GH GambleHub

Uyum politikası değişim yönetimi

1) Neden değişimi yönetin

Uyum politikalarındaki değişiklikler süreçleri, sistemleri, rolleri ve yasal yükümlülükleri etkiler. Resmi Politika Değişikliği Yönetimi süreci şunları sağlar:
  • Düzenleyici/riske zamanında yanıt;
  • Gereksinimlerin tutarlılığı ve ölçülebilirliği
  • regresyon ve tartışmalı yorumlar olmadan öngörülebilir uygulama;
  • Denetçiler için kanıt tabanı (kim, ne zaman, neden ve nasıl değişti).

2) Tetikleyicileri değiştirin

Yeni/güncellenmiş yasalar, düzenleyici kılavuzlar, pozisyon mektupları.
Denetim sonuçları, olaylar, Alınan Dersler, yüksek KRI'lar.
Ürünlerin başlatılması/değiştirilmesi, yeni yargı alanlarına erişim.
Teknik kaymalar (mimari, bulut, şifreleme, IAM, DevSecOps).
Risk iştahının değişmesi/şirket stratejisi.

3) Değişim türleri ve kriterleri

YazıAçıklamaÖrneklerGerekli
BinbaşıZorunlu gereklilikleri/ilkeleri değiştirirYeni TTL PI; Zorunlu MFA; Yeni soD rolleriKomite, requalification
MinörGereksinimleri değiştirmeden ifadeleri/örnekleri hassaslaştırınTerminoloji, referanslar, kozmetikSahibi Onayı, Bildirimi
Acil durumOlay/regülatör nedeniyle acil düzeltmePI ihracatının geçici olarak yasaklanması; Günlük kaydı geliştirmePlanlanmamış CISO/DPO, post-factum tam inceleme

4) Roller ve RACI

RolSorumluluk
Poliçe sahibi (A)İçerik, alaka düzeyi, değişikliklerin başlangıcı/kapanışı
Politika Yazarı/Steward (R)Taslak hazırlama, yorum toplama, düzenleme yapma
Uyumluluk/GRC (R/C)Gereksinimlere, sürüm geçmişine, kanıtlara eşleme
Yasal/DPO (C)Yasal doğruluk, gizlilik, sınır ötesi transferler
CISO/SecOps (C)Fizibilite, kontroller ve telemetri
İşletme/Ürün (C)Süreçler ve sürümler üzerindeki etkisi
İK/L & D (R)Eğitim/sertifikasyon ve kayıt
Politika Kurulu/Yürütme (A)Büyük Onay/Tartışmalı Değişiklikler
İç denetim (I)Bağımsız süreç doğrulama/kanıt

(R - Sorumlu; A - Sorumlu; C - Danışılan; I - Bilgilendirilmiş)

5) Değişim Yönetimi Süreci (SOP)

1. Başlatma: değişim kartı (sebep, amaç, tür, yargı, son tarihler, risk).
2. Etki Değerlendirmesi: Etkilenen kişi/kişiler (hizmetler, veriler, roller, sözleşmeler), maliyet, bağımlılıklar, mevcut SÇP'ler/standartlarla çakışma.
3. Taslak ve haritalama: yeni/güncellenmiş baskı, kontrol ifadeleri, normlara/sertifikalara haritalama, ölçülebilir metrikler.
4. Hakem Değerlendirmesi: Yasal/DPO/SecOps/İş; Yorum ve karar protokolü.
5. Nisan: Sahip - (Major altında) Politika Kurulu/İcra.
6. Uygulama planı: son tarihler, aşamalar, sistemlerin/ekiplerin hazırlığı, geçiş adımları.
7. İletişim: Tek çağrı cihazı/SSS, role göre duyuru, son tarihler ve CTA (bkz. "Uyumluluk İletişimi").
8. Eğitim/sertifikasyon: LMS'de kurslar/sınavlar, gerekli % pass, non-pass durumunda erişimi engelleme (risk ile).
9. Uygulama ve kontrol: CI/CD'de kapılar, DLP/EDRM/IAM/sunum güncellemesi, yürütme izleme.
10. Kanıt ve denetim: anlık görüntü sürümleri, eğitim eserleri, çözüm protokolleri, WORM arşivi.
11. İnceleme sonrası: etki değerlendirmesi, kural/metrik ayarı, kuyruk kapatma.

6) Sürüm oluşturma ve "kod olarak politika"

Depoda depolama (Git): Markdown/YAML olarak politika/standart/prosedürler; Halkla ilişkiler incelemesi, sürüm etiketleri, changelog.
Test kriterlerini içeren açık kontrol ifadeleri: otomasyona uygunluk (Kod Olarak Uyumluluk).
"Politika Sürümü ↔ Standartlar/Prosedürler Sürüm ↔ İzleme Kuralları (CCM)" paketi.
Acil Durum için - hotfix şube + tam inceleme ile zorunlu post-factum PR.

7) Yerelleştirmeler ve yargı yetkileri

Ana sürüm + Ülke Eki: zayıflama olmadan yerel kazançlar.
Terminoloji sözlüğü, tek sürüm numaralandırma (örn. 2. 1-EE/2. 1-TR).
Senkronizasyon işlemi: Master'da Major - yerel ayarları güncellemek için son tarih - senkronizasyon dışı kontrolü.

8) "Alanlarda" iletişim ve değişim yönetimi

İzleyici Matrisi: Dev/ops/data/product/finance/AML/HR/Exec.
Şablonlar: One-pager, sürüm notu, SSS (6-10 soru), PR şablonu, SQL/config snippet'leri.
Kanallar: wiki/politika portalı, Slack/Teams, e-posta hedefleri, LMS, atölye çalışmaları.
SLA iletişimi: Kritik ≤ 24 saat; Girişten 7-14 gün önce yüksek; Orta 14-30 gün.
Zorunlu sabitleme: okuma-alma/sınav + GRC'de oturum açma.

9) Kontroller ve sistemlerle entegrasyon

IAM/IGA: SoD/erişim rotasyonu, eğitimi rollere bağlama.
Veri Platformu: TTL/retention, Legal Hold, masking, lineage.
DevSecOps: Uyumluluk Kapıları, SAST/DAST/SCA, OSS Lisansları.
Bulut/IaC - yeni gereksinimler için Terraform/K8s kontrol edin.
SIEM/SOAR/DLP/EDRM: uygulama için kurallar ve oyun kitapları.
GRC: sürüm kaydı, feragat, denetim kontrol listeleri, norm ↔ kontrol matrisi.

10) Feragatnameler ve geçişler

İstek: sebep, risk, telafi edici önlemler, son kullanma tarihi.
Kategoriler: teknik imkansızlık, tedarikçi bağımlılığı, sözleşme kısıtlamaları.
Panolarda görünürlük, otomatik hatırlatıcılar, suçlulukların artması.
Geçiş pencereleri (ödemesiz dönem) tarihler ve uygulama KPI'ları ile sabitlenir.

11) Değişim Süreci Metrikleri ve SLO

MTTU (Ortalama Güncelleme Süresi) - tetikleyiciden yayına (Büyük ≤ 30 gün).
İletişim SLA'sı: Zamanında bildirim alan etkilenen rollerin %'si (≥ %98).
Eğitim Kapsamı: % zamanında nitelikli (≥ %95).
Kabul Oranı: Gereksinimlerin uygulandığı sistemlerin/süreçlerin yüzdesi (≥ hedef plan).
Drift Post-Change: Giriş sonrası kontrol ihlalleri (↓ trend).
Feragat Hijyeni: Gerçek bir son kullanma tarihi olan % feragat (%100).
Denetim Hazırlığı: Belirli bir sürüm için kanıt toplama zamanı (≤ 8 saat).

12) Gösterge panoları (minimum set)

Boru Hattını Değiştir: стадия (Taslak/İnceleme/Onayla/İletişim/Tren/Dağıtım).
Kapsam ve Evlat Edinme: eğitim, talep kabulü, bilet kapatma.
Sürüklenme ve İhlaller: sahibine/ciddiyetine göre.
Feragat ve Son Tarihler: aktif istisnalar, son tarihler, yükselmeler.
Yerelleştirme Senkronizasyonu: yerellerin ve desynchrones'un durumu.
Denetim Paketi: Seçilen sürüm için "düğmede'bir dizi eser.

13) Kontrol listeleri

Değişikliğe başlamadan önce

  • 7W Kartı (Ne/Neden/Kim/Ne zaman/Nerede/Nasıl/Kazan).
  • Etki değerlendirmesi, bağımlılıklar, çatışma matrisi.
  • Norm/sertifika haritalama + ölçülebilir kontrol ifadeleri.
  • Peer review (Legal/DPO/SecOps/Business) kapalı, GRC'de protokol.
  • İletişim ve eğitim planı; One-pager/FAQ/snippet materyalleri.
  • Uygulama planı ve testleri (evreleme - prod), geriye dönük uyumluluk.
  • Kanıt listesi: neyin düzeltileceği ve nerede saklanacağı (WORM).

Katıldıktan sonra

  • Dahil edilen kontrollerin (CCM) ve panoların doğrulanması.
  • Eğitim ve Kapsam Raporu.
  • Sürüklenme/olay analizi, kural ayarlamaları.
  • İlgili SOP'ları/standartları/oyun kitaplarını güncelleyin.
  • Alınan dersler.

14) Antipatterns

Kayıt defteri, sürümler ve kanıtlar olmadan "postayla" değiştirin.
Ölçülemez ifadeler ("yeterli olmalı"), otomasyon için uygun değildir.
Etki değerlendirmesi yok ve ilgili belgelerle çelişiyor.
Son tarihler/STA olmadan ve okuma/öğrenme sabitlemesi olmadan iletişim.
"Ebedi" feragatler ve geçiş dönemleri.
Yerelleştirmelerin senkronizasyonu yoktur - bölgelerdeki farklı gereksinimler.

15) Olgunluk modeli (M0-M4)

M0 Belgesel: nadir güncellemeler, manuel postalar.
M1 Kataloğu: birleştirilmiş sürüm kaydı, temel yükseltme işlemi.
M2 Managed: RACI, gösterge panoları, eğitim, feragat kaydı.
M3 Entegre: kod olarak politika, CI/CD'deki kapılar, CCM kontrolleri, WORM kanıtı.
M4 Continuous Assurance (Sürekli Güvence): auto-communication (Otomatik iletişim) kavramının değiştirilmesi - eğitim - kontrol - "butonla denetime hazır".

16) İlgili wiki makaleleri

Politikalar ve Prosedürler Yaşam Döngüsü

Ekiplerde uyum çözümlerinin iletişimi

Sürekli Uyumluluk İzleme (CCM)

Uyumluluk ve raporlama otomasyonu

Yasal Tutma ve Veri Dondurma

KPI'lar ve uyumluluk metrikleri

Durum Tespiti ve Dış Kaynak Kullanımı Riskleri

Toplam

Güçlü değişim yönetimi şeffaf ve tekrarlanabilir bir süreçtir: açık tetikleyiciler, ölçülebilir gereksinimler, disiplinli iletişim ve eğitim, teknik kontrol sistemlerine entegrasyon ve eksiksiz bir kanıt seti. Böylece uyumluluk politikası canlı, anlaşılabilir ve "denetlenebilir" kalır - iş için sürprizler olmadan.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Telegram
@Gamble_GC
Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.