Registro modifiche criteri

1) Assegnazione e valore

• La storia trasparente del cambiamento è chi, cosa, quando e perché.
• Conformità ai requisiti dei revisori/regolatori (ISO 27001, SOC2, PCI DSS, GDPR e norme locali).
• Gestione dei rischi: combinazione dei cambiamenti con valutazioni dei rischi, incidenti e piani CAPA.
• Un'unica fonte di verità per dipendenti, fornitori e partner.

Risultato: diminuisce il rischio operativo e di compliance, accelera le verifiche e le indagini, riduce i tempi di onboarding.

2) Area di copertura (scope)

• Sicurezza e accesso: politica di sicurezza, gestione degli incidenti, vulnerabilità, chiavi/crittografia, gestione segreta, password, IAM.
• Dati e privacy: GDPR/DSAR/RTBF, conservazione e eliminazione, classificazione dei dati, DLP, logi e verifiche.
• Finanza/AML/KYC: AML/KYB/KYC, screening sanzionatorio, conferma della fonte dei fondi.
• Operazioni: BCP/DRP, gestione delle modifiche, policy di lancio, RACI, SRE/SLO.
• Legale/regolamentare: requisiti locali dei mercati, restrizioni pubblicitarie, gioco responsabile.

3) Ruoli e responsabilità (RACI)

R - Proprietario dei criteri e editor.
A (Accountable) - Documento proprietario del dominio/CISCO/Head of Compliance.
C (Consulted): Legal/DPO, Risk, SRE/Operations, Product, Data.
I (Informed) - Tutti i dipendenti, appaltatori esterni (se necessario).

Principi: dual-control per la pubblicazione; segregazione dei compiti; Consultazioni Legali/DPO obbligatorie per i temi di regolazione PII.

4) Ciclo di vita delle modifiche

1. Iniziativa: trigger (regolatore, controllo-fide, incidente, pentest, architettura modificata).
2. Bozza: modifica del sistema di gestione documenti (Confluence/Git/Policy CMS).
3. Valutazione dell'impatto su processi, registro dei rischi, formazione, contratti, integrazione.
4. Allineamento: Legale/DPO/Compliance/Tech/Operations, approvazione finale dal proprietario.
5. Pubblicazione: assegnazione della versione, data di entrata in vigore, distribuzione.
6. Formazione/ricevuta, aggiornamento SOP/Runbook.
7. Monitoraggio, monitoraggio del rispetto, metriche, retrospettiva.

5) Modello dati registro (campi obbligatori)

«policy _ id» è un ID di criterio permanente.
«policy _ title» è il nome del documento.
«change _ id» è un identificativo univoco della modifica.
Versione semantica (MAJOR. MINOR. PATCH) o datato.

yaml change_id: POL-SEC-001-2025-11-01-M01 policy_id: POL-SEC-001 policy_title: Access Control Policy version: 2. 0. 0 change_type: MAJOR status: approved submitted_at: 2025-10-18T14:20:00Z approved_at: 2025-10-29T10:05:00Z published_at: 2025-10-30T09:00:00Z effective_from: 2025-11-15 proposer: d. kovalenko editor: secops. editors approver: ciso summary: Review roles and JIT access, enter quarterly-review.
rationale: "SOC Audit 2: CAPA-2025-17; incident # INC-5523"
risk_ref: RSK-AC-2025-004 legal_refs: ["ISO27001 A.5, A.8", "GDPR Art. 32"]
impact_scope: ["Prod Ops", "Payment Ops", "Affiliates"]
training_required: true attachments:
- link: confluence://AC-Policy-v2-diff
- link: git://policy-repo/pol-sec-001@v2. 0. 0 distribution_list: ["all@company", "ops@company", "vendors:payments"]
ack_required: true hold_flags: []

6) Requisiti di versione e tipo di modifica

MAGGIORE: modifica i requisiti/i controlli obbligatori, influisce sul controllo/i rischi; richiede formazione e transizione.
MINOR - Precisazioni, esempi, non cambiano il controllo.
PATCH - Modifica ortografia/riferimenti fast-track.
URGENT: modifiche urgenti a causa di un incidente/vulnerabilità; pubblicazione in ordine accelerato.
REGOLATORY: aggiornamento in relazione al nuovo regolatore/e-mail.

Versioning: fissa tag/release; immutabile gli artefatti PDF/HTML con hash.

7) Negoziazione workflow

1. Draft → Review - Verifica automatica del modello, dei collegamenti e dei metadati.
2. Multi-review: Legale/DPO/Compliance/Tech/Operations (parallelo/sequenziale).
3. Approval - Proprietario del dominio + Accountable.
4. Publish: generazione di una nota di uscita, registrazione, distribuzione, aggiornamento «effettiva _ from».
5. Acknowledgement - Raccolta ricevute dipendenti (LMS/HRIS).
6. Post-publish controlls - Operazioni per l'aggiornamento di SOP/contratti/script.

Regola delle due chiavi: la pubblicazione può essere effettuata solo con 2 più concordanze dall'elenco dei ruoli approvati.

8) Fissazione legale e congelamento (Legale Hold)

Quando un'indagine, una richiesta legale, un controllo regolatorio.
Cosa facciamo: flag «hold _ flags = [» legale «]», congelamento dell'eliminazione/revisione della versione, archivio WORM, registro azioni Hold.
Ritiro Hold: solo Legale/DPO; Tutte le azioni vengono registrate.

9) Privacy e regolazioni locali

Riduce al minimo il PII nel registro (memorizzare l'ID imployee anziché l'e-mail, se possibile).
Tempo di conservazione = «grafici di conservazione» (policy records di solito 5-7 anni).
DSAR/RTBF: il registro è escluso dall'eliminazione se esiste un obbligo di conservazione legale; Fissiamo la base legale.

10) Integrazioni

Confluence/Docs/Git - Origine di modifiche e artefatti (diff, PDF).
IAM/SSO: ruoli e attributi dei dipendenti Controllo dell'accesso al registro.
LMS/HRIS - Formazione, test, ricevuta.
GRC/IRM: correlazione con rischi, controlli, SARA/piani.
SIEM/Logi - Verifica delle operazioni di registro (chi ha visualizzato/esportato).
Ticketing (Jira/YouTrack) - Le attività iniziali e gli assegni di rilascio.

11) Metriche e SLO

Coverage:% di regole aggiornate con l'ultimo record (obiettivo 99%).
Time-to-Publish: tempo medio da «submitted _ at» a «published _ at» (obiettivo 14 giorni); urgent: 48 ore).
Ack-rate è la percentuale di dipendenti che confermano l'apprendimento (l'obiettivo è il 98% in 14 giorni).
Audit-readava- Percentuale di regole con un insieme completo di artefatti (diff, PDF, firme) (obiettivo 100%).
Exceptions closed:% di esclusioni o rifiuti di scadenza chiusi.
Access audit: 0 incidenti di accesso non autorizzato al registro.

12) Dashboard (set minimo di widget)

Il nastro delle ultime pubblicazioni e entrate in vigore.
Mappa degli stati per dominio (Sicurezza, Data, AML, Ops).
Mappa termica dei ritardi di negoziazione.
Istogramma Time-to-Publish/Time-in-Review.
Ack-rate per dipartimento e ruolo.
Elenco delle modifiche aperte REGOLATORY/URGENT.

13) Procedure e modelli

{policy_title} — {version}
Change ID: {change_id}      Type: {change_type}      Effective: {effective_from}
Summary: {summary}
Rationale: {rationale}
Impacts: {impact_scope}
Approvals: {approver} at {approved_at}
Artifacts: {links}
Training: {training_required}

• Completati tutti i campi obbligatori e i collegamenti agli artefatti
• Valutazione dell'impatto e aggiornamenti dei rischi
• Corrispondenze ricevute (dual-control)
• Pacchetto immutabile formato (PDF + hash)
• Mailing e campagna ack configurate
• Aggiornati SOP/Runbooks/contratti (se richiesto)

14) Controllo dell'accesso e della sicurezza

RBAC: ruoli di lettura/creazione/approvazione/archiviazione.
Just-in-Time - Autorizzazioni temporanee per la pubblicazione/esportazione.
Crittografia: TLS in-transit, KMS at-rest; Divieto di esportazione anonima.
Controllo: i loghi di tutte le operazioni, gli alert per le attività insolite (esporti di massa, modifiche frequenti).

15) Implementazione per passo

1. Catalogo delle regole e dei loro proprietari.

2. Un unico modello di scrittura + campi obbligatori.

3. Registro in Confluence/Notion o semplice Policy-CMS; esportazione del PDF immutabile.

4. Workflow di base e campagna ack tramite posta elettronica/LMS.

5. Ruoli di accesso e registrazione delle attività.

• Integrazione con Git per la versioning differenziale e semantica.
• Connessioni GRC con rischi/controllo, report di verifica.
• Dashboard KPI/SLO, promemoria automatica.

• API/webhoop per sistemi esterni, rule-as-code per la verifica della conformità al modello.
• Legale Hold + archivio WORM, crittopodesche di pacchetti di release.
• Multiutility (tag mercati/lingue/versioni).

16) Errori frequenti e come evitarli

Modifiche al di fuori del registro: non pubblicazioni senza scrittura, controlli automatici.
Nessun collegamento/referenze - Rendi obbligatorio il campo + modelli di origine (regolatore, controllo, incidente).
Nessun controllo ack: integra LMS/HRIS e controlla KPI.
Miscelare bozze e pubblicazioni: utilizzare spazi/rami separati.
Accesso a tutti: RBAC rigoroso, controllo di lettura dell'esportazione.

17) Glossario (brevemente)

Policy è un documento di gestione obbligatorio.
Standard/Procedure/SOP - Dettagli e ordine di esecuzione.
CAPA - Azioni di correzione e avvertenza.
Acknowledgement (ack) - Conferma della conoscenza da parte del dipendente.
Legale Hold - congelamento legale delle modifiche/rimozioni.

18) Totale

Il registro delle modifiche alle regole non è solo una cronologia delle modifiche, ma un processo gestito con ruoli chiari, modello di dati, controlli di accesso, fissazione legale e metriche. La sua implementazione maturata accelera le verifiche, riduce i rischi di non conformità e migliora la disciplina operativa in tutta l'organizzazione.