سجل تغيير السياسات

1) الغرض والقيمة

• تاريخ التغيير الشفاف: من وماذا ومتى ولماذا.
• الامتثال لمراجعي الحسابات/المنظمين (ISO 27001 و SOC 2 و PCI DSS و GDPR واللوائح المحلية).
• إدارة المخاطر: ربط التغييرات بتقييمات المخاطر والحوادث وخطط برنامج العمل القطري.
• مصدر واحد للحقيقة للموظفين ومقدمي الخدمات والشركاء.

النتيجة: تقليل مخاطر التشغيل والامتثال، وتسريع عمليات مراجعة الحسابات والتحقيقات، وتقليص وقت العمل.

2) النطاق

• الأمن والوصول: سياسة أمن المعلومات، إدارة الحوادث، نقاط الضعف، المفاتيح/التشفير، الإدارة السرية، سياسة كلمات المرور، IAM.
• البيانات والخصوصية: GDPR/DSAR/RTBF، التخزين والحذف، تصنيف البيانات، DLP، السجلات والتدقيق.
• Finance/AML/KYC: AML/KYB/KYC، فحص العقوبات، إثبات مصدر الأموال.
• العمليات: BCP/DRP، إدارة التغيير، سياسة الإصدار، RACI، SRE/SLO.
• قانوني/تنظيمي: متطلبات السوق المحلية، قيود الإعلان، اللعب المسؤول.

3) الأدوار والمسؤوليات (RACI)

R (مسؤول): مالك السياسة ومحرر السياسات.
ألف (مسؤول): مالك وثيقة المجال/CISO/رئيس الامتثال.
C (استشاري): Legal/DPO، Risk، SRE/Operations، Product، Data.
1 (أبلغ): جميع الموظفين والمتعاقدين الخارجيين (إذا لزم الأمر).

المبادئ: التحكم المزدوج في كل منشور ؛ والفصل بين الواجبات ؛ المشاورات القانونية الإلزامية/إدارة شؤون الموظفين بشأن المواضيع التنظيمية/المبادرة.

4) تغيير دورة الحياة

1. المبادرة: بدء التنفيذ (المتطلبات التنظيمية، تمويل مراجعة الحسابات، الحوادث، اختبار الاختراق، تغيير البنية).
2. مشروع - التغيير في نظام إدارة الوثائق (Confluence/Git/Policy CMS).
3. تقييم الأثر: على العمليات، وسجل المخاطر، والتدريب، والعقود، وعمليات الإدماج.
4. الموافقة: Legal/DPO/Compliance/Tech/Operations، موافقة المالك النهائية.
5. النشر: تعيين النسخة، تاريخ النفاذ، التوزيع.
6. التشغيل: التدريب/الإقرار، تحديث SOP/Runbook.
7. الرصد: مراقبة الامتثال، المقاييس، بأثر رجعي.

5) نموذج بيانات السجل (الحقول المطلوبة)

'policy _ id' هو معرف ثابت للسياسة.
«policy _ title» هو عنوان الوثيقة.
"change _ id' هو المعرف الفريد للتغيير.
«version» - نسخة دلالية (MAJOR. قاصر. PATCH) أو مؤرخ.

yaml change_id: POL-SEC-001-2025-11-01-M01 policy_id: POL-SEC-001 policy_title: Access Control Policy version: 2. 0. 0 change_type: MAJOR status: approved submitted_at: 2025-10-18T14:20:00Z approved_at: 2025-10-29T10:05:00Z published_at: 2025-10-30T09:00:00Z effective_from: 2025-11-15 proposer: d. kovalenko editor: secops. editors approver: ciso summary: Review roles and JIT access, enter quarterly-review.
rationale: "SOC Audit 2: CAPA-2025-17; incident # INC-5523"
risk_ref: RSK-AC-2025-004 legal_refs: ["ISO27001 A.5, A.8", "GDPR Art. 32"]
impact_scope: ["Prod Ops", "Payment Ops", "Affiliates"]
training_required: true attachments:
- link: confluence://AC-Policy-v2-diff
- link: git://policy-repo/pol-sec-001@v2. 0. 0 distribution_list: ["all@company", "ops@company", "vendors:payments"]
ack_required: true hold_flags: []

6) متطلبات النسخة ونوع التغيير

MAJOR: تغيير المتطلبات/الضوابط الإلزامية، والتأثير على مراجعة الحسابات/المخاطر ؛ يتطلب التدريب والانتقال.
الصغر: التحسينات، أمثلة، لا تغير السيطرة من حيث الجوهر.
PATCH: تحرير الإملاء/المراجع ؛ المسار السريع.
عاجل: تصحيح عاجل بسبب الحوادث/الضعف ؛ على وجه السرعة.
التنظيم: تم تحديثه بسبب القانون التنظيمي الجديد/خطاب المنظم.

الإصدار: إصلاح العلامات/الإصدارات ؛ قطع أثرية ثابتة من PDF/HTML مع التجزئة.

7) سير عمل الموافقة

1. مشروع استعراض → - نموذج التحقق التلقائي والوصلات والبيانات الوصفية.
2. استعراض متعدد: Legal/DPO/Compliance/Tech/Operations (موازية/متتالية).
3. الموافقة: مالك المجال + مسؤول.

4. نشر: إصدار مذكرة إصدار، كتابة إلى اليومية، إرسال بريد، تحديث «effective_from.»

5. الإقرار: جمع إقرار الموظف (LMS/HRIS).
6. ضوابط ما بعد النشر: مهام تحديث SOP/العقد/النص.

قاعدة المفتاحين: النشر ممكن فقط بموافقة 2 + من قائمة الأدوار المعتمدة.

8) عقد قانوني

الزمان: التحقيق، الطلب القانوني، المراجعة التنظيمية.
ما نفعله: علم 'عقد _ أعلام = [«قانوني»]'، تجميد حذف/تنقيح النسخة، أرشيف WORM، عقد سجل النشاط.
وقف الانسحاب: القانون/إدارة شؤون الأشخاص ذوي الإعاقة فقط ؛ يتم تسجيل جميع الإجراءات.

9) الخصوصية والتنظيم المحلي

تقليل PII في السجل (معرف موظف التخزين بدلاً من البريد الإلكتروني، إن أمكن).
فترات الاحتفاظ = «جداول الاحتفاظ» (عادة ما تكون سجلات السياسات من 5 إلى 7 سنوات).
DSAR/RTBF: يُستبعد السجل من الحذف إذا كان هناك واجب قانوني للاحتجاز ؛ نحن نصلح الأساس القانوني.

10) التكامل

Confluence/Docs/Git: source of edits and articles (diff, PDF).

IAM/SSO: أدوار وسمات الموظفين

LMS/HRIS: التدريب والاختبارات والاعتراف.
GRC/IRM: العلاقة مع المخاطر والضوابط و CAPA/الخطط.
SIEM/Logs: مراجعة عمليات اليومية (من قام بالاطلاع/التصدير).
إصدار التذاكر (Jira/YouTrack): بدء المهام وإصدار قوائم المراجعة.

11) المقاييس و SLO

التغطية: النسبة المئوية للسياسات الحالية مع إدخال السجل الأخير (الهدف ≥ 99 في المائة).
Time-to-Publish: median time from 'submission _ at' to' published _ at' (target ≤ 14 day; عاجل ≤ 48 ساعة).
معدل Ack: نسبة الموظفين الذين أكدوا التعارف (الهدف ≥ 98٪ في 14 يومًا).
الاستعداد لمراجعة الحسابات: نسبة السياسات ذات المجموعة الكاملة من القطع الأثرية (diff، PDF، التوقيعات) (هدف 100٪).
الاستثناءات المغلقة: النسبة المئوية للاستثناءات/الانحرافات المغلقة حسب التاريخ.
مراجعة الدخول: 0 حوادث دخول غير مأذون بها إلى السجل.

12) لوحة القيادة (المجموعة الدنيا من الأدوات)

تغذية المنشورات والتشريعات الحديثة.
خريطة الحالة حسب المجال (الأمن، البيانات، مكافحة غسل الأموال، العمليات).
خريطة الحرارة للتأخير في الموافقة.
Time-to-Publish/Time-in-Review histogram.
معدل ack حسب القسم والدور.
قائمة التغييرات المفتوحة التنظيمية/العاجلة.

13) الإجراءات والنماذج

{policy_title} — {version}
Change ID: {change_id}      Type: {change_type}      Effective: {effective_from}
Summary: {summary}
Rationale: {rationale}
Impacts: {impact_scope}
Approvals: {approver} at {approved_at}
Artifacts: {links}
Training: {training_required}

• ملء جميع الحقول المطلوبة ومراجع القطع الأثرية
• تقييم الأثر وتحديث المخاطر
• التحكم المزدوج
• طرد ثابت تم إنشاؤه (PDF + hash)
• تم تكوين حملة البريد والفك
• تحديث SOP/Runbook/العقود (إذا لزم الأمر)

14) مراقبة الدخول والأمن

RBAC قراءة/إنشاء/الموافقة/أرشيف الأدوار.
في الوقت المناسب: سلطة نشر/تصدير مؤقتة.
التشفير: TLS أثناء العبور، KMS في الاستراحة ؛ حظر الصادرات المجهولة المصدر.
مراجعة الحسابات: سجلات لجميع العمليات، تنبيهات عن الإجراءات غير العادية (الصادرات الجماعية، التعديلات المتكررة).

15) التنفيذ حسب الخطوات

1. دليل السياسات وأصحابها.

2. نموذج تسجيل واحد + الحقول المطلوبة.

3. السجل في التقاء/مفهوم أو سياسة بسيطة - نظام إدارة المحتوى ؛ تصدير PDF غير قابل للتغيير.

4. سير العمل الأساسي للموافقات وحملة ack عبر البريد/LMS.

5. أدوار الوصول وتسجيل النشاط.

• التكامل مع Git للإصدار الخفي والدلالي.
• وصلات منسق الموارد البشرية بالمخاطر/الضوابط، وتقارير مراجعة الحسابات.
• لوحة تحكم KPI/SLO، تذكيرات تلقائية حسب التاريخ.

• واجهة برمجة التطبيقات/خطوط الويب للأنظمة الخارجية، مطابقة نمط القاعدة كرمز.
• أرشيف Legal Hold + WORM، توقيعات التشفير لحزم الإصدار.
• تعدد الاختصاصات (العلامات حسب السوق/اللغة/النسخة).

16) الأخطاء المتكررة وكيفية تجنبها

التغييرات خارج اليومية: رفض المنشورات غير المسجلة، الشيكات التلقائية.
لا يوجد سبب منطقي/مراجع: جعل المجال إلزاميًا + نماذج المصدر (المنظم، التدقيق، الحادث).
لا يوجد تحكم: دمج LMS/HRIS وتتبع مؤشرات الأداء الرئيسية.
مزيج من المسودات والمنشورات - استخدام مساحات/فروع منفصلة.
الوصول إلى «الكل»: RBAC صارم، مراجعة التصدير.

17) مسرد (موجز)

السياسة - وثيقة إدارية ذات متطلبات إلزامية.
المعيار/الإجراء/الإجراء الموحد - الدقة وأمر التنفيذ.
CAPA - الإجراءات التصحيحية والوقائية.
الإقرار (ack) - تأكيد تعريف الموظف.
الحجز القانوني - التجميد القانوني للتغييرات/الحذف.

18) خلاصة القول

سجل تغيير السياسة ليس فقط «تاريخ من التعديلات»، ولكنه عملية مُدارة ذات أدوار واضحة، ونموذج بيانات، وضوابط الوصول، والتثبيت القانوني، والمقاييس. ويؤدي تنفيذها الناضج إلى تسريع عمليات مراجعة الحسابات، والحد من مخاطر عدم الامتثال، وزيادة الانضباط التشغيلي في جميع أنحاء المنظمة.