ورود به سیستم تغییر سیاست

1) هدف و ارزش

• تاریخ شفاف تغییر: چه کسی، چه، چه زمانی و چرا
• انطباق با حسابرسان/تنظیم کننده ها (ISO 27001، SOC 2، PCI DSS، GDPR و مقررات محلی).
• مدیریت ریسک: پیوند دادن تغییرات به ارزیابی ریسک، حوادث و برنامه های CAPA
• یک منبع واحد حقیقت برای کارکنان، ارائه دهندگان و شرکا.

نتیجه: ریسک عملیاتی و انطباق کاهش می یابد، ممیزی ها و تحقیقات تسریع می شود، زمان تحویل کاهش می یابد.

2) محدوده

• امنیت و دسترسی: سیاست امنیت اطلاعات، مدیریت حوادث، آسیب پذیری، کلید/رمزگذاری، مدیریت مخفی، سیاست رمز عبور، IAM.
• داده ها و حریم خصوصی: GDPR/DSAR/RTBF، ذخیره سازی و حذف، طبقه بندی داده ها، DLP، سیاهههای مربوط و حسابرسی.
• امور مالی/AML/KYC: AML/KYB/KYC، غربالگری تحریم، اثبات منبع بودجه.
• عملیات: BCP/DRP، مدیریت تغییر، سیاست انتشار، RACI، SRE/SLO.
• قانونی/نظارتی: الزامات بازار محلی، محدودیت های تبلیغاتی، بازی مسئولانه.

3) نقش ها و مسئولیت ها (RACI)

R (مسئول): مالک سیاست و ویرایشگر سیاست.
A (پاسخگو): صاحب سند دامنه/CISO/رئیس انطباق.
C (مشورت): حقوقی/DPO، خطر، SRE/عملیات، محصول، داده ها.
I (مطلع): همه کارکنان، پیمانکاران خارجی (در صورت لزوم).

اصول: کنترل دوگانه در هر نشریه ؛ تفکیک وظایف ؛ مشاوره قانونی/DPO اجباری برای موضوعات PII/نظارتی.

4) تغییر چرخه عمر

1. ابتکار عمل: ماشه (نیاز قانونی، بودجه حسابرسی، حادثه، تست نفوذ، تغییر معماری).
2. پیش نویس - تغییر در سیستم مدیریت اسناد (Confluence/Git/Policy CMS).
3. ارزیابی تاثیر: در فرآیندها، ثبت ریسک، آموزش، قراردادها، ادغام.
4. تصویب: قانونی/DPO/انطباق/فناوری/عملیات، تایید نهایی مالک.
5. انتشار: تخصیص نسخه، تاریخ موثر، توزیع.
6. Onboarding: آموزش/تصدیق، به روز رسانی SOP/Runbook.
7. نظارت: کنترل انطباق، معیارها، گذشته نگر.

5) مدل داده ورود (زمینه های مورد نیاز)

policy _ id یک شناسه سیاست ثابت است.
'policy _ title' عنوان سند است.
'change _ id' شناسه منحصر به فرد این تغییر است.
'version' - نسخه معنایی (MAJOR. جزئی است. PATCH) یا تاریخ گذشته است.

yaml change_id: POL-SEC-001-2025-11-01-M01 policy_id: POL-SEC-001 policy_title: Access Control Policy version: 2. 0. 0 change_type: MAJOR status: approved submitted_at: 2025-10-18T14:20:00Z approved_at: 2025-10-29T10:05:00Z published_at: 2025-10-30T09:00:00Z effective_from: 2025-11-15 proposer: d. kovalenko editor: secops. editors approver: ciso summary: Review roles and JIT access, enter quarterly-review.
rationale: "SOC Audit 2: CAPA-2025-17; incident # INC-5523"
risk_ref: RSK-AC-2025-004 legal_refs: ["ISO27001 A.5, A.8", "GDPR Art. 32"]
impact_scope: ["Prod Ops", "Payment Ops", "Affiliates"]
training_required: true attachments:
- link: confluence://AC-Policy-v2-diff
- link: git://policy-repo/pol-sec-001@v2. 0. 0 distribution_list: ["all@company", "ops@company", "vendors:payments"]
ack_required: true hold_flags: []

6) نسخه و تغییر نوع مورد نیاز

MAJOR: تغییر الزامات اجباری/کنترل، بر حسابرسی/خطرات تاثیر می گذارد ؛ نیاز به آموزش و انتقال دارد.
MINOR: اصلاحات، نمونه ها، کنترل را در اصل تغییر نمی دهد.
PATCH: ویرایش املا/ارجاع ؛ مسیر سریع.
فوری: اصلاح فوری به دلیل حادثه/آسیب پذیری ؛ انتشار بر اساس تسریع.
مقررات: به دلیل قانون جدید/نامه تنظیم کننده به روز شده است.

نسخه بندی: رفع برچسب ها/نسخه ها ؛ مصنوعات PDF/HTML غیر قابل تغییر با هش.

7) گردش کار تصویب

1. پیش نویس → نقد و بررسی - خودکار چک قالب, لینک ها و ابرداده.
2. چند بررسی: حقوقی/DPO/انطباق/فناوری/عملیات (موازی/متوالی).
3. تأیید: صاحب دامنه + پاسخگو.

4. انتشار: تولید یک یادداشت انتشار، نوشتن به مجله، ارسال، به روز رسانی «effective_from.»

5. قدردانی: جمع آوری تایید کارکنان (LMS/HRIS).
6. کنترل های پس از انتشار: وظایف به روز رسانی SOP/قرارداد/اسکریپت.

قانون دو کلید: انتشار فقط با 2 + تایید از لیست نقش های تایید شده امکان پذیر است.

8) نگهداری قانونی

زمان: تحقیق، درخواست قانونی، بررسی قانونی.
آنچه ما انجام می دهیم: پرچم "hold _ flags = [" قانونی "]، حذف حذف/نسخه نسخه، بایگانی WORM، ورود به سیستم فعالیت نگه دارید.
خروج را نگه دارید: فقط قانونی/DPO ؛ تمام اقدامات ثبت شده است.

9) حریم خصوصی و مقررات محلی

به حداقل رساندن PII در ورود به سیستم (ذخیره شناسه کارمند به جای ایمیل، در صورت امکان).
دوره نگهداری = «برنامه نگهداری» (سوابق سیاست معمولا 5-7 سال).
DSAR/RTBF: ورود به سیستم از حذف حذف شده است اگر یک وظیفه قانونی از بازداشت وجود دارد; ما مبنای قانونی را تعیین می کنیم.

10) ادغام

تلاقی/اسناد/Git: منبع ویرایش و مصنوعات (تفاوت، PDF).
IAM/SSO: نقش ها و ویژگی های کارکنان دسترسی ورود به سیستم حسابرسی.
LMS/HRIS: آموزش، آزمایش، تأیید.
GRC/IRM: ارتباط با خطرات، کنترل ها، CAPA/برنامه ها.
SIEM/Logs: حسابرسی عملیات مجله (که مشاهده/صادر شده).
فروش بلیط (جیرا/YouTrack): شروع وظایف و چک لیست انتشار.

11) معیارها و SLO

پوشش:٪ از سیاست های فعلی با آخرین ورود (≥ هدف 99٪).

زمان انتشار: زمان متوسط از 'submitted _ at' به 'published _ at' (هدف ≤ 14 روز ؛ ضروری ≤ 48 ساعت)

Ack-rate: نسبت کارکنانی که آشنایی را تایید کرده اند (≥ هدف 98٪ در 14 روز).
آمادگی حسابرسی: نسبت سیاست ها با یک مجموعه کامل از مصنوعات (تفاوت، PDF، امضا) (هدف 100٪).
استثنائات بسته:٪ استثنائات بسته/انحرافات بر اساس تاریخ.
ممیزی دسترسی: 0 حوادث دسترسی ورود غیر مجاز.

12) داشبورد (حداقل مجموعه ای از ویدجت)

خوراک نشریات و مصوبات اخیر.
نقشه وضعیت توسط دامنه (امنیت، داده ها، AML، عملیات).
نقشه حرارتی تاخیر در تصویب.

هیستوگرام Time-to-Publish/Time-in-Review

ACK-نرخ توسط بخش و نقش.
لیست تغییرات باز/فوری.

13) روش ها و قالب ها

{policy_title} — {version}
Change ID: {change_id}      Type: {change_type}      Effective: {effective_from}
Summary: {summary}
Rationale: {rationale}
Impacts: {impact_scope}
Approvals: {approver} at {approved_at}
Artifacts: {links}
Training: {training_required}

• تمام زمینه های مورد نیاز و منابع مصنوعی پر شده است
• تاثیر ارزیابی و خطرات به روز شده
• کنترل دوگانه
• بسته غیر قابل تغییر تولید شده (PDF + هش)
• پستها و کمپین ACK پیکربندی
• به روز شده SOP/Runbooks/قرارداد (در صورت لزوم)

14) کنترل دسترسی و امنیت

RBAC خواندن/ایجاد/تایید/نقش بایگانی.
Just-in-Time: مجوز موقت انتشار/صادرات.

رمزگذاری: TLS در حمل و نقل، KMS در حالت استراحت ؛ ممنوعیت صادرات ناشناس

حسابرسی: سیاهههای مربوط از تمام عملیات، هشدار برای اقدامات غیر معمول (صادرات انبوه، ویرایش مکرر).

15) پیاده سازی توسط مراحل

1. فهرست سیاست ها و صاحبان آنها.

2. قالب تک رکورد + زمینه های مورد نیاز.

3. رجیستری در تلاقی/مفهوم یا سیاست ساده CMS ؛ صادرات PDF غیر قابل تغییر.

4. گردش کار عمومی مصوبات و کمپین ACK از طریق ایمیل/LMS.

5. دسترسی به نقش ها و ثبت فعالیت.

• ادغام با Git برای نسخه های مختلف و معنایی.
• GRC-لینک با خطرات/کنترل، گزارش برای حسابرسی.
• داشبورد KPI/SLO، یادآوری خودکار بر اساس تاریخ.

• API/webhooks برای سیستم های خارجی، تطبیق الگوی قانون به عنوان کد.
• Legal Hold + WORM بایگانی، امضای رمزنگاری بسته های انتشار.
• صلاحیت چندگانه (برچسب ها بر اساس بازار/زبان/نسخه).

16) اشتباهات مکرر و چگونگی اجتناب از آنها

تغییرات خارج از مجله: انکار نشریات ثبت نشده، چک های خودکار.
بدون منطق/منابع: زمینه را اجباری + قالب منبع (تنظیم کننده، حسابرسی، حادثه).
بدون کنترل ACK: ادغام LMS/HRIS و پیگیری KPI ها.
مخلوط پیش نویس و نشریات - استفاده از فضاهای جداگانه/شاخه.
دسترسی به «همه»: RBAC سخت، صادرات خواندن حسابرسی.

17) واژه نامه (کوتاه)

Policy - یک سند مدیریتی با الزامات اجباری.
استاندارد/روش/SOP - دانه بندی و دستور اجرا.
CAPA - اقدامات اصلاحی و پیشگیرانه.
قدردانی (ACK) - تایید آشنایی توسط کارمند.
نگهداری قانونی - توقف قانونی تغییرات/حذف.

18) خط پایین

گزارش تغییر سیاست نه تنها «تاریخچه ویرایش» است، بلکه یک فرآیند مدیریت شده با نقش های روشن، یک مدل داده، کنترل دسترسی، تثبیت قانونی و معیارها است. اجرای بالغ آن ممیزی ها را تسریع می کند، خطرات عدم انطباق را کاهش می دهد و نظم عملیاتی را در سراسر سازمان افزایش می دهد.