Рӯйхати тағйири сиёсат

1) Мақсад ва арзиш

• Таърихи шаффофи тағирот: кӣ, чӣ, кай ва чаро.
• Мувофиқат бо аудиторҳо/танзимгарон (ISO 27001, SOC 2, PCI DSS, GDPR ва қоидаҳои маҳаллӣ).
• Идоракунии хавфҳо: пайвастани тағирот ба арзёбии хатарҳо, ҳодисаҳо ва нақшаҳои CAPA.
• Манбаи ягонаи ҳақиқат барои кормандон, провайдерҳо ва шарикон.

Натиҷа: хатари амалиётӣ ва мутобиқат коҳиш меёбад, аудитҳо ва тафтишот суръат мегиранд, вақти киштӣ кам карда мешавад.

2) Ҳаҷм

• Амният ва дастрасӣ: сиёсати амнияти иттилоотӣ, идоракунии ҳодисаҳо, осебпазирӣ, калидҳо/рамзгузорӣ, идоракунии махфӣ, сиёсати парол, IAM.
• Маълумот ва махфият: GDPR/DSAR/RTBF, нигоҳдорӣ ва несткунӣ, таснифи маълумот, DLP, гузоришҳо ва аудит.
• Молия/AML/KYC: AML/KYB/KYC, таҳқиқи санксия, далели манбаи маблағ.
• Амалиётҳо: BCP/DRP, идоракунии тағирот, сиёсати озодкунӣ, RACI, SRE/SLO.
• Ҳуқуқӣ/танзимкунанда: талаботи бозори маҳаллӣ, маҳдудиятҳои таблиғотӣ, бозии масъулиятнок.

3) Нақшҳо ва масъулиятҳо (RACI)

R (масъул): Соҳиби сиёсат ва муҳаррири сиёсат.
A (Ҳисоботдиҳӣ): Соҳиби ҳуҷҷати домен/CISO/Роҳбари мувофиқат.
C (Машварат): Ҳуқуқӣ/DPO, Хавф, SRE/Амалиёт, Маҳсулот, Маълумот.
Ман (Маълумот): Ҳама кормандон, пудратчиёни беруна (дар ҳолати зарурӣ).

Принсипҳо: назорати дугона дар як нашрия; тақсимоти вазифаҳо; машваратҳои ҳатмии ҳуқуқӣ/DPO барои PII/мавзӯъҳои танзимкунанда.

4) Тағйир додани давраи ҳаёт

1. Ташаббус: триггер (талаботи танзим, маблағгузории аудит, ҳодиса, санҷиши воридшавӣ, тағирёбии меъморӣ).
2. Лоиҳа - Тағирот дар системаи идоракунии ҳуҷҷатҳо (омезиш/Git/Policy CMS).
3. Арзёбии таъсир: оид ба равандҳо, бақайдгирии хатарҳо, омӯзиш, шартномаҳо, ҳамгироӣ.
4. Тасдиқ: Ҳуқуқӣ/DPO/Мувофиқат/Tech/Амалиёт, тасдиқи ниҳоии соҳибон.
5. Нашр: таъини версия, санаи самаранок, паҳнкунӣ.
6. Дар интернат: омӯзиш/эътироф, навсозии SOP/Runbook.
7. Мониторинг: назорати мутобиқат, ченакҳо, ретроспектива.

5) Модели маълумотҳои журнал (майдонҳои зарурӣ)

'policy _ id' ID-и доимии сиёсат аст.
'policy _ title' унвони ҳуҷҷат аст.
'change _ id' идентификатори беназири тағирот аст.
'version' - нусхаи семантикӣ (MAJOR. МИНОР. PATCH) ё санаи.

yaml change_id: POL-SEC-001-2025-11-01-M01 policy_id: POL-SEC-001 policy_title: Access Control Policy version: 2. 0. 0 change_type: MAJOR status: approved submitted_at: 2025-10-18T14:20:00Z approved_at: 2025-10-29T10:05:00Z published_at: 2025-10-30T09:00:00Z effective_from: 2025-11-15 proposer: d. kovalenko editor: secops. editors approver: ciso summary: Review roles and JIT access, enter quarterly-review.
rationale: "SOC Audit 2: CAPA-2025-17; incident # INC-5523"
risk_ref: RSK-AC-2025-004 legal_refs: ["ISO27001 A.5, A.8", "GDPR Art. 32"]
impact_scope: ["Prod Ops", "Payment Ops", "Affiliates"]
training_required: true attachments:
- link: confluence://AC-Policy-v2-diff
- link: git://policy-repo/pol-sec-001@v2. 0. 0 distribution_list: ["all@company", "ops@company", "vendors:payments"]
ack_required: true hold_flags: []

6) Талаботи навъи версия ва тағирот

MAJOR: талабот/назорати ҳатмиро тағир медиҳад, ба аудит/хатарҳо таъсир мерасонад; омӯзиш ва гузаришро талаб мекунад.
MINOR: такмилҳо, намунаҳо, назоратро дар асл тағйир намедиҳанд.
PATCH: таҳрири имло/истинод; суръати тез.
URGENT: ислоҳи фаврӣ бо сабаби ҳодиса/осебпазирӣ; нашр ба таври фаврӣ.
ТАНЗИМОТ: бо сабаби мактуби нави танзим/танзимкунанда таҷдид карда шуд.

Версия: ислоҳ кардани барчасбҳо/релизҳо; артефактҳои ивазнашавандаи PDF/HTML бо ҳаш.

7) Ҷараёни тасдиқи кор

1. Лоиҳаи → Шарҳи - Қолаби худкор, пайвандҳо ва метамаълумот.
2. Шарҳи бисёрҷониба: Ҳуқуқӣ/DPO/Мувофиқат/Технология/Амалиёт (параллел/пайдарпай).
3. Тасдиқ: соҳиби домен + Ҳисоботдиҳанда.

4. Нашр: тавлиди ёддошти нашр, навиштан ба Журнал, фиристодани почта, навсозии "effective_from."

5. Эътироф: ҷамъоварии эътирофи кормандон (LMS/HRIS).
6. Назорати пас аз нашр: Вазифаҳои SOP/шартнома/навсозии скрипт.

Қоидаи ду калид: Нашр танҳо бо 2 + тасдиқ аз рӯйхати нақшҳои тасдиқшуда имконпазир аст.

8) Нигоҳдории ҳуқуқӣ

Кай: тафтишот, дархости ҳуқуқӣ, баррасии танзим.
Мо чӣ кор мекунем: парчам 'hold _ flags = ["ҳуқуқӣ"]', нусхабардории несткунӣ/версия, бойгонии WORM, сабти фаъолият.
Бозхонд: Танҳо ҳуқуқӣ/DPO; ҳамаи амалҳо ба қайд гирифта шудаанд.

9) Махфият ва танзими маҳаллӣ

Кам кардани PII дар журнал (агар имкон бошад, корманди ID-ро ба ҷои почтаи электронӣ нигоҳ доред).
Давраҳои нигоҳдорӣ = "ҷадвалҳои нигоҳдорӣ" (сабтҳои сиёсат одатан 5-7 сол мебошанд).
DSAR/RTBF: дар сурати мавҷуд будани вазифаи қонунии нигоҳдорӣ, дафтар аз несткунӣ хориҷ карда мешавад; мо асоси ҳуқуқиро ислоҳ мекунем.

10) Интегратсия

Омезиш/Ҳуҷҷатҳо/Git: манбаи таҳрирҳо ва артефактҳо (diff, PDF).
IAM/SSO: нақшҳо ва хусусиятҳои дастрасӣ ба сабти аудит.
LMS/HRIS: омӯзиш, санҷишҳо, эътироф.
GRC/IRM: муносибат бо хатарҳо, назорат, CAPA/нақшаҳо.
SIEM/Logs: аудити амалиёти журнал (онҳое, ки дидаанд/содир кардаанд).
Билетҳо (Jira/YouTrack): оғоз кардани вазифаҳо ва рӯйхати рӯйхатҳо.

11) Метрика ва SLO

Фарогирӣ:% сиёсатҳои ҷорӣ бо сабти охирин (ҳадаф ≥ 99%).
Вақт барои нашр: вақти медианӣ аз 'пешниҳодшуда _ at' то 'published _ at' (ҳадаф ≤ 14 рӯз; таъҷилӣ ≤ 48 соат).
Акк-меъёр: таносуби кормандоне, ки шиносиро тасдиқ кардаанд (ҳадаф ≥ 98% дар 14 рӯз).
Омодагии аудит: таносуби сиёсатҳо бо маҷмӯи пурраи артефактҳо (diff, PDF, имзоҳо) (ҳадафи 100%).
Истисноҳо пӯшида шудаанд:% истисноҳо/тамоюлҳои пӯшида аз рӯи сана.
Аудити дастрасӣ: 0 ҳодисаи дастрасии беиҷозат ба сабти ном.

12) Панели панел (маҷмӯи ҳадди ақали виджетҳо)

Таъом додани нашрияҳо ва амалҳои охирин.
Харитаи вазъ аз рӯи домен (Амният, Маълумот, AML, Ops).
Харитаи гармии таъхирҳо дар тасдиқ.
Вақт ба нашр/Гистограммаи Time-in-Review.
Ack-меъёри аз ҷониби шӯъба ва нақш.
Рӯйхати тағиротҳои кушодаи ТАНЗИМОТ/URGENT.

13) Тартибот ва қолабҳо

{policy_title} — {version}
Change ID: {change_id}      Type: {change_type}      Effective: {effective_from}
Summary: {summary}
Rationale: {rationale}
Impacts: {impact_scope}
Approvals: {approver} at {approved_at}
Artifacts: {links}
Training: {training_required}

• Ҳама майдонҳо ва истинодҳои артефактӣ пур карда шудаанд
• Таъсир арзёбӣ ва хатарҳо нав карда шуданд
• Назорати дугона
• Бастаи ивазнашаванда (PDF + hash)
• Почтаҳо ва маъракаи ack танзим карда шуданд
• Навсозии SOP/Runbook/шартномаҳо (агар лозим бошад)

14) Назорати дастрасӣ ва амният

RBAC нақшҳои хондан/эҷод кардан/тасдиқ кардан/бойгонӣ.
Just-in-Time: мақомоти муваққатии нашр/содирот.
Рамзгузорӣ: TLS дар транзит, KMS дар истироҳат; манъ кардани содироти номаълум.
Аудит: гузоришҳои ҳама амалиётҳо, огоҳиҳо дар бораи амалҳои ғайриоддӣ (содироти оммавӣ, таҳрирҳои зуд-зуд).

15) Амалисозӣ аз рӯи қадамҳо

1. Феҳристи сиёсатҳо ва соҳибони онҳо.

2. Қолаби ягонаи сабт + майдонҳои зарурӣ.

3. Феҳрист дар омезиш/мафҳум ё сиёсати оддӣ-CMS; содироти PDF тағйирнопазир.

4. Ҷараёни асосии кори тасдиқҳо ва маъракаи акк тавассути почта/LMS.

5. Дастрасӣ ба нақшҳо ва сабти ном.

• Интегратсия бо Git барои версияи диффӣ ва семантикӣ.
• GRC-пайвандҳо бо хатарҳо/назорат, ҳисоботҳо барои аудит.
• Панели панели KPI/SLO, ёдраскуниҳои автоматӣ аз рӯи сана.

• API/webhooks барои системаҳои беруна, мувофиқати қоида ҳамчун рамз.
• Бойгонии ҳуқуқӣ + WORM, имзоҳои криптографии бастаҳои озодкунӣ.
• Бисёр юрисдиксия (барчаспҳо аз рӯи бозор/забон/версия).

16) Хатогиҳои зуд-зуд ва чӣ гуна аз онҳо канорагирӣ кардан

Тағироти берун аз маҷалла: Нашрияҳои сабтнашударо рад кунед, чекҳои автоматӣ.
Ягон асос/истинод вуҷуд надорад: майдонро ҳатмӣ + қолабҳои манбаъ (танзимкунанда, аудит, ҳодиса) созед.
Назорати акк нест: LMS/HRIS-ро ҳамгиро кунед ва KPI-ро пайгирӣ кунед.
Нақшаҳо ва нашрияҳоро омехта кунед - Фазо/шохаҳои алоҳидаро истифода баред.
Дастрасӣ ба "ҳама": RBAC-и қатъӣ, аудити хониши содиротӣ.

17) Луғат (мухтасар)

Сиёсат - ҳуҷҷати идоракунӣ бо талаботи ҳатмӣ.
Стандарт/Тартиб/SOP - дараҷаи баланд ва тартиби иҷро.
CAPA - амалҳои ислоҳӣ ва пешгирикунанда.
Эътироф (акк) - тасдиқи шиносоӣ аз ҷониби корманд.
Нигоҳдории ҳуқуқӣ - озодкунии қонунии тағирот/несткунӣ.

18) Сатри поён

Сабти тағйири сиёсат на танҳо "таърихи таҳрирҳо", балки раванди идорашаванда бо нақшҳои возеҳ, модели маълумот, назорати дастрасӣ, ислоҳи ҳуқуқӣ ва ченакҳо мебошад. Татбиқи баркамоли он аудитҳоро суръат мебахшад, хавфҳои номутобиқатиро коҳиш медиҳад ва интизоми амалиётиро дар тамоми созмон афзоиш медиҳад.