नीति परिवर्तन लॉग

1) उद्देश्य और मूल्य

• परिवर्तन का पारदर्शी इतिहास: कौन, क्या, कब और क्यों।
• लेखा परीक्षकों/नियामकों (आईएसओ 27001, एसओसी 2, पीसीआई डीएसएस, जीडीपीआर और स्थानीय नियमों) का अनुपालन।
• जोखिम प्रबंधन: जोखिम मूल्यांकन, घटनाओं और सीएपीए योजनाओं में परिवर्तन को जोड़ ना।
• कर्मचारियों, प्रदाताओं और भागीदारों के लिए सत्य का एक एकल स्रो

परिणाम: परिचालन और अनुपालन जोखिम कम हो जाता है, ऑडिट और जांच त्वरित होती है, ऑनबोर्डिंग समय कम हो जाता है।

2) स्कोप

• सुरक्षा और पहुंच: सूचना सुरक्षा नीति, घटना प्रबंधन, कमजोरियां, कुंजी/एन्क्रिप्शन, गुप्त प्रबंधन, पासवर्ड नीति, आईएएम।
• डेटा और गोपनीयता: GDPR/DSAR/RTBF, भंडारण और विलोपन, डेटा वर्गीकरण, DLP, लॉग और ऑडिट।
• वित्त/एएमएल/केवाईसी: एएमएल/केवाईबी/केवाईसी, स्वीकृति जांच, धन के स्रोत का प्रमाण।
• संचालन: BCP/DRP, परिवर्तन प्रबंधन, रिलीज नीति, RACI, SRE/SLO।
• कानूनी/नियामक: स्थानीय बाजार की आवश्यकताएं, विज्ञापन प्रतिबंध, जिम्मेदार खेल।

3) भूमिकाएँ और जिम्मेदारियाँ (RACI)

आर (जिम्मेदार): नीति स्वामी और नीति संपादक।

A (जवाबदेह): डोमेन/CISO/अनुपालन प्रमुख के दस्तावेज़ मालिक।

सी (परामर्श): कानूनी/डीपीओ, जोखिम, एसआरई/संचालन, उत्पाद, डेटा।

I (सूचित): सभी कर्मचारी, बाहरी ठेकेदार (यदि आवश्यक हो)।

सिद्धांत: प्रति प्रकाशन दोहरे नियंत्रण; कर्तव्यों का अलगाव; पीआईआई/विनियामक विषयों के लिए अनिवार्य कानूनी/डीपीओ परामर्श।

4) जीवनचक्र बदलें

1. पहल: ट्रिगर (नियामक आवश्यकता, ऑडिट फंडिंग, घटना, प्रवेश परीक्षण, वास्तुकला परिवर्तन)।

2. ड्राफ्ट - दस्तावेज़ प्रबंधन प्रणाली में परिवर्तन (कन्फ्लूएंस/गिट/नीति सीएमएस)।

3. प्रभाव मूल्यांकन: प्रक्रियाओं, जोखिम रजिस्टर, प्रशिक्षण, अनुबंध, एकीकरण पर

4. अनुमोदन: कानूनी/डीपीओ/अनुपालन/टेक/संचालन, अंतिम मालिक अनुमोदन।

5. प्रकाशन: संस्करण असाइनमेंट, प्रभावी तिथि, वितरण।

6. ऑनबोर्डिंग: प्रशिक्षण/पावती, एसओपी/रनबुक अद्यतन।

7. निगरानी: अनुपालन नियंत्रण, मैट्रिक्स, पूर्वव्यापी।

5) लॉग डेटा मॉडल (आवश्यक क्षेत्र)

'policy _ id' एक निरंतर नीति आईडी है।

'policy _ tity' दस्तावेज़ का शीर्षक है।

'change _ id' परिवर्तन का अद्वितीय पहचानकर्ता है।

'वर्शन' - शब्दार्थ संस्करण (मेजर। माइनर। PATCH) या दिनांकित।

yaml change_id: POL-SEC-001-2025-11-01-M01 policy_id: POL-SEC-001 policy_title: Access Control Policy version: 2. 0. 0 change_type: MAJOR status: approved submitted_at: 2025-10-18T14:20:00Z approved_at: 2025-10-29T10:05:00Z published_at: 2025-10-30T09:00:00Z effective_from: 2025-11-15 proposer: d. kovalenko editor: secops. editors approver: ciso summary: Review roles and JIT access, enter quarterly-review.
rationale: "SOC Audit 2: CAPA-2025-17; incident # INC-5523"
risk_ref: RSK-AC-2025-004 legal_refs: ["ISO27001 A.5, A.8", "GDPR Art. 32"]
impact_scope: ["Prod Ops", "Payment Ops", "Affiliates"]
training_required: true attachments:
- link: confluence://AC-Policy-v2-diff
- link: git://policy-repo/pol-sec-001@v2. 0. 0 distribution_list: ["all@company", "ops@company", "vendors:payments"]
ack_required: true hold_flags: []

6) संस्करण और परिवर्तन प्रकार की आवश्यकताएं

मेजर: अनिवार्य आवश्यकताओं/नियंत्रण में परिवर्तन, ऑडिट/जोखिम को प्रभावित करता प्रशिक्षण और संक्रमण की आवश्यकता है

माइनर: शोधन, उदाहरण, सार में नियंत्रण नहीं बदलते हैं।

PATCH: वर्तनी/संदर्भ संपादन; फास्ट-ट्रैक।

तत्काल: घटना/भेद्यता के कारण तत्काल सुधार; शीघ्र आधार पर प्रकाशन।

नियामक: नए नियामक अधिनियम/नियामक पत्र के कारण अद्यतन।

वर्शनिंग: टैग/रिलीज़को ठीक करें; हैश के साथ अपरिवर्तनीय पीडीएफ/एचटीएमएल कलाकृतियां।

7) अनुमोदन वर्कफ़्लो

1. ड्राफ्ट → रिव्यू - ऑटो-चेक टेम्पलेट, लिंक और मेटाडेटा।

2. बहु-समीक्षा: कानूनी/डीपीओ/अनुपालन/टेक/संचालन (समानांतर/अनुक्रमिक)।

3. अनुमोदन: डोमेन मालिक + जवाबदेह।

4. प्रकाशित: एक रिलीज नोट तैयार करना, जर्नल को लिखना, मेलिंग करना, "effective_from." अद्यतन करना

5. पावती: कर्मचारी पावती एकत्र करना (एलएमएस/एचआरआईएस)।

6. पोस्ट-प्रकाशन नियंत्रण: एसओपी/अनुबंध/स्क्रिप्ट अद्यतन कार्य।

दो-महत्वपूर्ण नियम: अनुमोदित भूमिकाओं की सूची से केवल 2 + अनुमोदन के साथ प्रकाशन संभव है।

8) कानूनी पकड़

कब: जांच, कानूनी अनुरोध, नियामक समीक्षा।

हम क्या करते हैं: फ्लैग 'होल्ड _ फ्लैग्स = ["कानूनी"], फ्रीज विलोपन/संस्करण संशोधन, WORM संग्रह, गतिविधि लॉग।

पकड़ वापसी: केवल कानूनी/डीपीओ; सभी क्रियाएं लॉग इन हैं।

9) गोपनीयता और स्थानीय विनियमन

लॉग में पीआईआई को न्यूनतम करना (ई-मेल के बजाय कर्मचारी आईडी संग्रहीत करें, यदि संभव हो)।

अवधारण अवधि = "प्रतिधारण अनुसूची" (नीति रिकॉर्ड आमतौर पर 5-7 वर्ष होते हैं)।

DSAR/RTBF: हिरासत का कानूनी कर्तव्य होने पर लॉग को हटाने से बाहर रखा जाता है; हम कानूनी आधार को ठीक करते हैं।

10) एकीकरण

संगम/डॉक्स/गिट: संपादन और कलाकृतियों का स्रोत (डिफ, पीडीएफ)।

IAM/SSO: कर्मचारी भूमिकाएँ और ऑडिट लॉग एक्सेस का गुण।

LMS/HRIS: प्रशिक्षण, परीक्षण, पावती।

जीआरसी/आईआरएम: जोखिम, नियंत्रण, सीएपीए/योजनाओं के साथ संबंध।

SIEM/Logs: जर्नल ऑपरेशंस (जिन्होंने देखा/निर्यात किया) का ऑडिट।

टिकटिंग (Jira/YouTrack): कार्य शुरू करना और चेकलिस्ट जारी करना।

11) मेट्रिक्स और एसएलओ

कवरेज: अंतिम लॉग एंट्री के साथ वर्तमान नीतियों का% (लक्ष्य ≥ 99%)।

टाइम-टू-पब्लिश: 'सबमिट _ at' से 'प्रकाशित _ at' (लक्ष्य ≤ 14 दिन; तत्काल ≤ 48 घंटे)।

Ack-दर: परिचित की पुष्टि करने वाले कर्मचारियों का अनुपात (14 दिनों में ≥ 98%)।

ऑडिट-तत्परता: कलाकृतियों के एक पूर्ण सेट (डिफ, पीडीएफ, हस्ताक्षर) (100% लक्ष्य) के साथ नीतियों का अनुपात।

अपवाद बंद:% बंद अपवाद/विचलन तिथि तक.

एक्सेस ऑडिट: 0 अनधिकृत लॉग एक्सेस घटनाएं।

12) डैशबोर्ड (विजेट का न्यूनतम सेट)

हाल के प्रकाशनों और अधिनियमों का फ़ीड।

डोमेन द्वारा स्थिति मानचित्र (सुरक्षा, डेटा, एएमएल, ऑप्स)।

अनुमोदन में देरी का गर्म नक्शा।

टाइम-टू-पब्लिश/टाइम-इन-रिव्यू हिस्टोग्राम।

विभाग और भूमिका द्वारा Ack-दर।

खुले रेगुलेटरी/URGENT परिवर्तनों की सूची।

13) प्रक्रियाएं और टेम्पलेट

{policy_title} — {version}
Change ID: {change_id}      Type: {change_type}      Effective: {effective_from}
Summary: {summary}
Rationale: {rationale}
Impacts: {impact_scope}
Approvals: {approver} at {approved_at}
Artifacts: {links}
Training: {training_required}

• सभी आवश्यक क्षेत्रों और कलाकृतियों संदर्भों में भरा
• प्रभाव का आकलन और जोखिम अद्यतन
• दोहरा नियंत्रण
• अपरिवर्तनीय पैकेज उत्पन्न (पीडीएफ + हैश)
• मेलिंग और एक अभियान विन्यस्त
• अपडेटेड एसओपी/रनबुक/अनुबंध (यदि आवश्यक हो)

14) पहुंच नियंत्रण और सुरक्षा

RBAC पढ़ें/बनाएँ/अनुमोदन/पुरालेख भूमिकाएँ।

जस्ट-इन-टाइम: अस्थायी प्रकाशन/निर्यात प्राधिकरण।

एन्क्रिप्शन: टीएलएस इन-ट्रांजिट, केएमएस एट-रेस्ट; गुमनाम निर्यात पर प्रतिबंध लगाना।

ऑडिट: सभी ऑपरेशनों के लॉग, असामान्य कार्यों के लिए अलर्ट (बड़ेपैमाने पर निर्यात, लगातार संपादन)।

15) चरणों द्वारा कार्यान्वयन

1. नीतियों और उनके मालिकों की निर्देशिका।

2. एकल रिकॉर्ड टेम्पलेट + आवश्यक क्षेत्र।

3. कन्फ्लूएंस/धारणा या सरल नीति-सीएमएस में रजिस्ट्री; अपरिवर्तनीय पीडीएफ का निर्यात।

4. मेल/एलएमएस के माध्यम से अनुमोदन और एक्क अभियान का बुनियादी वर्कफ़्लो।

5. अभिगम भूमिकाएँ और गतिविधि लॉगिंग।

• डिफ और सिमेंटिक वर्शनिंग के लिए गिट के साथ एकीकरण।
• जोखिम/नियंत्रण के साथ जीआरसी-लिंक, ऑडिट के लिए रिपोर्ट।
• केपीआई/एसएलओ डैशबोर्ड, तिथि तक स्वचालित अनुस्मारक.

• बाहरी सिस्टम के लिए एपीआई/वेबहुक, नियम-ए-कोड पैटर्न मिलान।
• कानूनी होल्ड + WORM संग्रह, रिलीज पैकेज के क्रिप्टोग्राफिक हस्ताक्षर।
• बहु-अधिकारिता (बाजार/भाषा/संस्करण द्वारा टैग)।

16) बार-बार गलतियाँ और उनसे कैसे बचें

आउट-ऑफ-जर्नल परिवर्तन: डेनी अनकॉर्डेड प्रकाशन, स्वचालित चेक।

कोई औचित्य/संदर्भ नहीं: क्षेत्र को अनिवार्य + स्रोत टेम्पलेट (नियामक, ऑडिट, घटना) बनाएं।

कोई ack नियंत्रण नहीं: एकीकृत LMS/HRIS और KPI ट्रैक करें।

मिक्स ड्राफ्ट और प्रकाशन - अलग स्थानों/शाखाओं का उपयोग करें।

एक्सेस "सभी": सख्त आरबीएसी, निर्यात पढ़ा ऑडिट।

17) शब्दावली (संक्षिप्त)

नीति - अनिवार्य आवश्यकताओं के साथ एक प्रबंधन दस्तावेज।

मानक/प्रक्रिया/एसओपी - दानेदारी और निष्पादन आदेश।

CAPA - सुधारात्मक और निवारक क्रियाएं।

पावती (ack) - कर्मचारी द्वारा परिचित होने की पुष्टि।

कानूनी पकड़ - परिवर्तन/विलोपन का कानूनी फ्रीज।

18) नीचे की रेखा

नीति परिवर्तन लॉग न केवल "संपादन का इतिहास" है, बल्कि स्पष्ट भूमिकाओं, एक डेटा मॉडल, एक्सेस कंट्रोल, कानूनी निर्धारण और मैट्रिक्स के साथ एक प्रबंधित प्रक्रिया है। इसका परिपक्व कार्यान्वयन ऑडिट में तेजी लाता है, गैर-जोखिम को कम करता है, और पूरे संगठन में परिचालन अनुशासन को बढ़ाता है।