პოლიტიკის ცვლილების ჟურნალი

1) დანიშნულება და ღირებულება

• ცვლილებების გამჭვირვალე ისტორია: ვინ, როდის და რატომ.
• აუდიტორების/რეგულატორების მოთხოვნების დაცვა (ISO 27001, SOC 2, PCI DSS, GDPR და ადგილობრივი ნორმები).
• რისკების მენეჯმენტი: რისკის, ინციდენტებისა და CAPA გეგმების ცვლილებასთან ერთად.
• ჭეშმარიტების ერთი წყარო თანამშრომლებისთვის, პროვაიდერებისა და პარტნიორებისთვის.

შედეგი: ოპერაციული და შესაბამისობის რისკი მცირდება, აუდიტი და გამოძიება დაჩქარდება, ონბორდის დრო მცირდება.

2) დაფარვის არეალი (სკოპი)

• უსაფრთხოება და წვდომა: IB პოლიტიკა, ინციდენტების მართვა, დაუცველობა, გასაღებები/დაშიფვრა, საიდუმლო მენეჯმენტი, პაროლის პოლიტიკა, IAM.
• მონაცემები და კონფიდენციალურობა: GDPR/DSAR/RTBF, შენახვა და მოცილება, მონაცემთა კლასიფიკაცია, DLP, ლოგოები და აუდიტი.
• ფინანსები/AML/KYC: AML/KYB/KYC, სანქციების სკრინინგი, სახსრების წყაროს დადასტურება.
• ოპერაციები: BCP/DRP, ცვლილების მენეჯმენტი, გამოშვებული პოლიტიკა, RACI, SRE/SLO.
• იურიდიული/მარეგულირებელი: ადგილობრივი ბაზრის მოთხოვნები, სარეკლამო შეზღუდვები, პასუხისმგებელი თამაში.

3) როლები და პასუხისმგებლობა (RACI)

R (Responsible): პოლიტიკის მფლობელი და რედაქტორი.
A (Accountable): დომენის მფლობელი/CISO/Head of Compliance.
C (Consulted): Legal/DPO, Risk, SRE/Operations, Product, Data.
I (ინფორმირებული): ყველა თანამშრომელი, გარე კონტრაქტორები (საჭიროების შემთხვევაში).

პრინციპები: ორმაგი კონტროლი გამოქვეყნებისთვის; პასუხისმგებლობის სეგრეგაცია; სავალდებულო კონსულტაციები იურიდიული/DPO PII/მარეგულირებელი თემებისთვის.

4) ცხოვრების ციკლი

1. ინიციატივა: გამომწვევი (მარეგულირებელი მოთხოვნა, აუდიტის დადება, ინციდენტი, პენტესტი, არქიტექტურის ცვლილება).
2. პროექტი: დოკუმენტების მართვის სისტემაში ცვლილება (Confluence/Git/Policy CMS).
3. გავლენის შეფასება: პროცესებზე, რისკის რეესტრზე, ტრენინგზე, ხელშეკრულებებზე, ინტეგრაციაზე.
4. კოორდინაცია: Legal/DPO/Compliance/Tech/Operations, მფლობელის საბოლოო განცხადება.
5. პუბლიკაცია: ვერსიის მინიჭება, ძალაში შესვლის თარიღი, გაგზავნა.
6. ონბორდი: ტრენინგი/ქვითარი, SOP/Runbook- ის განახლება.
7. მონიტორინგი: შესაბამისობის კონტროლი, მეტრიკა, რეტროსპექტივა.

5) ჟურნალის მონაცემთა მოდელი (სავალდებულო ველები)

'policy _ id' არის პოლიტიკის მუდმივი იდენტიფიკატორი.
'policy _ title' - დოკუმენტის სახელი.
'change _ id' არის უნიკალური ცვლილების იდენტიფიკატორი.
'version' - სემანტიკური ვერსია (MAJOR. MINOR. PATCH) ან დათარიღებული.

yaml change_id: POL-SEC-001-2025-11-01-M01 policy_id: POL-SEC-001 policy_title: Access Control Policy version: 2. 0. 0 change_type: MAJOR status: approved submitted_at: 2025-10-18T14:20:00Z approved_at: 2025-10-29T10:05:00Z published_at: 2025-10-30T09:00:00Z effective_from: 2025-11-15 proposer: d. kovalenko editor: secops. editors approver: ciso summary: Review roles and JIT access, enter quarterly-review.
rationale: "SOC Audit 2: CAPA-2025-17; incident # INC-5523"
risk_ref: RSK-AC-2025-004 legal_refs: ["ISO27001 A.5, A.8", "GDPR Art. 32"]
impact_scope: ["Prod Ops", "Payment Ops", "Affiliates"]
training_required: true attachments:
- link: confluence://AC-Policy-v2-diff
- link: git://policy-repo/pol-sec-001@v2. 0. 0 distribution_list: ["all@company", "ops@company", "vendors:payments"]
ack_required: true hold_flags: []

6) მოთხოვნები ვერსიისა და ცვლილებების ტიპებისთვის

MAJOR: ცვლის სავალდებულო მოთხოვნებს/კონტროლს, გავლენას ახდენს აუდიტზე/რისკებზე; მოითხოვს ტრენინგს და გარდამავალ პერიოდს.
MINOR: განმარტებები, მაგალითები, ფაქტობრივად არ ცვლის კონტროლს.
PATCH: მართლწერა/ბმულები; fast-track.
URGENT: გადაუდებელი რედაქტირება ინციდენტის/დაუცველობის გამო; პუბლიკაცია დაჩქარებული წესით.
REGULATORY: განახლება რეგულატორის ახალი მარეგულირებელი აქტის/წერილის გამო.

ვერსია: ჩაწერეთ ჭდეები/გამოშვებები; immutable PDF/HTML არტეფაქტები ჰეშით.

7) სამუშაო თანხმობა

1. Draft - მიმოხილვა: შაბლონის, ბმულების და მეტამონაცემების მანქანის შემოწმება.
2. მრავალჯერადი მიმოხილვა: Legal/DPO/Compliance/Tech/Operations (პარალელი/თანმიმდევრობით).
3. Approval: დომენის მფლობელი + Accountable.
4. Publish: გამოცემის ნოტის წარმოება, ჩანაწერი ჟურნალში, ბიულეტენში, „ეფექტური _ from“ - ის განახლება.
5. Acknowledgement: თანამშრომლების ქვითრების შეგროვება (LMS/HRIS).
6. Post-publish Controls: დავალებები SOP/ხელშეკრულებების/სკრიპტების განახლებისთვის.

ორი გასაღების წესი: გამოქვეყნება შესაძლებელია მხოლოდ 2 + კოორდინაციით დამტკიცებული როლების სიიდან.

8) იურიდიული ფიქსაცია და გაყინვა

როდის: გამოძიება, სასამართლო მოთხოვნა, მარეგულირებელი აუდიტი.
რას ვაკეთებთ: დროშა 'hold _ flags = [„legal“]', ვერსიის მოცილების/გამოცემების გაყინვა, WORM არქივი, Hold სამოქმედო ჟურნალი.
Hold- ის ამოღება: მხოლოდ Legal/DPO; ყველა მოქმედება პროტოკოლირებულია.

9) კონფიდენციალურობა და ადგილობრივი რეგულაციები

ჟურნალში PII- ის მინიმიზაცია (შეინახეთ employee ID ელექტრონული ფოსტის ნაცვლად, თუ შესაძლებელია).
შენახვის ვადა = „შენახვის გრაფიკი“ (პოლიცია ჩანაწერები, ჩვეულებრივ, 5-7 წელია).
DSAR/RTBF: ჟურნალი გამორიცხულია ამოღებისგან, თუ არსებობს შენახვის კანონიერი ვალდებულება; ჩვენ აღვნიშნავთ იურიდიულ საფუძველს.

10) ინტეგრაცია

Concluence/Docs/Git: რედაქტირების და არტეფაქტების წყარო (diff, PDF).
IAM/SSO: თანამშრომლების როლები და ატრიბუტები; ჟურნალის წვდომის აუდიტი.
LMS/HRIS: ტრენინგი, ტესტები, ქვითრები.
GRC/IRM: კომუნიკაცია რისკებთან, კონტროლებთან, SARA/გეგმებთან.
SIEM/Logs: ჟურნალის ოპერაციების აუდიტი (ვინ უყურებს/ექსპორტს).
Ticketing (Jira/YouTrack): ინიციატორული დავალებები და ჩეკების ფურცლები.

11) მეტრიკა და SLO

Coverage: შესაბამისი პოლიტიკოსის% ჟურნალში ბოლო ჩანაწერით (მიზანი 99%).
Time-to-Publish: დროის საშუალო „subbitted _ at“ - დან 'published _ at' - მდე (მიზანი - 14 დღე; urgent - 48 საათი).
Ack-rate: იმ თანამშრომლების წილი, რომლებმაც დაადასტურეს გაცნობა (მიზანი - 98% 14 დღის განმავლობაში).
Audit readiness: პოლიტიკოსის წილი სრული არტეფაქტებით (diff, PDF, ხელმოწერები) (მიზანი 100%).
Exceptions closed: დახურული გამონაკლისების/გადახრების%.
Access audit: 0 ინციდენტი ჟურნალში უნებართვო წვდომისთვის.

12) დაშბორდი (ვიჯეტების მინიმალური ნაკრები)

უახლესი პუბლიკაციების ფირზე და ძალაში შესვლისთანავე.
დომენის სტატუსის რუკა (უსაფრთხოება, Data, AML, Ops).
თერმული რუკა შეფერხებულია კოორდინაციით.
Histogram to-Publish/Time-in-Review.
Ack-rate განყოფილებებისა და როლებისთვის.
ღია REGULATORY/URGENT ცვლილებების სია.

13) პროცედურები და შაბლონები

{policy_title} — {version}
Change ID: {change_id}      Type: {change_type}      Effective: {effective_from}
Summary: {summary}
Rationale: {rationale}
Impacts: {impact_scope}
Approvals: {approver} at {approved_at}
Artifacts: {links}
Training: {training_required}

• ივსება ყველა სავალდებულო ველი და მითითება არტეფაქტებზე
• შეაფასეს გავლენა და განახლდა რისკები
• მიღებულია შეთანხმება
• იქმნება immutable პაკეტი (PDF + hash)
• საფოსტო გზავნილები და Ack კამპანია
• განახლებულია SOP/Runbooks/კონტრაქტები (საჭიროების შემთხვევაში)

14) წვდომის კონტროლი და უსაფრთხოება

RBAC: როლები კითხვაზე/შექმნაზე/განცხადებაზე/არქივზე.
Just-in-Time: გამოქვეყნების/ექსპორტის დროებითი უფლებამოსილება.
დაშიფვრა: TLS in-transit, KMS at-rest; ანონიმური ექსპორტის აკრძალვა.
აუდიტი: ყველა ოპერაციის ლოგოები, ალერტები უჩვეულო ქმედებებისთვის (მასობრივი ექსპორტები, ხშირი კორექტირება).

15) ნაბიჯების განხორციელება

1. კატალოგი პოლიტიკოსი და მათი მფლობელები.

2. ერთი ჩაწერის შაბლონი + სავალდებულო ველები.

3. რეესტრი Confluence/Notion ან მარტივი პოლიტიკა-CMS; immutable PDF ექსპორტი.

4. ძირითადი სამუშაო კოორდინაციები და აკკის კამპანია ფოსტით/LMS.

5. წვდომის როლები და მოქმედებების ჟურნალისტიკა.

• ინტეგრაცია Git- სთან diff და სემანტიკური ვერსიისთვის.
• GRC კავშირები რისკებთან/კონტროლებთან, აუდიტის ანგარიშები.
• დაშბორდი KPI/SLO, ავტომატური შეხსენებები ვადებში.

• API/ვებჰუკი გარე სისტემებისთვის, შეამოწმეთ შაბლონის შესაბამისობა.
• Legal Hold + WORM არქივი, კრიპტოგრაფიული ჩანაწერების გამოშვება.
• მულტიურისტიკა (ჭდეები ბაზრებზე/ენებზე/ვერსიებში).

16) ხშირი შეცდომები და როგორ მოვერიდოთ მათ

ჟურნალის გარეთ ცვლილებები: პუბლიკაციების აკრძალვა ჩაწერის გარეშე, ავტომატური შემოწმება.
არ არსებობს საერთო/ბმულები: გააკეთეთ სავალდებულო ველი + წყაროების შაბლონები (რეგულატორი, აუდიტი, ინციდენტი).
არ არსებობს ack კონტროლი: ინტეგრირება LMS/HRIS და თვალყური ადევნეთ KPI.
მონახაზებისა და პუბლიკაციების ნაზავი: გამოიყენეთ ინდივიდუალური სივრცეები/ფილიალები.
წვდომა „ყველასთვის“: მკაცრი RBAC, ექსპორტის კითხვის აუდიტი.

17) გლოსარიუმი (მოკლედ)

პოლიტიკა - მენეჯმენტის დოკუმენტი სავალდებულო მოთხოვნებით.
სტანდარტული/Procedure/SOP - დეტალიზაცია და შესრულების წესი.
CAPA არის მაკორექტირებელი და გამაფრთხილებელი მოქმედებები.
Acknowledgement (ack) - დადასტურება თანამშრომლის გაცნობის შესახებ.
Legal Hold არის ცვლილებების/მოცილების იურიდიული გაყინვა.

18) შედეგი

პოლიტიკოსის ცვლილების ჟურნალი არა მხოლოდ „ცვლილებების ისტორიაა“, არამედ კონტროლირებადი პროცესი მკაფიო როლებით, მონაცემთა მოდელი, წვდომის კონტროლი, იურიდიული ფიქსაცია და მეტრიკა. მისი სექსუალური განხორციელება აჩქარებს აუდიტს, ამცირებს შეუსაბამობის რისკს და ზრდის ოპერაციულ დისციპლინას მთელ ორგანიზაციაში.