GH GambleHub

Siyasət dəyişikliyi jurnalı

1) Təyinatı və dəyəri

Niyə:
  • Şəffaf dəyişiklik tarixi: kim, nə, nə vaxt və niyə.
  • Auditorların/tənzimləyicilərin tələblərinə uyğunluq (ISO 27001, SOC 2, PCI DSS, GDPR və yerli normalar).
  • Risklərin idarə edilməsi: risk qiymətləndirmələri, insidentlər və CAPA planları ilə dəyişikliklərin birləşməsi.
  • İşçilər, provayderlər və tərəfdaşlar üçün vahid həqiqət mənbəyi.

Nəticə: əməliyyat və komplayens riski azalır, audit və araşdırmalar sürətlənir, onbordinq müddəti azalır.

2) Əhatə dairəsi (scope)

Jurnal «policy» və «standard» səviyyəli bütün sənədləri əhatə edir:
  • Təhlükəsizlik və giriş: İT siyasəti, insidentlərin idarə edilməsi, zəifliklər, açarlar/şifrələmə, gizli idarəetmə, parol siyasəti, IAM.
  • Data & Privacy: GDPR/DSAR/RTBF, saxlama və silmə, məlumatların təsnifatı, DLP, qeydlər və audit.
  • Maliyyə/AML/KYC: AML/KYB/KYC, sanksiya skrininqi, vəsait mənbəyinin təsdiqi.
  • Əməliyyatlar: BCP/DRP, dəyişikliklərin idarə edilməsi, buraxılış siyasəti, RACI, SRE/SLO.
  • Hüquqi/tənzimləyici: yerli bazar tələbləri, reklam məhdudiyyətləri, məsuliyyətli oyun.

3) Rollar və məsuliyyət (RACI)

R (Responsible): Siyasət sahibi (Policy Owner) və redaktor (Policy Editor).
A (Accountable): Domen sahibi/CISO/Head of Compliance.
C (Consulted): Legal/DPO, Risk, SRE/Operations, Product, Data.
I (Informed): Bütün işçilər, xarici podratçılar (lazım olduqda).

Prinsipləri: nəşr üçün dual-control; vəzifələrin ayrılması; PII/tənzimləyici mövzular üçün qanuni/DPO məcburi məsləhətləşmələr.

4) Dəyişmə həyat dövrü

1. Təşəbbüs: trigger (tənzimləmə tələbi, audit-findinq, hadisə, pentest, memarlıq dəyişikliyi).
2. Layihə: Sənəd idarəetmə sistemində dəyişiklik (Confluence/Git/Policy CMS).
3. Təsirin qiymətləndirilməsi: proseslərə, risk reyestrinə, təlimlərə, müqavilələrə, inteqrasiyaya.
4. Razılaşma: Legal/DPO/Compliance/Tech/Operations, sahibinin son təsdiqi.
5. Nəşr: versiya təyinatı, qüvvəyə minmə tarixi, poçt.
6. Onbording: təlim/kvitasiya, SOP/Runbook yeniləmə.
7. Monitorinq: uyğunluq, metrika, retrospektiv nəzarət.

5) Jurnal məlumat modeli (məcburi sahələr)

'policy _ id' - siyasətin daimi identifikatoru.
'policy _ title' - sənədin adı.
'change _ id' - unikal dəyişiklik identifikatoru.
'version' - semantik versiya (MAJOR. MINOR. PATCH) və ya tarixi.

`change_type` — {MAJORMINORPATCHURGENTREGULATORY}.
`status` — {draftin_reviewapprovedpublishedeffective
'proposer '/' editor '/' approver' - istifadəçilər/qruplar.
`submitted_at` / `approved_at` / `published_at` / `effective_from`.
'summary' - dəyişikliyin qısa təsviri (≤ 300 simvol).
'change _ log' - təfərrüatlar: nə dəyişdirildi və nə üçün.
'rationale' - əsaslandırma (tənzimləyici link/hadisə/audit).
'risk _ ref' - risk reyestrinə/təsirin qiymətləndirilməsinə istinad.
'legal _ refs' - normalar/standartlar (məsələn, GDPR Art. 32, ISO A.8).
'impact _ scope' - kimlərə təsir edir (komandalar/proseslər/regionlar).
'training _ required' - bəli/yox + kursa keçid.
'attachments' - diff/pdf, koordinasiya protokolu.
'distribution _ list' - kimə məlumat vermək.
'ack _ required' - kvitasiya tələb olunur.
'hold _ flags' - Legal Hold/dondurma (mümkünsə).
Nümunə (YAML): 
yaml change_id: POL-SEC-001-2025-11-01-M01 policy_id: POL-SEC-001 policy_title: Access Control Policy version: 2. 0. 0 change_type: MAJOR status: approved submitted_at: 2025-10-18T14:20:00Z approved_at: 2025-10-29T10:05:00Z published_at: 2025-10-30T09:00:00Z effective_from: 2025-11-15 proposer: d. kovalenko editor: secops. editors approver: ciso summary: Review roles and JIT access, enter quarterly-review.
rationale: "SOC Audit 2: CAPA-2025-17; incident # INC-5523"
risk_ref: RSK-AC-2025-004 legal_refs: ["ISO27001 A.5, A.8", "GDPR Art. 32"]
impact_scope: ["Prod Ops", "Payment Ops", "Affiliates"]
training_required: true attachments:
- link: confluence://AC-Policy-v2-diff
- link: git://policy-repo/pol-sec-001@v2. 0. 0 distribution_list: ["all@company", "ops@company", "vendors:payments"]
ack_required: true hold_flags: []

6) Variant və dəyişiklik növləri üçün tələblər

MAJOR: Məcburi tələbləri/nəzarəti dəyişir, auditi/riskləri təsir edir; təlim və keçid dövrü tələb edir.
MINOR: dəqiqləşdirmələr, nümunələr, mahiyyətcə nəzarəti dəyişdirmir.
PATCH: yazım/link düzəlişləri; fast-track.
URGENT: hadisə/zəifliyə görə təcili düzəliş; nəşr sürətləndirilmiş qaydada.
REGULATORY: yeni tənzimləmə aktı/tənzimləyicinin məktubu ilə əlaqədar yeniləmə.

Version: etiketləri/buraxılışları qeyd edin; hash ilə immutable PDF/HTML artefaktları.

7) Workflow koordinasiya

1. Draft → Review: şablon, link və meta məlumatların avtomatik yoxlanılması.
2. Multi-review: Legal/DPO/Compliance/Tech/Operations (paralel/ardıcıl).
3. Approval: domen sahibi + Accountable.
4. Publish: azad qeydlər Generation, Jurnal qeyd, poçt, yeniləmə "effective_from".
5. Acknowledgement: əməkdaşların kvitasiya toplanması (LMS/HRIS).
6. Post-publish controls: SOP/müqavilələri/skriptləri yeniləmək üçün tapşırıqlar.

İki açar qaydası: dərc yalnız təsdiq edilmiş rollar siyahısından 2 + razılaşma ilə mümkündür.

8) Hüquqi fiksasiya və dondurma (Legal Hold)

Nə zaman: istintaq, məhkəmə sorğusu, tənzimləyici yoxlama.
Nə edirik: bayraq 'hold _ flags = [«legal»]', silinməsi/versiyasının redaktəsi, WORM arxivi, Hold fəaliyyət jurnalı.
Hold çıxarılması: yalnız Legal/DPO; bütün hərəkətlər protokollaşdırılır.

9) Gizlilik və lokal tənzimləmələr

Jurnalda PII-nin minimallaşdırılması (mümkünsə e-mail əvəzinə employee ID saxlayın).
Saxlama müddəti = «saxlama qrafikləri» (policy records adətən 5-7 il).
DSAR/RTBF: Jurnal qanuni saxlama öhdəliyi varsa silinir; hüquqi əsasları müəyyənləşdiririk.

10) İnteqrasiya

Confluence/Docs/Git: düzəlişlərin və artefaktların mənbəyi (diff, PDF).
IAM/SSO: işçilərin rolları və atributları; jurnala giriş auditi.
LMS/HRIS: təlim, testlər, kvitasiya.
GRC/IRM: risk, nəzarət, SARA/planlarla əlaqə.
SIEM/Log: audit əməliyyat jurnalı (kim baxdı/ixrac).
Ticketing (Jira/YouTrack): Başlanğıc tapşırıqları və buraxılış siyahıları.

11) Metrika və SLO

Coverage: Jurnalda son yazısı olan aktual siyasətlərin% -i (hədəf ≥ 99%).
Time-to-Publish: 'submitted _ at' -dən 'published _ at' -a (məqsəd ≤ 14 gün; urgent ≤ 48 saat).
Ack-rate: Tanışlığı təsdiqləyən işçilərin payı (hədəf 14 gündə 98% ≥).
Audit-readiness: artefaktların tam dəsti ilə siyasətçilərin payı (diff, PDF, imzalar) (hədəf 100%).
Exceptions closed:% qapalı istisnalar/vaxtında sapmalar.
Access audit: 0 icazəsiz giriş hadisələri.

12) Dashboard (minimum widget dəsti)

Son nəşrlər və qüvvəyə minmə lenti.
Domen status xəritəsi (Security, Data, AML, Ops).
Gecikmiş razılaşma istilik xəritəsi.
Time-to-Publish/Time-in-Review histoqramı.
Departamentlər və rollar üzrə Ack-rate.
Açıq REGULATORY/URGENT dəyişikliklər siyahısı.

13) Prosedurlar və şablonlar

Dəyişiklik şablonu (Markdown): 

{policy_title} — {version}
Change ID: {change_id}      Type: {change_type}      Effective: {effective_from}
Summary: {summary}
Rationale: {rationale}
Impacts: {impact_scope}
Approvals: {approver} at {approved_at}
Artifacts: {links}
Training: {training_required}
Buraxılış siyahısı:
  • Bütün məcburi sahələr və əsərlərə istinadlar doldurulur
  • Təsirin qiymətləndirilməsi aparılıb və risklər yenilənib
  • Alınan razılıq (dual-control)
  • Yaradılan immutable paketi (PDF + hash)
  • Xüsusi poçt və ack kampaniyası
  • SOP/Runbooks/müqavilələri yeniləndi (tələb olunarsa)

14) Giriş nəzarəti və təhlükəsizlik

RBAC: rolları oxumaq/yaratmaq/təsdiq/arxivləşdirmək.
Just-in-Time: dərc/ixrac üçün müvəqqəti səlahiyyətlər.
Şifrələmə: TLS in-transit, KMS at-rest; anonim ixracların qadağan edilməsi.
Audit: bütün əməliyyatların qeydləri, qeyri-adi hərəkətlər (kütləvi ixrac, tez-tez düzəlişlər) üçün risklər.

15) Addımlarla tətbiq

MVP (2-4 həftə):

1. Siyasətçilər və sahibləri kataloqu.

2. Vahid qeyd şablonu + məcburi sahələr.

3. Confluence/Notion və ya sadə Policy-CMS reyestri; immutable PDF ixrac.

4. poçt/LMS vasitəsilə əsas workflow razılıq və ack kampaniyası.

5. Giriş rolları və hərəkətlərin qeyd edilməsi.

Faza 2 (4-8 həftə):
  • diff və semantik versiyası üçün Git ilə inteqrasiya.
  • Risk/nəzarət ilə GRC bağları, audit hesabatları.
  • KPI/SLO Dashboard, vaxtında avtomatik xatırlatmalar.
Faza 3 (8-12 həftə):
  • Xarici sistemlər üçün API/webhucks, rule-as-code şablon uyğunluğu yoxlama.
  • Legal Hold + WORM-arxiv, kriptovalyutası buraxılış paketləri.
  • Multiyurisdiksiya (bazarlar/dillər/versiyalar üzrə etiketlər).

16) Tez-tez səhvlər və onlardan necə qaçmaq olar

Jurnaldan kənar dəyişikliklər: qeydsiz nəşrlərin qadağan edilməsi, avtomatik yoxlamalar.
Heç bir rationale/link: sahəni məcburi etmək + mənbə şablonları (tənzimləyici, audit, hadisə).
Heç bir ack-nəzarət: LMS/HRIS inteqrasiya və KPI izləyin.
Layihələr və nəşrlərin qarışdırılması: ayrı məkanlardan/filiallardan istifadə edin.
«Hər kəs»: ciddi RBAC, ixrac oxu auditi.

17) Lüğət (qısa)

Policy - məcburi tələbləri olan idarəetmə sənədidir.
Standard/Procedure/SOP - detal və icra qaydası.
CAPA - düzəliş və xəbərdarlıq hərəkətləri.
Acknowledgement (ack) - əməkdaşın tanışlığının təsdiqi.
Legal Hold - dəyişikliklər/silinmələrin hüquqi dondurulması.

18) Yekun

Siyasət dəyişikliyi jurnalı yalnız «düzəlişlər tarixi» deyil, dəqiq rollar, məlumat modeli, giriş nəzarəti, hüquqi fiksasiya və metriklərlə idarə olunan bir prosesdir. Onun yetkin həyata keçirilməsi auditləri sürətləndirir, uyğunsuzluq riskini azaldır və bütün təşkilatda əməliyyat intizamını artırır.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.