Jurnal de modificare a politicii

1) Scop și valoare

• Istoria transparentă a schimbării: cine, ce, când și de ce.
• Respectarea auditorilor/autorităților de reglementare (ISO 27001, SOC 2, PCI DSS, GDPR și reglementările locale).
• Managementul riscurilor: corelarea modificărilor cu evaluările riscurilor, incidentele și planurile CAPA.
• O singură sursă de adevăr pentru angajați, furnizori și parteneri.

Rezultat: riscul operațional și de conformitate este redus, auditurile și investigațiile sunt accelerate, timpul de îmbarcare este redus.

2) Domeniul de aplicare

• Securitate și acces: politica de securitate a informațiilor, gestionarea incidentelor, vulnerabilități, chei/criptare, management secret, politica de parole, IAM.
• Date și confidențialitate: GDPR/DSAR/RTBF, stocare și ștergere, clasificarea datelor, DLP, jurnale și audit.
• Finanțe/AML/KYC: AML/KYB/KYC, examinarea sancțiunilor, dovada sursei fondurilor.
• Operațiuni: BCP/DRP, managementul schimbării, politica de lansare, RACI, SRE/SLO.
• Legislație/reglementare: cerințe ale pieței locale, restricții de publicitate, joc responsabil.

3) Roluri și responsabilități (RACI)

R (Responsabil): Proprietar de politici și editor de politici.
A (Responsabil): Proprietar de document al domeniului/CISO/șef de conformitate.
C (Consultat): Legal/DPO, Risk, SRE/Operations, Product, Data.
I (Informat): Toți angajații, contractori externi (dacă este necesar).

Principii: dual-control per publicație; segregarea taxelor; Consultatii legale/DPO obligatorii pentru PII/subiecte de reglementare.

4) Schimbarea ciclului de viață

1. Inițiativă: declanșator (cerință de reglementare, finanțare audit, incident, test de penetrare, schimbare arhitectură).
2. Proiect - Modificarea sistemului de management al documentelor (Confluence/Git/Policy CMS).
3. Evaluarea impactului: privind procesele, registrul riscurilor, formarea, contractele, integrările.
4. Aprobare: Legal/DPO/Compliance/Tech/Operations, aprobarea finală a proprietarului.
5. Publicație: versiune de atribuire, data efectivă, distribuție.
6. Onboarding: instruire/confirmare, actualizare SOP/Runbook.
7. Monitorizare: controlul conformității, măsurători, retrospective.

5) Model de date jurnal (câmpuri obligatorii)

'politicy _ id' este un ID constant al politicii.
„politicy _ title” este titlul documentului.
'change _ id' este identificatorul unic al modificării.
'version' - versiune semantică (MAJOR. MINOR. PLASTURE) sau datat.

yaml change_id: POL-SEC-001-2025-11-01-M01 policy_id: POL-SEC-001 policy_title: Access Control Policy version: 2. 0. 0 change_type: MAJOR status: approved submitted_at: 2025-10-18T14:20:00Z approved_at: 2025-10-29T10:05:00Z published_at: 2025-10-30T09:00:00Z effective_from: 2025-11-15 proposer: d. kovalenko editor: secops. editors approver: ciso summary: Review roles and JIT access, enter quarterly-review.
rationale: "SOC Audit 2: CAPA-2025-17; incident # INC-5523"
risk_ref: RSK-AC-2025-004 legal_refs: ["ISO27001 A.5, A.8", "GDPR Art. 32"]
impact_scope: ["Prod Ops", "Payment Ops", "Affiliates"]
training_required: true attachments:
- link: confluence://AC-Policy-v2-diff
- link: git://policy-repo/pol-sec-001@v2. 0. 0 distribution_list: ["all@company", "ops@company", "vendors:payments"]
ack_required: true hold_flags: []

6) Versiunea și modificarea cerințelor de tip

MAJOR: modifică cerințele/controalele obligatorii, afectează auditul/riscurile; necesită formare și tranziție.
MINOR: rafinamente, exemple, nu schimba controlul in esenta.
PATCH: ortografie/referire editări; fast-track.
URGENT: corecție urgentă din cauza incidentului/vulnerabilității; publicarea în regim de urgență.
REGLEMENTARE: actualizată datorită noii scrisori a actului de reglementare/autorității de reglementare.

Versioning: fixați etichetele/versiunile; artefacte imuabile PDF/HTML cu hash.

7) Fluxul de lucru de aprobare

1. Draft → Review - șablon de auto-verificare, link-uri și metadate.
2. Multi-review: Legal/DPO/Compliance/Tech/Operations (paralel/secvențial).
3. Aprobare: proprietar de domeniu + Responsabil.

4. Publicați: generarea unei note de lansare, scrierea la Jurnal, corespondență, actualizarea „effective_from.”

5. Confirmare: colectarea confirmării angajaților (LMS/HRIS).
6. Controale post-publicare: sarcini de actualizare SOP/contract/script.

Regulă cu două taste: Publicarea este posibilă numai cu 2 + aprobări din lista rolurilor aprobate.

8) Păstrarea legală

Când: anchetă, cerere legală, revizuire de reglementare.
Ce facem: steag 'hold _ flags = [„legal”]', freeze deletation/version revisions, WORM archive, Hold activity log.
Retragere: numai juridic/DPO; toate acțiunile sunt înregistrate.

9) Confidențialitate și reglementări locale

Minimizarea PII în jurnal (ID-ul angajatului magazin în loc de e-mail, dacă este posibil).
Perioadele de păstrare = „programele de păstrare” (înregistrările de politică sunt de obicei de 5-7 ani).
DSAR/RTBF: jurnalul este exclus de la ștergere dacă există o obligație legală de custodie; stabilim baza legală.

10) Integrări

Confluence/Docs/Git: sursa de modificări și artefacte (diff, PDF).
IAM/SSO: rolurile și atributele angajaților Audit log access.
LMS/HRIS: antrenament, teste, confirmare.
GRC/IRM: relația cu riscurile, controalele, CAPA/planuri.
SIEM/Logs: auditul operațiunilor jurnalului (cine a vizualizat/exportat).
Ticketing (Jira/YouTrack): inițierea sarcinilor și eliberarea listelor de verificare.

11) Metrics și SLO

Acoperire:% din politicile curente cu ultima intrare în jurnal (țintă ≥ 99%).
Time-to-Publish: timpul median de la 'emited _ at' la 'published _ at' (țintă ≤ 14 zile; urgentă ≤ 48 ore).
Ack-rate: proporția angajaților care au confirmat cunoștința (țintă ≥ 98% în 14 zile).
Pregătirea pentru audit: proporția politicilor cu un set complet de artefacte (diff, PDF, semnături) (obiectiv 100%).
Excepții închise:% excepții/abateri închise până la dată.
Audit de acces: 0 incidente neautorizate de acces la jurnal.

12) Tablou de bord (set minim de widget-uri)

Hrana pentru animale de publicații recente și enacments.
Harta statusului pe domenii (Securitate, Date, AML, Ops).
Harta termică a întârzierilor în aprobare.
Timp de publicare/histogramă Time-in-Review.
Ack-rate pe departament și rol.
Lista modificărilor deschise de reglementare/urgente.

13) Proceduri și șabloane

{policy_title} — {version}
Change ID: {change_id}      Type: {change_type}      Effective: {effective_from}
Summary: {summary}
Rationale: {rationale}
Impacts: {impact_scope}
Approvals: {approver} at {approved_at}
Artifacts: {links}
Training: {training_required}

• Toate câmpurile necesare și referințele artefacte completate
• Evaluarea impactului și actualizarea riscurilor
• Dual-control
• Pachet imuabil generat (PDF + hash)
• Mailings și ack campanie configurată
• Actualizat SOP/Runbooks/contracte (dacă este necesar)

14) Controlul și securitatea accesului

RBAC Read/Create/Approve/Archive roluri.
Just-in-Time: autoritate temporară de publicare/export.
Criptare: TLS în tranzit, KMS în repaus; interzicerea exporturilor anonime.
Audit: jurnale ale tuturor operațiunilor, alerte pentru acțiuni neobișnuite (exporturi în masă, modificări frecvente).

15) Punerea în aplicare prin pași

1. Director de politici și proprietarii lor.

2. Un singur șablon de înregistrare + câmpuri obligatorii.

3. Registry in Confluence/Notion sau simplu Policy-CMS; exportul de PDF imuabil.

4. Fluxul de lucru de bază al aprobărilor și campania ack prin poștă/LMS.

5. Roluri de acces și exploatarea forestieră a activității.

• Integrarea cu Git pentru diff și versiuni semantice.
• Legături GRC cu riscuri/controale, rapoarte pentru audit.
• Tablou de bord KPI/SLO, memento-uri automate după dată.

• API/webhook-uri pentru sisteme externe, potrivirea tiparului regulii ca cod.
• Legal Hold + arhivă WORM, semnături criptografice ale pachetelor de lansare.
• Multi-jurisdicționalitate (etichete după piață/limbă/versiune).

16) Greșeli frecvente și cum să le evitați

Modificări în afara jurnalului: Negați publicațiile neînregistrate, verificări automate.
Nu există motive/referințe: faceți câmpul obligatoriu + șabloane sursă (regulator, audit, incident).
Fără control ack: Integrați KPI-urile LMS/HRIS și track.
Se amestecă proiecte și publicații - Utilizați spații/ramuri separate.
Accesați „toate”: RBAC strict, audit de citire a exporturilor.

17) Glosar (scurt)

Politica - un document de management cu cerințe obligatorii.
Standard/Procedura/SOP - granularitate si ordin de executie.
CAPA - acțiuni corective și preventive.
Confirmare (ack) - confirmarea familiarizării de către angajat.
Legal Hold - înghețarea legală a modificărilor/ștergerilor.

18) Linia de jos

Jurnalul de modificare a politicii nu este doar o „istorie a editărilor”, ci un proces gestionat cu roluri clare, un model de date, controale de acces, fixare legală și metrici. Implementarea sa matură accelerează auditurile, reduce riscurile de neconformitate și crește disciplina operațională în întreaga organizație.