Compliance Management mit Gitlab
Ein Compliance Management System umfasst alle Maßnahmen, Strukturen und Prozesse, die regelkonform ausgeführt werden sollen. Mit GitLab lässt sich ein Compliance Management realisieren, das sich nahtlos in den Software-Entwicklungsprozess integriert und mit anderen Systemen verbunden werden kann. Dies erleichtert Teams, mit den sich ändernden Vorschriften und aufkommenden Risiken Schritt zu halten.
Im Einzelnen unterstützt GitLab
- durch die Verwaltung von Regeln und Richtlinien
- durch die Automatisierung von Compliance-Workflows
- durch ein Audit-Management, das Aktivitäten protokolliert, Vorfälle identifiziert und die Einhaltung der Compliance-Regeln nachweist
- durch ein Security-Management, das die Sicherheit des Quellcodes überprüft um Schwachstellen nachzuverfolgen und zu verwalten (→ DevSecOps).
Richtlinienverwaltung
Einzuhaltende Regeln und Richtlinien können definiert werden, sowohl interne Unternehmensrichtlinien als auch auf rechtlichen oder regulatorischen Rahmenbedingungen beruhende Richtlinien wie DSGVO, SOC2, PCI-DSS, SOX, HIPAA, ISO, COBIT, FedRAMP usw. GitLab stellt hierfür folgende Funktionen zur Verfügung:
- Feingranulare Benutzerrollen und Berechtigungen
- GitLab unterstützt fünf verschiedene Rollen mit unterschiedlichen Berechtigungen
- Compliance-Einstellungen
- Für verschiedene Projekte können unterschiedliche Compliance-Richtlinien festgelegt werden.
- Inventar
- Alle Aktionen werden inventarisiert.
Automatisieren der Compliance-Workflows
Sobald die Richtlinien und Regeln festgelegt sind, können die Prozesse automatisiert werden, z.B. durch
- Projektvorlagen
- Projektvorlagen mit bestimmten Prüfprotokollen und Prüfpfaden, wie z.B. bei HIPAA, können erstellt werden.
- Projekt-Label
- Je nach Richtlinie lassen sich unterschiedlich Label für Projekte und Aufgaben vordefinieren.
Audit-Management
Compliance-Audits erfordern die Nachvollziehbarkeit verschiedener Ereignisse wie z.B. Benutzeraktionen, Änderungen an den Berechtigungen oder Genehmigungen.
[1] | ISO 37301:2021 Compliance management systems — Requirements with guidance for use |