GH GambleHub

Siyasət və prosedurların həyat dövrü

1) Həyat dövrünü niyə idarə etmək lazımdır?

Siyasətçilər və prosedurlar «oyun qaydalarını» təyin edir: riskləri minimuma endirir, uyğunluğu təmin edir (GDPR/AML/PCI DSS/SOC 2 və s.), təcrübələri birləşdirir və proqnozlaşdırılabilirliyi artırır. Rəsmiləşdirilmiş həyat dövrü (Policy Management Lifecycle, PML) sənədlərin aktuallığını və icrasını, həmçinin auditorlar üçün evidence mövcudluğunu təmin edir.

2) Sənədlər iyerarxiyası (taksonomiya)

Siyasət (Policy): nə lazımdır və niyə; prinsipləri və məcburi tələblər.
Standart: ölçülə bilən normaları (məsələn, şifrələmə, TTL, SoD) müəyyən edir.
Prosedur/SOP: addım-addım necə; rollar, tetikləyicilər, yoxlama vərəqləri.
Gaidline/Ən yaxşı təcrübələr: tövsiyə olunur, lakin ciddi şəkildə tələb olunmur.
Playbook (operational runbook): cavab ssenariləri (hadisələr, DR, DSAR).
İş təlimatı: komanda/xidmət altında yerli təfərrüat.

Əlaqə: Siyasət, standartlar, prosedurlar, playbook. Hər bir sənəd üçün - nəzarət iddiaları (control statements) və metriklər.

3) Rollar və məsuliyyət (RACI)

RolMəsuliyyət
Document Owner (A)Məzmun bütövlüyü, aktuallığı, icra metrikası
Policy Steward / Author (R)Dizayn, aktuallaşdırma, koordinasiya, şərhlərə cavab
Legal/DPO (C)Normaların şərhi, gizlilik/əmək hüququ ilə münaqişələr
Compliance/GRC (R/C)Tələblərə kartlaşdırma, versiyalara nəzarət və sertifikatlaşdırma
CISO/SecOps (C)Texniki reallaşma, nəzarət tədbirləri
Data Platform/IAM/IT (C)Sistemlərə inteqrasiya, nəzarət avtomatlaşdırılması
HR/L&D (R)Təlim, attestasiya, keçidin qeydə alınması
Internal Audit (I)Əhatə dairəsinin və effektivliyin müstəqil yoxlanılması
Executive Sponsor/Komitə (A)Blokların təsdiqlənməsi, prioritetləşdirilməsi, aradan qaldırılması

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Həyat dövrü mərhələləri (PML)

1. Ehtiyacın identifikasiyası

Triggerlər: yeni tənzimləmələr, insidentlər, audit nəticələri, xidmətin tətbiqi, yeni yurisdiksiyaya keçid.

2. Layihə və əsaslandırma

əhatə dairəsi (scope), məqsədlər, terminlərin tərifi.
Control statements (məcburi tələblər) + risk bazası.
(GDPR/AML/PCI/SOC 2 və s.).
Ölçülebilir metrlər və SLO/SLA (məsələn, DSAR ≤ 30 gün).

3. Ekspert icmalı (peer review)

Legal/DPO, Security, Operations, Data/IAM; şərhlərin fiksasiyası, qərar protokolu.

4. Həyata keçirilmə və xərclərin qiymətləndirilməsi

Proseslərə/sistemlərə təsir analizi, avtomatlaşdırma ehtiyacı, rolların dəyişdirilməsi.

5. Razılaşma və təsdiq

Siyasət Komitəsi (Policy Board) və ya Executive Sponsor. ID və versiyası təyin.

6. Nəşr və kommunikasiyalar

Siyasətçi portalı (GRC/Confluence) + bildirişlər.
Məqsədli rolların məcburi sertifikatlaşdırılması (read & understand).
FAQ/geniş auditoriya üçün qısa «one-pager».

7. Tətbiq və təlim

L&D proqramları, e-learning, plakatlar/xatirələr, bağlama daxil.

8. İcra və monitorinq

Siyasətlər → standartlar → prosedurlar → avtomatlaşdırılmış nəzarət (Compliance-as-Code). Daşbordlar, alertlər, remediation biletləri.

9. İstisnaların idarə edilməsi (Waivers)

Əsaslandırılmış formal sorğu, risk-qiymətləndirmə, son tarix, kompensasiya tədbirləri, istisnalar reyestri, dövri yenidən baxılması.

10. Təftiş və dəyişiklik

Müntəzəm baxış (adətən hər il və ya tetikləyicilərdə). Dəyişiklik sinifləri: Major/Minor/Emergency. Version, changelog, prosedurların əks uyğunluğu.

11. Audit və effektivliyə nəzarət

Daxili audit/xarici yoxlamalar: dizayn və əməliyyat səmərəliliyi testləri, nümunələr, qaydaların islahatları.

12. Arxivləşdirmə və ləğv (Sunset)

Əvəz/birləşmə elanı, miqrasiya planı, linklərin köçürülməsi, WORM-də arxiv heş-hesabat ilə.

5) Siyasətin meta məlumatları (minimal tərkibi)

ID, Versiya, Status (Draft/Active/Deprecated/Archived), Dərc/Təftiş tarixi, Sahibi, Əlaqə.
Scope (nə/harada/kim üçün), yurisdiksiya və istisnalar.
Terminlərin və qısaltmaların tərifi.
Məcburi tələblər (control statements) + ölçülə bilən göstəricilər.
Prosedurlar üzrə RACI.
Linklər/asılılıqlar (standartlar, prosedurlar, playbuklar).
istisnaların idarə edilməsi proseduru (waivers).
Əlaqəli risklər və KRI/KPI.
Təlim və attestasiya tələbləri.
Versiyalar tarixi (changelog).

6) Versiyaların və dəyişikliklərin idarə edilməsi

Təsnifat:
  • Major: prinsiplərin/məcburi tələblərin dəyişdirilməsi; təkrar attestasiya tələb olunur.
  • Minor: düzəlişlər/nümunələr; məcburi sertifikatlaşdırma olmadan bildiriş.
  • Təcili: hadisə/tənzimləyici ilə əlaqədar sürətli düzəlişlər; post-faktum tam baxış.
Versiya jurnalı nümunəsi:
VersiyaTipDəyişikliklərTarixTəsdiq edən
2. 0MajorLegal Hold haqqında yeni bölmə, yenilənmiş TTL2025-05-10Policy Board
1. 3MinorDSAR/PII şərtləri dəqiqləşdirilmişdir2025-02-01Owner
1. 2EEmergencyPI ixracına müvəqqəti qadağa2025-01-12CISO

7) Lokalizasiya və yurisdiksiya əlavələri

Korporativ dildə Master versiyası + yerli proqramlar (Country Addendum).
Tərcümələr - terminoloji lüğət vasitəsilə; hüquqi validasiya.
Uyğunsuzluqlara nəzarət: yerli versiya Master tələblərini gücləndirə bilər, lakin zəiflədə bilməz.

8) Sistemlər və məlumatlarla inteqrasiya

GRC platforması: sənədlər reyestri, statuslar, sahibləri, revyu dövrləri, waivers reyestri.
IAM/IGA: təlim və attestasiyanı rollara bağlamaq; keçmədən giriş qadağası.
Data Platform: məlumat kataloqu, xətt, həssaslıq işarələri; TTL/Retance nəzarət.
CI/CD/DevSecOps: uyğunluq geytaları; siyasət testləri (policy-as-code) və evidence toplama.
SIEM/SOAR/DLP/EDRM: icrası nəzarət, alert və playbook remediation.
HRIS/LMS: kurslar, testlər, proof-of-completion.

9) Effektivlik metrikası (KPI/KRI)

Coverage: vaxtında sertifikatlaşdırılmış işçilərin/rolların% -i.
Policy Adoption: tələblərin standartlara/prosedurlara tətbiq olunduğu proseslərin payı.
Exception Rate: aktiv waivers sayı və müddəti bitmiş%.
Drift/Violations: avtomatlaşdırılmış nəzarət pozuntuları.
Audit Readiness Time: konkret siyasət evidence seçmək üçün vaxt.
Update Cadence: vaxtında yoxlanılmış sənədlərin payı.
Mean Time to Update (MTTU): tetikləyicidən aktiv versiyaya qədər.

10) Istisnaların idarə edilməsi (Waivers) - proses

1. Səbəb, risk, müddət, kompensasiya tədbirləri ilə sorğu.
2. Risk qiymətləndirilməsi və razılaşdırılması (Owner + Compliance + Legal).
3. Reyestrdə qeydiyyat; nəzarət və sistemlərə bağlanır.
4. Monitorinq və yenidən baxılması/bağlanması barədə xatırlatmalar.
5. Komitənin qərarı ilə avtomatik çıxarılması və ya uzadılması.

11) Audit və icranın yoxlanılması

Design vs Operating Effectiveness: tələblərin mövcudluğu və faktiki icra.
Sampling/Analytics: cases nümunə, IaC real konfiqurasiya müqayisə, CaC qaydaları islahatları.
Follow-up: remediation vaxt nəzarət, təkrar Findings monitorinq.

12) Çek vərəqləri

Siyasət yaratmaq/yeniləmək

  • Müəyyən məqsədlər və scope; terminlərin tərifləri verilmişdir.
  • Məcburi tələblər və metriklər yazılmışdır.
  • Tənzimləyici/standartlar üzrə xəritələşdirmə həyata keçirilib.
  • peer review (Legal/SecOps/Operations/Data) keçdi.
  • Əmək xərcləri və tətbiq planı hesablanmışdır.
  • Komitə/Sponsor tərəfindən təsdiq.
  • Portalda nəşr + rabitə.
  • Xüsusi təlim/sertifikatlaşdırma.
  • Əlaqəli standartlar/prosedurlar/playbook yeniləndi.
  • evidence nəzarət və toplama konfiqurasiya.

İllik audit

  • Tənzimləmə və risk dəyişiklikləri yoxlanılıb.
  • Pozuntuların analitikası/waivers/audit-tapıntılar nəzərə alınır.
  • Ölçülər və SLO/SLA yeniləndi.
  • Yenidən attestasiya edildi (Major olarsa).
  • Changelog və lokalizasiya statusları yeniləndi.

13) Siyasət strukturunun şablonu (nümunə)

1. Məqsəd və tətbiq sahəsi

2. Təriflər və ixtisarlar

3. Məcburi tələblər (Control Statements)

4. Rollar və məsuliyyət (RACI)

5. Standartlar/Prosedurlar/Playbook (linklər)

6. İcranın metrikası və monitorinqi

7. istisnalar (Waivers) və kompensasiya tədbirləri

8. Standartlara uyğunluq (Mapping)

9. Təlim və attestasiya

10. Sənədlərin idarə edilməsi (versiyalar, təftişlər, əlaqə)

14) Sənədlərin idarə edilməsi və nömrələnməsi

ID formatı: 'POL-SEC-001', 'STD-DATA-021', 'SOP-DSAR-005'.
Portal üçün vahid adlandırma qaydaları və etiketlər (tags): domen, standart, audit mövzuları.
«Sınıq linklərə» nəzarət, sənədlərin sunset/birləşməsi zamanı avto-redaktorlar.

15) Risklər və antipatterlər

«İcra olmadan siyasət»: heç bir standart/prosedur/nəzarət → artım waivers və pozuntular.
Ölçülmə olmadan şifahi düsturlar: audit və avtomatlaşdırmaya məruz qalmır.
Doubley və sənədlər arasında toqquşmalar: vahid sahibi/kataloq yoxdur.
Təlim və attestasiyanın olmaması: başa düşülmədən formal razılıq.
Heç bir versiya və lokalizasiya: uyğunsuzluqlar, tənzimləyici risklər.

16) PML yetkinlik modeli (M0-M4)

M0 Sənədli: müxtəlif fayllar, nadir yeniliklər, əl poçt.
M1 Kataloq: vahid reyestr, əsas metadata, əl təftişləri.
M2 idarə: formal RACI, müntəzəm yoxlamalar, sertifikatlaşdırma, waivers-reyestr.
M3 Inteqrasiya: GRC + IAM/LMS, policy-as-code, avtomatlaşdırılmış nəzarət və evidence.
M4 Continuous Assurance: yoxlamalar və hesabatlar «düyməsi», lokalizasiyalar/versiyalar avtomatik sinxronlaşdırılır, risk tetikləyiciləri yeniləmələri işə salır.

17) Əlaqəli məqalələr wiki

Davamlı uyğunluq monitorinqi (CCM)

Komplayens və hesabatların avtomatlaşdırılması

Legal Hold və məlumatların dondurulması

Privacy by Design və məlumatların minimuma endirilməsi

DSAR: istifadəçi sorğuları

Biznes Davamlılıq Planı (BCP) və DRP

PCI DSS/SOC 2: nəzarət və sertifikatlaşdırma

Yekun

Siyasətin effektiv həyat dövrü idarə olunan sistemdir: vahid taksonomiya, şəffaf rollar, ölçülə bilən tələblər, müntəzəm yoxlamalar və avtomatlaşdırılmış nəzarət. Belə bir sistemdə sənədlər tozlanmır - onlar işləyir, öyrədir, riskləri idarə edir və hər hansı bir auditə tab gətirirlər.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.