GH GambleHub

Uyğunluq siyasətində dəyişikliklərin idarə edilməsi

1) Dəyişiklikləri niyə idarə etmək lazımdır

Uyğunluq siyasətindəki dəyişikliklər proseslərə, sistemlərə, rollara və hüquqi öhdəliklərə təsir edir. Formal dəyişiklik idarəetmə prosesi (Policy Change Management) zəmanət verir:
  • tənzimləyiciyə/risklərə vaxtında reaksiya;
  • tələblərin uyğunluğu və ölçülməsi;
  • reqressiya və mübahisəli şərhlər olmadan proqnozlaşdırıla bilən tətbiq;
  • auditorlar üçün sübut bazası (kim, nə vaxt, nə üçün və necə dəyişdirdi).

2) Dəyişiklik tetikləyiciləri

Yeni/yenilənmiş qanunlar, tənzimləyici qaydalar, mövqe məktubları.
Audit nəticələri, insidentlər, Lessons Learned, artan KRI.
Məhsulların işə salınması/dəyişdirilməsi, yeni yurisdiksiyalara çıxış.
Texniki dəyişikliklər (memarlıq, bulud, şifrələmə, IAM, DevSecOps).
Şirkətin risk-iştahının/strategiyasının dəyişdirilməsi.

3) Dəyişiklik növləri və meyarları

TipTəsvirNümunələrTələb olunur
MajorMəcburi tələbləri/prinsipləri dəyişiryeni TTL PI; məcburi MFA; yeni SoD rollarıKomitə, təkrar attestasiya
MinorTələbləri dəyişdirmədən ifadələrin/nümunələrin dəqiqləşdirilməsiterminologiya, istinad, kosmetikaOwner tərəfindən təsdiq, bildiriş
EmergencyHadisə/tənzimləyiciyə görə təcili düzəlişPI ixracının müvəqqəti qadağan edilməsi; Loginqin gücləndirilməsiPlanlı CISO/DPO yeniləmə, post-faktum tam baxış

4) Rollar və RACI

RolMəsuliyyət
Policy Owner (A)Dəyişikliklər məzmunu, aktuallığı, başlanğıcı/bağlanması
Policy Author/Steward (R)Layihənin hazırlanması, şərhlərin toplanması, düzəlişlərin edilməsi
Compliance/GRC (R/C)Tələblər üçün kart, versiya jurnalı, evidence
Legal/DPO (C)Hüquqi düzgünlük, məxfililik, transsərhəd köçürmələr
CISO/SecOps (C)Texniki reallaşma, nəzarət və telemetriya
Business/Product (C)Proseslərə və buraxılışlara təsir
HR/L&D (R)Təlim/attestasiya və onların fiksasiyası
Policy Board/Executive (A)Major təsdiq/mübahisəli dəyişikliklər
Internal Audit (I)Müstəqil proses təsdiqi/evidence

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Dəyişikliyin idarə edilməsi prosesi (SOP)

1. Təşəbbüs: dəyişiklik kartı (səbəb, məqsəd, növ, yurisdiksiya, müddət, risk).
2. Təsir təhlili (Impact Assessment): kim/nə təsir edir (xidmətlər, məlumatlar, rollar, müqavilələr), dəyəri, asılılıqlar, mövcud SOP/standartlarla münaqişə.
3. Layihələndirmə və xəritələşdirmə: yeni/yenilənmiş redaksiya, control statements, normalar/sertifikatlaşdırma, ölçülə bilən metriklər.
4. Peer Review: Legal/DPO/SecOps/Business; şərhlər və qərarlar protokolu.
5. Apruv: Owner → (Major-da) Policy Board/Executive.
6. Tətbiq planı: sistemlərin/komandaların vaxtları, fazaları, hazırlığı, miqrasiya addımları.
7. Kommunikasiyalar: one-pager/FAQ, rollar, müddətlər və CTA elanları (bax: «Komplayens həllər kommunikasiyası»).
8. Təlim/Sertifikatlaşdırma: LMS kursları/vizaları, tələb olunan% keçid, keçməzlik (risk) üçün giriş kilidi.
9. Giriş və nəzarət: CI/CD geytaları, DLP/EDRM/IAM/Retence yeniləmələri, icranın monitorinqi.
10. Evidence və audit: versiyaların snapshot, təlim artefaktları, həll protokolları, WORM arxivi.
11. Post-review: təsirin qiymətləndirilməsi, qaydaların/metriklərin tənzimlənməsi, quyruqların bağlanması.

6) Version və «kod kimi siyasət»

Anbarda saxlama (Git): Markdown/YAML kimi siyasət/standart/prosedurlar; PR review, versiyası tags, changelog.
Test meyarları ilə aydın nəzarət statements: avtomatlaşdırma üçün uyğunluq (Compliance-as-Code).
«Siyasətin versiyası standartların/prosedurların versiyası, monitorinq qaydaları (CCM)».
Emergency üçün - hotfix filialı + tam ağlamalı məcburi post-faktum PR.

7) Lokalizasiya və yurisdiksiya

Master versiyası + Country Addendum: zəifləmədən yerli gücləndirmə.
Terminoloji lüğət, versiyaların vahid nömrələnməsi (məsələn, 2. 1-EE/2. 1-TR).
Sinxronizasiya prosesi: Master-da Major → Lokalların yenilənməsi üçün son tarix → Rassinxron nəzarəti.

8) Kommunikasiya və dəyişikliklərin idarə edilməsi «sahələrdə»

Auditoriya matrisi: Dev/ops/data/product/finance/AML/HR/Exec.
Şablonlar: one-pager, release-nout, FAQ (6-10 sual), PR şablon, SQL/ -snippet.
Kanallar: wiki/portal siyasətçi, Slack/Teams, email-hədəf, LMS, workshop.
SLA rabitə: Kritik ≤ 24 saat; Yüksək giriş 7-14 gün əvvəl; Orta 14-30 gün.
Məcburi fiksasiya: GRC-də read-receipt/kviz + jurnal.

9) Nəzarət və sistemlərlə inteqrasiya

IAM/IGA: SoD/giriş rotasiyası, rollara təlimin bağlanması.
Data Platform: TTL/Retence, Legal Hold, Maskalama, Lineage.
DevSecOps: uyğunluq geytaları, SAST/DAST/SCA, OSS lisenziyaları.
Cloud/IaC: yeni tələblər üçün Terraform/K8s yoxlama.
SIEM/SOAR/DLP/EDRM: icra nəzarət qaydaları və playbook.
GRC: versiyalar reyestri, waivers, audit yoxlama vərəqləri, matris «norma nəzarət».

10) istisnalar (Waivers) və keçid dövrlər

Sorğu: səbəb, risk, kompensasiya tədbirləri, son tarix.
Kateqoriyalar: texniki imkansızlıq, təchizatçıdan asılılıq, müqavilə məhdudiyyətləri.
Daşbordlarda görünmə, avtomatik xatırlatmalar, gecikmələrin artması.
Keçid pəncərələri (grace period) tətbiq tarixləri və KPI ilə qeyd olunur.

11) Metrik və SLO dəyişiklik prosesi

MTTU (Mean Time to Update): triggerdən nəşrə qədər (Major ≤ 30 gün).
SLA Communication: Bildirişləri vaxtında alan rolların% -i (≥ 98%).
Training Coverage: vaxtında sertifikatlaşdırılmış% (≥ 95%).
Adoption Rate: tələblərin tətbiq olunduğu sistemlərin/proseslərin payı (hədəf planı ≥).
Drift Post-Change: giriş sonra nəzarət pozuntuları (trend ↓).
Waiver Hygiene: cari son tarix ilə% waivers (100%).
Audit Readiness: xüsusi versiya üzrə evidence toplamaq üçün vaxt (≤ 8 saat).

12) Daşbordlar (minimum dəsti)

Change Pipeline: стадия (Draft/Review/Approve/Comm/Train/Deploy).
Coverage & Adoption: təlim, tələblərin qəbulu, biletlərin bağlanması.
Drift & Violations: dəyişiklik sonra pozuntular (by owner/severity).
Waivers & Deadlines: aktiv istisnalar, şərtlər, eskalasiya.
Localization Sync: lokalların və rasinxronların statusu.
Audit Pack: Seçilmiş versiyada «düymə ilə» əsərlər dəsti.

13) Çek vərəqləri

Dəyişiklik başlamazdan əvvəl

  • 7W ilə kart (What/Why/Who/When/Where/How/Win).
  • Impact-qiymətləndirilməsi, asılılıq, konflikt-matris.
  • Standart/sertifikatlaşdırma + ölçülə bilən control statements.
  • Peer review (Legal/DPO/SecOps/Business) qapalı, GRC-də protokol.
  • Rabitə və təlim planı; one-pager/FAQ/snippet materialları.
  • Giriş planı və testlər (staging → prod), əks uyğunluq.
  • Evidence siyahısı: nə qeyd etmək və harada saxlamaq (WORM).

Giriş sonrası

  • Controls (CCM) və dashboard daxil check.
  • Təlim və əhatə haqqında hesabat.
  • Sürüklənmə/hadisələrin təhlili, qaydaların düzəldilməsi.
  • Bağlı SOP/standartları/playbook yeniləmə.
  • Post-review və dərslərin qeydləri (Lessons Learned).

14) Antipattern

Reyestr, versiyalar və evidence olmadan «poçt» dəyişdirin.
Ölçülməz sözlər («kifayət qədər olmalıdır»), avtomatlaşdırma üçün yararsız.
Impact qiymətləndirilməsi və əlaqəli sənədlərlə münaqişələrin olmaması.
Limitsiz/STA olmadan və oxu/öyrənmə fiksasiyası olmadan ünsiyyət.
«Əbədi» waivers və keçid dövrləri.
Heç bir sinxronizasiya lokalizasiya → regionlarda müxtəlif tələblər.

15) Yetkinlik modeli (M0-M4)

M0 Sənədli: Nadir yeniləmələr, əl poçtları.
M1 Kataloq: vahid versiya reyestri, əsas yeniləmə prosesi.
M2 idarə: RACI, dashboard, təlim, waivers-reyestr.
M3 Inteqrasiya: kod kimi siyasət, CI/CD geytalar, CCM-nəzarət, WORM-evidence.
M4 Continuous Assurance: dəyişiklik → avtomatik rabitə → təlim → nəzarət → «düyməsi ilə audit-ready».

16) Əlaqəli wiki məqalələr

Siyasət və prosedurların həyat dövrü

Komandalarda komplayens həllərin kommunikasiyası

Davamlı uyğunluq monitorinqi (CCM)

Komplayens və hesabatların avtomatlaşdırılması

Legal Hold və məlumatların dondurulması

KPI və komplayens metrikası

Due Diligence və autsorsing riskləri

Yekun

Güclü dəyişiklik nəzarəti şəffaf və təkrar edilə bilən bir prosesdir: aydın tetikləyicilər, ölçülə bilən tələblər, intizamlı rabitə və təlim, texniki nəzarət sistemlərinə inteqrasiya və evidence tam dəsti. Beləliklə, komplayens siyasəti canlı, başa düşülən və «auditə yararlı» olaraq qalır - biznes üçün sürprizsiz.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

Telegram
@Gamble_GC
İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.