Syýasatlary üýtgetmek

1) Maksady we gymmaty

• Üýtgeşmeleriň aç-açan taryhy: kim, näme, haçan we näme üçin.
• Auditorlaryň/düzgünleşdirijileriň talaplaryna laýyk gelmek (ISO 27001, SOC 2, PCI DSS, GDPR we ýerli kadalar).
• Töwekgelçilikleri dolandyrmak: töwekgelçilik bahalandyrmalary, hadysalar we CAPA-meýilnamalar bilen üýtgeşmeleriň baglanyşygy.
• Işgärler, üpjün edijiler we hyzmatdaşlar üçin ýeke-täk hakykat çeşmesi.

Netije: amal we komplayens-töwekgelçiligi azalýar, auditler we derňewler çaltlaşdyrylýar, onbording wagty gysgaldylýar.

2) Gurşaw (skope)

• Howpsuzlyk we elýeterlilik: IB syýasaty, hadysalary dolandyrmak, gowşaklyklar, açarlar/şifrlemek, gizlin dolandyryş, parol syýasaty, IAM.
• Maglumatlar we gizlinlik: GDPR/DSAR/RTBF, saklamak we aýyrmak, maglumatlaryň klassifikasiýasy, DLP, loglar we audit.
• Maliýe/AML/KYC: AML/KYB/KYC, sanksiýa barlagy, serişdeleriň çeşmesini tassyklamak.
• Amallar: BCP/DRP, üýtgeşmeleri dolandyrmak, goýberiş syýasaty, RACI, SRE/SLO.
• Hukuk/kadalaşdyryjy: bazarlaryň ýerli talaplary, mahabat çäklendirmeleri, jogapkärli oýun.

3) Rollar we jogapkärçilik (RACI)

R (Responsible): Syýasatyň eýesi (Policy Owner) we redaktor (Policy Editor).
A (Accountable): Domen eýesi/CISO/Compliance of Head.
C (Consulted): Legal/DPO, Risk, SRE/Operations, Product, Data.
I (Informed): Ähli işgärler, daşarky potratçylar (zerur bolsa).

Ýörelgeler: neşir etmek üçin dual-control; borçlaryň bölünmegi; PII/kadalaşdyryjy temalar üçin hökmany Legal/DPO maslahatlary.

4) Üýtgemegiň durmuş sikli

1. Inisiatiwa: trigger (kadalaşdyryjy talap, audit-faýnding, waka, pentest, arhitekturanyň üýtgemegi).
2. Taslama: Resminamalary dolandyrmak ulgamyndaky üýtgeşmeler (Confluence/Git/Policy CMS).
3. Täsirine baha bermek: proseslere, töwekgelçilik sanawyna, okuwa, şertnamalara, integrasiýa.
4. Ylalaşmak: Kanuny/DPO/Compliance/Tech/Operations, eýesi tarapyndan gutarnykly tassyklama.
5. Neşir etmek: wersiýanyň berilmegi, güýje giren senesi, iberilmegi.
6. Onbording: SOP/Runbook okamak/almak, täzelemek.
7. Gözegçilik: berjaý edilişine, metrikasyna, retrospektivine gözegçilik.

5) Magazineurnalyň maglumatlarynyň modeli (hökmany meýdanlar)

'policy _ id' - syýasatyň hemişelik kesgitleýjisi.
'policy _ title' - resminamanyň ady.
'change _ id' üýtgeşikligiň özboluşly kesgitleýjisidir.
'version' - semantik wersiýasy (MAJOR. MINOR. PATCH) ýa-da senesi.

yaml change_id: POL-SEC-001-2025-11-01-M01 policy_id: POL-SEC-001 policy_title: Access Control Policy version: 2. 0. 0 change_type: MAJOR status: approved submitted_at: 2025-10-18T14:20:00Z approved_at: 2025-10-29T10:05:00Z published_at: 2025-10-30T09:00:00Z effective_from: 2025-11-15 proposer: d. kovalenko editor: secops. editors approver: ciso summary: Review roles and JIT access, enter quarterly-review.
rationale: "SOC Audit 2: CAPA-2025-17; incident # INC-5523"
risk_ref: RSK-AC-2025-004 legal_refs: ["ISO27001 A.5, A.8", "GDPR Art. 32"]
impact_scope: ["Prod Ops", "Payment Ops", "Affiliates"]
training_required: true attachments:
- link: confluence://AC-Policy-v2-diff
- link: git://policy-repo/pol-sec-001@v2. 0. 0 distribution_list: ["all@company", "ops@company", "vendors:payments"]
ack_required: true hold_flags: []

6) Wersiýa we üýtgeşmeleriň görnüşlerine bildirilýän talaplar

MAJOR: hökmany talaplary/gözegçiligi üýtgedýär, audit/töwekgelçiliklere täsir edýär; okuwy we geçiş döwrüni talap edýär.
MINOR: düşündirişler, mysallar, aslynda gözegçiligi üýtgetmeýär.
PATCH: imla/baglanyşyk düzedişleri; fast-track.
URGENT: waka/gowşaklyk sebäpli gyssagly düzediş; çaltlaşdyrylan tertipde çap etmek.
REGULATORY: düzgünleşdirijiniň täze kadalaşdyryjy kanuny/haty bilen baglanyşykly täzelenme.

Wersiýa: bellikleri/goýberişleri düzüň; hash bilen immutable PDF/HTML artefaktlary.

7) Iş barlagy

1. Draft → Review: şablony, baglanyşyklary we meta maglumatlary awto-barlamak.
2. Multi-review: Legal/DPO/Compliance/Tech/Operations (paralel/yzygiderli).
3. Approval: Domen eýesi + Accountable.
4. Publish: Release-bellikleri döretmek, Journalurnala ýazmak, ibermek, täzelemek "effective_from".
5. Acknowledgement: işgärlere kwitasiýa ýygnamak (LMS/HRIS).
6. Post-publish controls: SOP/şertnamalary/skriptleri täzelemek üçin meseleler.

Iki açaryň düzgüni: neşir etmek diňe tassyklanan rollaryň sanawyndan 2 + ylalaşykda mümkindir.

8) Kanuny düzediş we doňdurma (Legal Hold)

Haçan: derňew, kazyýet haýyşy, kadalaşdyryjy barlag.
Näme edýäris: baýdak 'hold _ flags = ["legal"]', wersiýanyň/redaksiýalarynyň pozulmagyny doňdurmak, WORM arhiwi, Hold hereket magazineurnaly.
Hold aýyrmak: diňe Legal/DPO; ähli hereketler teswirnama düzülýär.

9) Gizlinlik we ýerli düzgünler

PII-ni magazineurnalda minimallaşdyrmak (mümkin bolsa e-poçtanyň ýerine employee ID saklaň).
Saklamak şertleri = "saklamak grafikleri" (policy records adatça 5-7 ýyl).
DSAR/RTBF: kanuny saklamak borjy bar bolsa, magazineurnal aýrylýar; hukuk esaslaryny düzýäris.

10) Integrasiýa

Confluence/Docs/Git: düzedişleriň we artefaktlaryň çeşmesi (diff, PDF).
IAM/SSO: işgärleriň rollary we häsiýetleri; magazineurnalyň elýeterliliginiň barlagy.
LMS/HRIS: okuw, synaglar, kwitasiýa.
GRC/IRM: töwekgelçilikler, gözegçilikler, SARA/meýilnamalar bilen baglanyşyk.
SIEM/Logy: magazineurnalyň üstündäki amallaryň barlagy (kim gözden geçirdi/eksport etdi).
Ticketing (Jira/YouTrack): başlangyç tabşyryklary we çykaryş çek sahypalary.

11) Metrikler we SLO

Coverage: Iň soňky ýazgyly häzirki syýasatlaryň% -i (maksat ≥ 99%).
Wagt-to-Publish: wagt mediany 'submitted _ at' -dan 'published _ at' -a (maksat ≤ 14 gün; urgent ≤ 48 sagat).
Ack-rate: Tanyşlygy tassyklan işgärleriň paýy (maksat 14 günde 98% ≥).
Audit-readiness: artefaktlaryň doly toplumy bolan syýasatçylaryň paýy (diff, PDF, gollar) (maksat 100%).
Exceptions closed:% ýapyk kadadan çykmalar/wagt boýunça gyşarmalar.
Access audit: 0 sany rugsatsyz giriş hadysasy.

12) Daşbord (widjetleriň iň az toplumy)

Soňky neşirleriň we güýje girýänleriň lentasy.
Domen status kartasy (Security, Data, AML, Ops).
Ylalaşmagyň möhleti geçen ýylylyk kartasy.
Time-to-Publish/Time-in-Review.
Bölümler we rollar boýunça Ack-rate.
Açyk REGULATORY/URGENT üýtgeşmeleriniň sanawy.

13) Amallar we şablonlar

{policy_title} — {version}
Change ID: {change_id}      Type: {change_type}      Effective: {effective_from}
Summary: {summary}
Rationale: {rationale}
Impacts: {impact_scope}
Approvals: {approver} at {approved_at}
Artifacts: {links}
Training: {training_required}

• Ähli hökmany meýdançalar we artefaktlara salgylanmalar dolduryldy
• Täsirine baha berildi we töwekgelçilikler täzelendi
• Tassyklamalar alyndy (dual-control)
• Immutable paketi döredildi (PDF + hash)
• Gurnalan poçta we ack kampaniýasy
• Täzelenen SOP/Runbooks/Şertnamalar (zerur bolsa)

14) Elýeterlilige gözegçilik we howpsuzlyk

RBAC: okamak/döretmek/tassyklamak/arhiwlemek üçin rollar.
Just-in-Time: neşir etmek/eksport etmek üçin wagtlaýyn ygtyýarlyklar.
Şifrlemek: TLS in-transit, KMS at-rest; anonim eksportyň gadagan edilmegi.
Audit: ähli amallaryň ýazgylary, adaty bolmadyk hereketler üçin alertler (köpçülikleýin eksportlar, ýygy-ýygydan düzedişler).

15) Ädimler boýunça ornaşdyrmak

1. Syýasatçylaryň we olaryň eýeleriniň katalogy.

2. Bitewi ýazgy şablony + hökmany meýdanlar.

3. Confluence/Notion ýa-da ýönekeý Policy-CMS reýestri; eksport immutable PDF.

4. Poçta/LMS arkaly esasy iş barlagy we ack kampaniýasy.

5. Giriş rollary we hereketleri ýazga almak.

• Diff we semantik wersiýa üçin Git bilen integrasiýa.
• Töwekgelçilikler/gözegçilikler bilen GRC-baglanyşyklar, audit üçin hasabatlar.
• KPI/SLO Daşbord, awtomatiki ýatlatmalar.

• Daşarky ulgamlar üçin API/webhuklar, şablona laýyklygy barlamak üçin rule-as-code.
• Legal Hold + WORM-arhiw, goýberilen paketleriň kripto gollary.
• Multiýurisdiksiýa (bazarlar/diller/wersiýalar boýunça bellikler).

16) Ýygy-ýygydan ýalňyşlyklar we olardan nädip gaça durmaly

Magazineurnalyň daşyndaky üýtgeşmeler: ýazgysyz neşirleriň gadagan edilmegi, awtomatiki barlaglar.
Hiç hili rationale/baglanyşyk ýok: meýdançany hökmany ediň + çeşme şablonlary (düzgünleşdiriji, audit, waka).
Ack-gözegçilik ýok: LMS/HRIS-i birleşdiriň we KPI-ni yzarlaň.
Taslamalaryň we neşirleriň garyşmagy: aýratyn giňişlikleri/şahalary ulanyň.
"Hemmelere" elýeterlilik: berk RBAC, eksport okamak barlagy.

17) Sözlük (gysgaça)

Policy - hökmany talaplary bolan dolandyryş resminamasy.
Standard/Procedure/SOP - jikme-jiklik we ýerine ýetiriş tertibi.
CAPA - düzediş we duýduryş çäreleri.
Acknowledgement (ack) - işgäriň tanyşlygyny tassyklamak.
Legal Hold - üýtgetmeleri/aýyrmalary kanuny taýdan doňdurmak.

18) Jemleýji

Syýasatyň üýtgemegi magazineurnaly diňe bir "düzedişleriň taryhy" däl, eýsem anyk rollar, maglumatlaryň modeli, elýeterliligiň gözegçiligi, kanuny düzedişler we metrikler bilen dolandyrylýan prosesdir. Onuň kämillik ýaşyna ýetmegi auditleri çaltlaşdyrýar, laýyk gelmezlik töwekgelçiligini azaldýar we tutuş guramada amal düzgünini ýokarlandyrýar.