweis:
535539

536-
- Die aktuelle Screenshot-Uebersicht fuer Dashboard, Evidence, Regulatory Review Packs, Supplier Review, Product Security, AI Governance und Operations liegt in [docs/GUI_SCREENSHOTS.md](GUI_SCREENSHOTS.md).
540+
- Die aktuelle Screenshot-Uebersicht fuer Dashboard, Evidence, Regulatory Review-Pakete, Supplier Review, Product Security, AI Governance und Operations liegt in [docs/GUI_SCREENSHOTS.md](GUI_SCREENSHOTS.md).
537541

538542
Fuer Nicht-Sicherheitsleute:
539543
Reports sind die offizielle Zusammenfassung des Stands.

docs/ISCY_Handbuch.pdf

934 Bytes
Binary file not shown.

docs/ISCY_STRATEGIC_ROADMAP.md

Lines changed: 5 additions & 4 deletions
Original file line numberDiff line numberDiff line change
@@ -45,7 +45,7 @@ Erfolgskriterium:
4545

4646
Ziel: ISCY soll aus vorhandenen Daten automatisch ein Management-Review- und Audit-Paket erzeugen.
4747

48-
Status: In V23.7.20 als Rust-Web-/API-Pfad und persistierter Audit-Snapshot umgesetzt; V23.7.21 ergaenzt Exporte und Snapshot-Ruecklinks. Im Unreleased-Stand kommen Management-/Regulatory-Templates fuer ISO 27001, NIS2, DORA, DSGVO, KRITIS und generische Security-Governance-Reviews sowie kontextsensitive Regulatory Review Packs fuer NIS2, DORA und DSGVO hinzu.
48+
Status: In V23.7.20 als Rust-Web-/API-Pfad und persistierter Audit-Snapshot umgesetzt; V23.7.21 ergaenzt Exporte und Snapshot-Ruecklinks. Im Unreleased-Stand kommen Management-/Regulatory-Templates fuer ISO 27001, NIS2, DORA, DSGVO, KRITIS und generische Security-Governance-Reviews sowie kontextsensitive Regulatory Review-Pakete fuer NIS2, DORA und DSGVO hinzu. Der Review-Pack-Polish ergaenzt Filter, Owner-Hinweise, pack-spezifische Lueckengruppen und deutsch konsistente UI-Beschriftungen.
4949

5050
Umgesetzt:
5151

@@ -60,14 +60,15 @@ Umgesetzt:
6060
- Additive Migration `0032_rust_management_regulatory_templates` ergaenzt Template-Typ, Template-Version, regulatorischen Kontext, Supplier-Summary, Source Counts, Gap-Summary, Decision-Summary und eine Management-Review-Auditspur.
6161
- API-Pfade `GET /api/v1/management/templates`, `GET /api/v1/management/templates/{template_type}`, `POST /api/v1/regulatory/templates/{template_type}/preview` sowie Alias-Pfade unter `/api/v1/management/reviews`.
6262
- Regulatory-Review-Pack-API-Pfade `GET /api/v1/regulatory/review-packs`, `GET /api/v1/regulatory/review-packs/{pack_type}`, `POST /api/v1/regulatory/review-packs/{pack_type}/preview`, `GET` und `POST /api/v1/regulatory/review-packs/{pack_type}/snapshots`, `GET /api/v1/regulatory/review-pack-snapshots/{snapshot_id}` und `GET /api/v1/regulatory/review-pack-snapshots/{snapshot_id}/export?format=markdown|html|pdf|json`.
63+
- Snapshot-Listen koennen sicher nach Pack-Typ, Status, Zeitraum, offenen Luecken, kritischen Luecken und Limit gefiltert werden.
6364
- Weboberflaeche mit Template-Auswahl, Preview vor Snapshot-Erzeugung und Detailansicht fuer Quellen, Gaps, Management-Hinweise, Supplier Review und regulatorischen Kontext.
64-
- Weboberflaeche `/regulatory-review-packs/` mit NIS2-, DORA- und DSGVO-Auswahl, Preview, Snapshot-Erzeugung und Snapshot-Liste.
65+
- Weboberflaeche `/regulatory-review-packs/` mit NIS2-, DORA- und DSGVO-Auswahl, Filterbereich, Preview, Owner-/Verantwortlichen-Hinweisen, pack-spezifischer Lueckenuebersicht, Snapshot-Erzeugung und Snapshot-Liste.
6566
- Preview erzeugt keinen Review-Snapshot; Snapshot-Erzeugung bleibt schreibenden Rollen vorbehalten.
66-
- Regulatory Review Packs liefern Governance- und Evidence-Unterstuetzung, aber keine Rechtsberatung, Zertifizierung, automatische Meldung oder formale Einreichung.
67+
- Regulatory Review-Pakete liefern Governance- und Evidence-Unterstuetzung, aber keine Rechtsberatung, Zertifizierung, automatische Meldung oder formale Einreichung.
6768

6869
Naechste Vertiefung:
6970

70-
- Review-Pack-Bedienung weiter polishen, z. B. zusaetzliche Filter, Pack-spezifische Gap-Gruppierung und Review-Owner-Hinweise.
71+
- Review-Pack-Bedienung fachlich weiter vertiefen, z. B. Review-Owner aus kuenftigen kanonischen Owner-Feldern, bessere Pack-spezifische Exportgliederung und spaetere visuelle Regression.
7172

7273
Erfolgskriterium:
7374

docs/assets/iscy-dashboard.png

960 Bytes
Loading
52.6 KB
Loading
54 KB
Loading
57.4 KB
Loading
38.4 KB
Loading

0 commit comments

Comments
 (0)