Wie erfasse und bewerte ich eine Richtlinie?
Kurzantwort
Abschnitt betitelt „Kurzantwort“Öffne Compliance → Richtlinien, klicke auf „Neue Richtlinie”, wähle das
Rahmenwerk (ISO 27001, BSI C5 oder Eigenes), vergib einen Titel und speichere.
Pflicht ist nur der Titel plus das Rahmenwerk. Über das Feld Status bewertest du den
Reifegrad: von Entwurf über Aktiv und Prüfung bis Archiviert. Optional
hältst du eine Referenz-ID (z. B. die Control-Nummer wie A.5.1) und eine
Kategorie fest.
Voraussetzungen
Abschnitt betitelt „Voraussetzungen“Compliance ist ein Pro-Feature. Ohne passenden Tarif antwortet die API mit 403.
Anleitung
Abschnitt betitelt „Anleitung“-
Reiter „Richtlinien” öffnen. Wechsle im Modul Compliance auf den Reiter Richtlinien und klicke auf „Neue Richtlinie”.
Screenshot ausstehendcompliance-richtlinie-01Liste der Richtlinien mit Schaltfläche 'Neue Richtlinie'Die Richtlinien-Liste mit der Schaltfläche zum Anlegen. -
Formular ausfüllen. Erfasse mindestens die Pflichtfelder:
- Rahmenwerk:
ISO 27001,BSI C5oderEigenes. - Titel: die Bezeichnung der Richtlinie (z. B. „Zugriffskontrolle für administrative Konten”).
Optional, aber empfohlen: Referenz-ID (die Control-/Kriteriums-Nummer aus dem Rahmenwerk), Kategorie, Beschreibung und der Status. Neu angelegte Richtlinien starten im Status Entwurf.
Screenshot ausstehendcompliance-richtlinie-02Formular 'Neue Richtlinie' mit Rahmenwerk, Titel, Referenz-ID, Kategorie und StatusDas Richtlinien-Formular. Pflicht sind Rahmenwerk und Titel. - Rahmenwerk:
-
Speichern und bewerten. Nach dem Speichern erscheint die Richtlinie in der Liste. Über das Feld Status dokumentierst du im Zeitverlauf den Reifegrad: Entwurf → Aktiv (in Kraft) → Prüfung (steht zur Überprüfung an) → Archiviert (nicht mehr gültig).
Screenshot ausstehendcompliance-richtlinie-03Richtlinie in der Liste mit Status 'Aktiv' und zugeordnetem RahmenwerkDie gespeicherte Richtlinie mit Rahmenwerk und Status.
Eine Richtlinie anlegen: POST auf /api/v1/compliance/policies. Pflicht sind
framework und title. Erlaubte framework-Werte: iso27001, c5, custom.
Erlaubte status-Werte: draft, active, review, archived (Standard: draft).
curl -X POST https://demo.notory.io/api/v1/compliance/policies \ -H "Authorization: Bearer inv_dein_token" \ -H "Content-Type: application/json" \ -d '{ "framework": "iso27001", "reference_id": "A.5.15", "title": "Zugriffskontrolle für administrative Konten", "category": "Zugriffssteuerung", "description": "Administrative Zugänge werden per MFA und Vier-Augen-Prinzip abgesichert.", "status": "active" }'Antwort HTTP 201 Created:
{ "id": "018f7c2a-1b44-7e90-9a1c-2d3e4f5a6b70", "tenant_id": "3d9b0c12-4e5a-4f88-b1c7-2a9e6d4f0011", "framework": "iso27001", "reference_id": "A.5.15", "title": "Zugriffskontrolle für administrative Konten", "description": "Administrative Zugänge werden per MFA und Vier-Augen-Prinzip abgesichert.", "category": "Zugriffssteuerung", "status": "active", "created_at": "2026-07-08T09:20:00Z", "updated_at": "2026-07-08T09:20:00Z"}Den Status später fortschreiben, z. B. von active auf review, per PUT:
curl -X PUT https://demo.notory.io/api/v1/compliance/policies/018f7c2a-1b44-7e90-9a1c-2d3e4f5a6b70 \ -H "Authorization: Bearer inv_dein_token" \ -H "Content-Type: application/json" \ -d '{ "status": "review" }'Mögliche Fehler: 401 (Token fehlt/ungültig), 403 (kein Schreibrecht oder
Compliance nicht im Tarif), 404 (Richtlinie nicht gefunden), 422 (Validierung, z. B.
leerer title oder unbekanntes framework).
Was passiert dabei?
Abschnitt betitelt „Was passiert dabei?“- Standardwerte: Ohne Angabe gilt
status = Entwurf(draft). - Rahmenwerk-Validierung:
frameworkmuss einer der Werteiso27001,c5odercustomsein;statuseiner vondraft,active,review,archived. Andere Werte führen zu 422. - Referenz-ID als Anker: Die optionale Referenz-ID verknüpft die Richtlinie mit der konkreten Control-Nummer (ISO 27001) bzw. dem Kriterium (BSI C5), hilfreich für die Audit-Nachverfolgung.
- Audit-Trail: Ersteller und Bearbeiter werden mit Zeitstempel vermerkt.
- Mandanten-Isolation: Die Richtlinie gehört ausschließlich deinem Mandanten.
Verwandte Themen
Abschnitt betitelt „Verwandte Themen“- Was deckt das Compliance-Modul ab?
- Risiko bewerten & behandeln
- Compliance-Status im Blick behalten
- API-Einstieg: Authentifizierung, Basis-URL, Fehlercodes