ISMS Copilot
ISMS-Dokumentation

Change Management Richtlinie

ISMS Copilot unterhält eine formelle Change Management Richtlinie, um sicherzustellen, dass alle Änderungen an unseren Produktionssystemen überprüft, getestet und sicher bereitgestellt werden. Unser Prozess bringt Sicherheits- und Compliance-Anforderungen mit der Notwendigkeit einer schnellen Iteration in Einklang.

Unsere Change Management Richtlinie lässt sich direkt in unseren GitHub-Workflow und unsere CI/CD-Pipeline zur automatisierten Durchsetzung integrieren.

Arten von Änderungen

Wir kategorisieren Änderungen basierend auf Risiko und Auswirkungen in drei Typen:

  • Standard-Änderungen — Änderungen mit geringem Risiko, die vorab genehmigt sind, wie z. B. Aktualisierungen der Dokumentation, Dependency-Patches und routinemäßige Konfigurations-Updates. Diese können nach Bestehen der automatisierten Prüfungen automatisch zusammengeführt (auto-merged) werden.

  • Normale Änderungen — Hinzufügen von Funktionen, Änderungen am Datenbankschema, API-Änderungen und Sicherheitsupdates. Erfordert einen vollständigen Überprüfungsprozess mit mindestens einer Genehmigung vor der Bereitstellung.

  • Notfall-Änderungen — Kritische Sicherheitslücken, Dienstausfälle oder Probleme mit der Datenintegrität. Folgt einem beschleunigten Genehmigungsprozess, wobei der Prüfpfad und die Überprüfung nach der Bereitstellung beibehalten werden.

Genehmigungs-Workflow

Unser Standard-Änderungsprozess umfasst die folgenden Schritte:

  1. Erstellung eines GitHub-Issues — Der Änderungsantrag wird mit Begründung und Folgenabschätzung dokumentiert

  2. Branch und Pull Request — Codeänderungen werden in einem Feature-Branch mit einem aussagekräftigen Pull Request (PR) entwickelt

  3. Automatisiertes Testen — Die CI-Pipeline führt automatisierte Tests aus, einschließlich Unit-Tests, Integrationstests und Sicherheitsscans

  4. Peer-Review — Mindestens ein Teammitglied überprüft den Code, die Architektur und die Auswirkungen auf die Sicherheit

  5. Genehmigung und Merge — Genehmigte Änderungen werden mit dem Hauptzweig (Main Branch) zusammengeführt

  6. Automatisierte Bereitstellung — Änderungen werden automatisch über unsere CI/CD-Pipeline (Supabase, Fly.io, Vercel) in der Produktion bereitgestellt

Notfall-Änderungen folgen einem beschleunigten Pfad, behalten jedoch den Audit-Trail bei und erfordern eine Überprüfung nach der Bereitstellung innerhalb von 24 Stunden.

Testing und Quality Gates

Bevor eine Änderung die Produktion erreicht, erzwingt unsere automatisierte CI-Pipeline Folgendes:

  • Ausführung der automatisierten Test-Suite

  • Validierung der Datenbankmigration in der Supabase CI-Umgebung

  • Statische Code-Analyse und Sicherheitsscanning

  • Build-Verifizierung für alle Deployment-Ziele

Rollback und Wiederherstellung

Unsere Change Management Richtlinie umfasst Rollback-Verfahren für fehlgeschlagene Bereitstellungen. Wir behalten die Fähigkeit bei, Änderungen schnell rückgängig zu machen und dabei die Datenintegrität und Systemverfügbarkeit zu wahren.

Alle Änderungen werden in GitHub mit einer vollständigen Historie zur Überprüfung nachverfolgt, einschließlich der Genehmigenden, Zeitstempel und der Begründung für die Änderung.

Geheimnis- und Konfigurationsmanagement

Änderungen an Secrets, API-Schlüsseln oder sensiblen Konfigurationen unterliegen über die Standard-Änderungsverfahren hinausgehenden zusätzlichen Sicherheitskontrollen, um die Offenlegung von Zugangsdaten zu verhindern.

War das hilfreich?