Was deckt das Compliance-Modul ab?
Kurzantwort
Abschnitt betitelt „Kurzantwort“Das Compliance-Modul bündelt zwei Bausteine: Richtlinien (Policies) und Risiken (Risikobewertungen). Mit den Richtlinien dokumentierst du Vorgaben und Kontrollen aus einem Rahmenwerk. Notory kennt ISO 27001, BSI C5 und ein freies Eigenes Rahmenwerk. Mit den Risiken bewertest du einzelne Assets nach Eintrittswahrscheinlichkeit und Auswirkung und hältst Gegenmaßnahmen fest. Beides findest du unter Compliance in der linken Navigation.
Voraussetzungen
Abschnitt betitelt „Voraussetzungen“Das Compliance-Modul ist ein Pro-Feature. In den Tarifen Basic und Community ist es gesperrt; Aufrufe werden dann mit HTTP 403 und einem Hinweis auf das nötige Upgrade abgelehnt. Ein Administrator kann das Modul zusätzlich unter Kategorien ein-/ausblenden aktiv schalten.
Überblick
Abschnitt betitelt „Überblick“-
Modul „Compliance” öffnen. Wähle in der linken Navigation Compliance. Die Seite hat zwei Reiter: Richtlinien und Risiken.
Screenshot ausstehendcompliance-uebersicht-01Compliance-Modul mit den Reitern 'Richtlinien' und 'Risiken'Das Compliance-Modul mit den Reitern Richtlinien und Risiken. -
Reiter wählen. Unter Richtlinien pflegst du Vorgaben und Kontrollen je Rahmenwerk (ISO 27001, BSI C5, Eigenes). Unter Risiken bewertest du Assets.
Die eigentlichen Arbeitsschritte findest du in den verlinkten Anleitungen unter Verwandte Themen.
Das Modul liegt unter dem Präfix /api/v1/compliance. Ein schneller Überblick über den
Bestand: alle Richtlinien und alle Risiken auflisten.
curl -H "Authorization: Bearer inv_dein_token" \ https://demo.notory.io/api/v1/compliance/policiescurl -H "Authorization: Bearer inv_dein_token" \ https://demo.notory.io/api/v1/compliance/risksBeide Endpunkte liefern eine nach Titel bzw. Anlagedatum sortierte Liste. Ist das Modul
im Tarif nicht enthalten, antwortet die API mit 403 (Compliance module is not included in the '…' plan).
Was passiert dabei?
Abschnitt betitelt „Was passiert dabei?“- Lizenz-Gate (Pro): Jeder Zugriff auf
/api/v1/compliance/*prüft das Featurecompliance. Fehlt es im Tarif des Mandanten, gibt es 403 statt Daten. - Mandanten-Isolation: Richtlinien und Risiken sind streng an deinen Mandanten
gebunden (
tenant_id). Andere Mandanten sehen sie nie. - Audit-Trail: Beim Anlegen und Ändern hält Notory Ersteller und Bearbeiter fest
(
created_by/updated_by) samt Zeitstempeln. - Zwei getrennte Objekte: Richtlinien und Risiken sind unabhängig. Ein Risiko verweist über die Asset-ID auf ein konkretes Asset; eine Richtlinie steht für sich und trägt ein Rahmenwerk plus optionale Referenz-ID (z. B. die Control-Nummer).
Verwandte Themen
Abschnitt betitelt „Verwandte Themen“- Richtlinie erfassen & bewerten
- Risiko bewerten & behandeln
- Compliance-Status im Blick behalten
- Assets: Übersicht (Risiken hängen an Assets)
- API-Einstieg: Authentifizierung, Basis-URL, Fehlercodes