-
Notifications
You must be signed in to change notification settings - Fork 0
CHANGE_MANAGEMENT_POLICY
makr-code edited this page Nov 30, 2025
·
1 revision
Version: 1.0
Stand: November 2025
Klassifizierung: Intern
Basis: ISO 27001 (A.12.1.2), ITIL v4, BSI C5 (OPS-03)
Diese Change Management Policy definiert die Prozesse zur kontrollierten Einführung von Änderungen an ThemisDB-Systemen, um Risiken zu minimieren, Stabilität zu gewährleisten und Compliance-Anforderungen zu erfüllen.
| Ziel | Beschreibung |
|---|---|
| Stabilität | Änderungen dürfen den Betrieb nicht gefährden |
| Nachvollziehbarkeit | Alle Änderungen sind dokumentiert und auditierbar |
| Minimierung von Risiken | Risiken werden vor Implementierung bewertet |
| Effizienz | Schnelle Umsetzung wichtiger Änderungen |
| Compliance | Einhaltung regulatorischer Anforderungen |
| Bereich | Abgedeckt |
|---|---|
| Produktions-Datenbank | ✅ |
| Staging/Test-Umgebungen | ✅ (vereinfacht) |
| Infrastruktur | ✅ |
| Konfiguration | ✅ |
| Code-Änderungen | ✅ |
| Dokumentation |
| Kategorie | Beschreibung | Genehmigung | Vorlaufzeit |
|---|---|---|---|
| Standard | Wiederholbare, risikoarme Änderungen | Pre-approved | < 24h |
| Normal | Geplante Änderungen mit bekanntem Risiko | CAB | 5 Werktage |
| Major | Signifikante Änderungen mit hohem Risiko | CAB + Management | 10 Werktage |
| Emergency | Kritische Fixes bei Incidents | Emergency CAB | Sofort |
| Kategorie | Beispiele |
|---|---|
| Standard | Patch-Updates, Konfiguration (Minor), Log-Rotation |
| Normal | Feature-Releases, Schema-Änderungen, Dependency-Updates |
| Major | Major Versions, Architektur-Änderungen, Migration |
| Emergency | Sicherheits-Patches, Hotfixes, Incident-Behebung |
┌───────────────┐
│ 1. Request │
│ erstellen │
└───────┬───────┘
▼
┌───────────────┐
│ 2. Bewertung │
│ & Priorisierung│
└───────┬───────┘
▼
┌───────────────┐ ┌───────────────┐
│ 3. Genehmigung├─No──▶│ Abgelehnt │
│ (CAB) │ └───────────────┘
└───────┬───────┘
│Yes
▼
┌───────────────┐
│ 4. Planung │
│ & Scheduling │
└───────┬───────┘
▼
┌───────────────┐
│ 5. Implementierung│
│ & Test │
└───────┬───────┘
▼
┌───────────────┐ ┌───────────────┐
│ 6. Review ├─Fail─▶│ Rollback │
│ │ └───────────────┘
└───────┬───────┘
│Success
▼
┌───────────────┐
│ 7. Abschluss │
│ & Doku │
└───────────────┘
| Feld | Erforderlich | Beschreibung |
|---|---|---|
| Titel | ✅ | Kurzbeschreibung der Änderung |
| Beschreibung | ✅ | Detaillierte Änderungsbeschreibung |
| Begründung | ✅ | Warum ist die Änderung notwendig? |
| Betroffene Systeme | ✅ | Liste der betroffenen Komponenten |
| Risikobewertung | ✅ | Impact und Wahrscheinlichkeit |
| Rollback-Plan | ✅ | Wie wird die Änderung zurückgesetzt? |
| Test-Plan | ✅ | Wie wird die Änderung validiert? |
| Zeitfenster | ✅ | Geplanter Implementierungszeitraum |
| Antragsteller | ✅ | Wer beantragt die Änderung? |
| Implementierer | Wer führt die Änderung durch? |
| Impact \ Likelihood | Niedrig | Mittel | Hoch |
|---|---|---|---|
| Hoch | Normal | Major | Major |
| Mittel | Standard | Normal | Major |
| Niedrig | Standard | Standard | Normal |
| Kriterium | Niedrig | Mittel | Hoch |
|---|---|---|---|
| Betroffene Nutzer | < 10 | 10-100 | > 100 |
| Downtime | 0 | < 1h | > 1h |
| Datenverlust-Risiko | Nein | Möglich | Wahrscheinlich |
| Rollback-Komplexität | Einfach | Mäßig | Komplex |
| Abhängigkeiten | Keine | Wenige | Viele |
| Rolle | Stimmberechtigt | Erforderlich für |
|---|---|---|
| IT-Leitung | ✅ | Major |
| Development Lead | ✅ | Alle |
| Operations Lead | ✅ | Alle |
| Security | ✅ | Security-relevant |
| QA | Beratend | |
| Business Owner | Bei Business Impact |
Für Emergency Changes:
- Mindestens 2 Personen erforderlich
- Telefonische Genehmigung erlaubt
- Dokumentation innerhalb 24h nachreichen
- Retrospektive Genehmigung durch volles CAB
| Aspekt | Anforderung |
|---|---|
| Zeitfenster | Außerhalb Geschäftszeiten (Standard: So 02:00-06:00) |
| Kommunikation | Stakeholder 48h vorher informieren |
| Backup | Vor jeder Major/Normal Change |
| Ressourcen | Team-Verfügbarkeit sicherstellen |
| Checkliste | Pre-Implementation Checklist abarbeiten |
- Backup erstellt und verifiziert
- Rollback-Prozedur getestet
- Monitoring aktiv
- Team erreichbar
- Kommunikation erfolgt
- Test-Umgebung validiert
| Regel | Beschreibung |
|---|---|
| Vier-Augen-Prinzip | Mindestens 2 Personen für Major Changes |
| Schrittweise | Inkrementelle Implementierung wenn möglich |
| Monitoring | Aktive Überwachung während Implementierung |
| Dokumentation | Jeden Schritt protokollieren |
- Alle Änderungen erfolgreich angewandt
- Systeme funktionieren wie erwartet
- Monitoring zeigt keine Anomalien
- Performance ist akzeptabel
- Keine unerwarteten Fehler in Logs
- Stakeholder bestätigen Funktionalität
| Trigger | Aktion |
|---|---|
| Kritischer Fehler | Sofortiger Rollback |
| Performance-Degradation > 50% | Rollback oder Hotfix |
| Datenverlust | Sofortiger Rollback + Incident |
| Security-Vulnerability | Rollback + Security-Incident |
| Aktivität | Frist |
|---|---|
| Dokumentation finalisieren | < 24h |
| Stakeholder informieren | < 24h |
| Lessons Learned (bei Problemen) | < 1 Woche |
| Change Record schließen | < 24h |
Feature Branch ──▶ Pull Request ──▶ Code Review ──▶ Tests ──▶ Merge ──▶ Deploy
│
▼
Security Review
(bei kritischen Änderungen)
| Schritt | Anforderung |
|---|---|
| Pull Request | Beschreibung, Tests, Breaking Changes |
| Code Review | Mindestens 1 Reviewer (2 für kritisch) |
| Tests | Alle Tests müssen bestehen |
| Security Review | Bei Auth, Crypto, Input-Handling |
| Deployment | Staging vor Production |
| Änderung | Kategorie | Zusätzliche Anforderungen |
|---|---|---|
| OS-Patches | Standard | Staging-Test |
| Netzwerk-Config | Normal | CAB-Genehmigung |
| Hardware-Tausch | Major | Downtime-Fenster |
| Cloud-Migration | Major | Ausführlicher Plan |
| Änderung | Kategorie | Anforderung |
|---|---|---|
| Logging-Level | Standard | Pre-approved |
| Ressourcen-Limits | Normal | CAB |
| Security-Parameter | Normal+ | Security-Review |
| Encryption-Settings | Major | Security + CAB |
| Änderung | Kategorie | Besonderheiten |
|---|---|---|
| Index hinzufügen | Standard | Online möglich |
| Schema erweitern (additiv) | Normal | Migration Script |
| Schema ändern (breaking) | Major | Migration + Downtime |
| Daten-Migration | Major | Backup + Validierung |
Emergency Changes sind nur erlaubt bei:
- Aktiver Security-Incident
- Systemausfall in Produktion
- Kritischer Datenverlust droht
- Compliance-Verletzung
- Mündliche Genehmigung von E-CAB (min. 2 Personen)
- Sofortige Implementierung mit Monitoring
- Dokumentation innerhalb 24h
- Retrospektive CAB-Genehmigung in nächster Sitzung
- Root Cause Analysis innerhalb 1 Woche
| Feld | Erforderlich |
|---|---|
| Incident-Referenz | ✅ |
| Genehmiger (Name, Zeit) | ✅ |
| Implementierer | ✅ |
| Durchgeführte Änderungen | ✅ |
| Ergebnis | ✅ |
| Follow-up-Aktionen | ✅ |
| Wann | Was | Wer | An wen |
|---|---|---|---|
| -5 Tage | Change-Ankündigung | Change Owner | Stakeholder |
| -48h | Reminder | Operations | Betroffene Nutzer |
| -1h | Start-Benachrichtigung | Operations | Team |
| Nach Abschluss | Abschluss-Meldung | Change Owner | Alle |
| Bei Problemen | Status-Updates | Operations | Management |
BETREFF: [Geplante Wartung] ThemisDB - [Beschreibung]
Datum: [Datum]
Zeit: [Beginn] - [Ende] (geschätzt)
Betroffene Systeme: [Liste]
Auswirkungen: [Beschreibung]
Beschreibung:
[Was wird geändert]
Bei Fragen wenden Sie sich an: [Kontakt]
| KPI | Ziel | Messung |
|---|---|---|
| Change Success Rate | > 95% | Erfolgreiche / Gesamt |
| Emergency Change Rate | < 10% | Emergency / Gesamt |
| Rollback Rate | < 5% | Rollbacks / Gesamt |
| Mean Time to Implement | < 5 Tage | Request bis Abschluss |
| CAB Approval Time | < 3 Tage | Request bis Genehmigung |
| Report | Frequenz | Empfänger |
|---|---|---|
| Change Summary | Wöchentlich | Operations |
| Change Metrics | Monatlich | Management |
| Failed Changes | Ad-hoc | CAB |
| Trend Analysis | Vierteljährlich | IT-Leitung |
| Rolle | Verantwortlichkeiten |
|---|---|
| Change Owner | Antrag, Koordination, Abschluss |
| CAB | Bewertung, Genehmigung, Überwachung |
| Change Manager | Prozess-Owner, Reporting, Verbesserung |
| Implementierer | Technische Umsetzung |
| Operations | Monitoring, Kommunikation |
| Security | Security-Review, Genehmigung |
| Standard | Anforderung | Erfüllt |
|---|---|---|
| ISO 27001 | A.12.1.2 Change Management | ✅ |
| BSI C5 | OPS-03, OPS-04 | ✅ |
| SOC 2 | CC8.1 Change Management | ✅ |
| ITIL v4 | Change Enablement | ✅ |
change_request:
id: CR-YYYY-NNNN
title: "[Kurztitel]"
category: [Standard|Normal|Major|Emergency]
requester:
name: "[Name]"
date: "[Datum]"
description:
summary: "[Zusammenfassung]"
detail: "[Detailbeschreibung]"
justification: "[Begründung]"
impact:
systems: ["System1", "System2"]
users: [Anzahl]
downtime: "[Geschätzte Downtime]"
risk:
level: [Low|Medium|High]
mitigation: "[Risikominderung]"
rollback:
plan: "[Rollback-Schritte]"
time: "[Geschätzte Zeit]"
schedule:
preferred_date: "[Datum]"
window: "[Zeitfenster]"
approval:
cab_date: "[Datum]"
approvers: ["Name1", "Name2"]
decision: [Approved|Rejected|Deferred]
implementation:
date: "[Datum]"
implementer: "[Name]"
result: [Success|Failed|Rollback]
closure:
date: "[Datum]"
lessons_learned: "[Falls zutreffend]"| Dokument | Pfad |
|---|---|
| Incident Response Plan | docs/security/INCIDENT_RESPONSE_PLAN.md |
| BCP/DRP | docs/compliance/BCP_DRP.md |
| Deployment Guide | docs/guides/deployment.md |
| Risk Register | docs/compliance/RISK_REGISTER.md |
Letzte Aktualisierung: November 2025
Dokumentverantwortlicher: ThemisDB Operations
Nächstes Review: [Datum + 12 Monate]
- AQL Overview
- AQL Syntax Reference
- EXPLAIN and PROFILE
- Hybrid Queries
- Pattern Matching
- Subquery Implementation
- Subquery Quick Reference
- Fulltext Release Notes
- Hybrid Search Design
- Fulltext Search API
- Content Search
- Pagination Benchmarks
- Stemming
- Hybrid Fusion API
- Performance Tuning
- Migration Guide
- Storage Overview
- RocksDB Layout
- Geo Schema
- Index Types
- Index Statistics
- Index Backup
- HNSW Persistence
- Vector Index
- Graph Index
- Secondary Index
- Security Overview
- RBAC and Authorization
- TLS Setup
- Certificate Pinning
- Encryption Strategy
- Column Encryption
- Key Management
- Key Rotation
- HSM Integration
- PKI Integration
- eIDAS Signatures
- PII Detection
- PII API
- Threat Model
- Hardening Guide
- Incident Response
- SBOM
- Enterprise Overview
- Scalability Features
- Scalability Strategy
- HTTP Client Pool
- Enterprise Build Guide
- Enterprise Ingestion
- Benchmarks Overview
- Compression Benchmarks
- Compression Strategy
- Memory Tuning
- Hardware Acceleration
- GPU Acceleration Plan
- CUDA Backend
- Vulkan Backend
- Multi-CPU Support
- TBB Integration
- Time Series
- Vector Operations
- Graph Features
- Temporal Graphs
- Path Constraints
- Recursive Queries
- Audit Logging
- Change Data Capture
- Transactions
- Semantic Cache
- Cursor Pagination
- Compliance Features
- GNN Embeddings
- Geo Overview
- Geo Architecture
- 3D Game Acceleration
- Geo Feature Tiering
- G3 Phase 2 Status
- G5 Implementation
- Integration Guide
- Content Architecture
- Content Pipeline
- Content Manager
- JSON Ingestion
- Content Ingestion
- Filesystem API
- Image Processor
- Geo Processor
- Policy Implementation
- Developer Guide
- Implementation Status
- Development Roadmap
- Build Strategy
- Build Acceleration
- Code Quality Guide
- AQL LET Implementation
- Audit API Implementation
- SAGA API Implementation
- PKI eIDAS
- WAL Archiving
- Architecture Overview
- Strategic Overview
- Ecosystem
- MVCC Design
- Base Entity
- Caching Strategy
- Caching Data Structures
- Docker Build
- Docker Status
- Multi-Arch CI/CD
- ARM Build Guide
- ARM Packages
- Raspberry Pi Tuning
- Packaging Guide
- Package Maintainers
- Roadmap
- Changelog
- Database Capabilities
- Implementation Summary
- Sachstandsbericht 2025
- Enterprise Final Report
- Test Report
- Build Success Report
- Integration Analysis
- Source Overview
- API Implementation
- Query Engine
- Storage Layer
- Security Implementation
- CDC Implementation
- Time Series
- Utils and Helpers
Updated: 2025-11-30