ISMS Copilot
ISMS-documentatie

Wijzigingsbeheerbeleid

ISMS Copilot hanteert een formeel wijzigingsbeheerbeleid om te waarborgen dat alle wijzigingen in onze productiesystemen veilig worden beoordeeld, getest en geïmplementeerd. Ons proces balanceert beveiligings- en compliance-eisen met de noodzaak voor snelle iteratie.

Ons wijzigingsbeheerbeleid is direct geïntegreerd met onze GitHub-workflow en CI/CD-pipeline voor geautomatiseerde handhaving.

Type wijzigingen

We categoriseren wijzigingen in drie typen op basis van risico en impact:

  • Standaardwijzigingen — Wijzigingen met een laag risico die vooraf zijn goedgekeurd, zoals documentatie-updates, patches voor afhankelijkheden en routine-configuratie-updates. Deze kunnen automatisch worden samengevoegd nadat de geautomatiseerde controles zijn geslaagd.

  • Normale wijzigingen — Toevoeging van functies, wijzigingen in het databaseschema, API-wijzigingen en beveiligingsupdates. Vereist een volledig beoordelingsproces met ten minste één goedkeuring vóór implementatie.

  • Spoedwijzigingen — Kritieke beveiligingslekken, serviceonderbrekingen of problemen met gegevensintegriteit. Volgt een versneld goedkeuringsproces met behoud van het auditspoor en een beoordeling na implementatie.

Goedkeuringsworkflow

Ons standaard wijzigingsproces volgt deze stappen:

  1. Aanmaken van GitHub Issue — Wijzigingsverzoek gedocumenteerd met rechtvaardiging en impactanalyse

  2. Branch en Pull Request — Codewijzigingen ontwikkeld in een feature branch met een beschrijvende PR

  3. Geautomatiseerd testen — De CI-pipeline voert automatische tests uit, waaronder unit-tests, integratietests en beveiligingsscans

  4. Peer review — Ten minste één teamlid beoordeelt de code, architectuur en gevolgen voor de beveiliging

  5. Goedkeuring en samenvoeging — Goedgekeurde wijzigingen worden samengevoegd naar de main branch

  6. Geautomatiseerde implementatie — Wijzigingen worden automatisch naar productie geïmplementeerd via onze CI/CD-pipeline (Supabase, Fly.io, Vercel)

Spoedwijzigingen volgen een versneld pad, maar behouden nog steeds een auditspoor en vereisen een beoordeling na de implementatie binnen 24 uur.

Testen en kwaliteitscontroles

Voordat een wijziging de productieomgeving bereikt, dwingt onze geautomatiseerde CI-pipeline het volgende af:

  • Uitvoering van de geautomatiseerde testsuite

  • Validatie van databasemigraties in de Supabase CI-omgeving

  • Statische code-analyse en beveiligingsscans

  • Bouwverificatie voor alle implementatiedoelen

Rollback en herstel

Ons wijzigingsbeheerbeleid bevat rollback-procedures voor mislukte implementaties. We behouden de mogelijkheid om wijzigingen snel ongedaan te maken met behoud van de gegevensintegriteit en systeembechikbaarheid.

Alle wijzigingen worden bijgehouden in GitHub met een volledige auditgeschiedenis, inclusief goedkeurders, tijdstempels en de rechtvaardiging van de wijziging.

Beheer van geheimen en configuratie

Wijzigingen waarbij geheimen, API-sleutels of gevoelige configuraties betrokken zijn, volgen aanvullende beveiligingscontroles buiten de standaard wijzigingsprocedures om blootstelling van inloggegevens te voorkomen.

Was dit nuttig?