GH GambleHub

Politika değişikliği günlüğü

1) Amaç ve değer

Ne için:
  • Şeffaf değişim tarihi: kim, ne, ne, ne zaman ve neden.
  • Denetçiler/düzenleyicilerle uyumluluk (ISO 27001, SOC 2, PCI DSS, GDPR ve yerel düzenlemeler).
  • Risk yönetimi: Değişiklikleri risk değerlendirmelerine, olaylara ve CAPA planlarına bağlama.
  • Çalışanlar, sağlayıcılar ve ortaklar için tek bir hakikat kaynağı.

Sonuç: Operasyonel ve uyumluluk riski azaltılır, denetimler ve soruşturmalar hızlandırılır, işe alım süresi azaltılır.

2) Kapsam

Dergi tüm "politika've" standart "düzeyindeki belgeleri kapsamaktadır:
  • Güvenlik ve erişim: bilgi güvenliği politikası, olay yönetimi, güvenlik açıkları, anahtarlar/şifreleme, gizli yönetim, şifre politikası, IAM.
  • Veri ve gizlilik: GDPR/DSAR/RTBF, depolama ve silme, veri sınıflandırma, DLP, günlükler ve denetim.
  • Finans/AML/KYC: AML/KYB/KYC, yaptırım taraması, fon kaynağının kanıtı.
  • İşlemler: BCP/DRP, değişim yönetimi, yayın politikası, RACI, SRE/SLO.
  • Yasal/düzenleyici: yerel pazar gereksinimleri, reklam kısıtlamaları, sorumlu oyun.

3) Roller ve Sorumluluklar (RACI)

R (Sorumlu): Politika Sahibi ve Politika Editörü.
A (Sorumlu): Alan/CISO/Uyumluluk Başkanı'nın belge sahibi.
C (Consulted): Yasal/DPO, Risk, SRE/İşlemler, Ürün, Veri.
I (Bilgilendirilmiş): Tüm çalışanlar, dış yükleniciler (gerekirse).

İlkeler: Yayın başına çift kontrol; Görev ayrımı; PII/düzenleyici konular için zorunlu yasal/DPO istişareleri.

4) Yaşam döngüsünü değiştirin

1. Girişim: tetikleyici (düzenleyici gereklilik, denetim fonu, olay, penetrasyon testi, mimari değişiklik).
2. Taslak - Belge Yönetim Sisteminde Değişiklik (Confluence/Git/Policy CMS).
3. Etki değerlendirmesi: süreçler, risk kaydı, eğitim, sözleşmeler, entegrasyonlar.
4. Onay: Yasal/DPO/Uyumluluk/Teknik/İşlemler, nihai sahip onayı.
5. Yayın: sürüm atama, yürürlük tarihi, dağıtım.
6. Onboarding: eğitim/onay, SOP/Runbook güncellemesi.
7. İzleme: uyumluluk kontrolü, metrikler, geriye dönük.

5) Günlük veri modeli (gerekli alanlar)

'policy _ id' sabit bir politika kimliğidir.
'policy _ title' belgenin başlığıdır.
'change _ id' değişikliğin benzersiz tanımlayıcısıdır.
'dikey' - anlamsal versiyon (MAJOR. MINÖR. PATCH) veya tarihli.

'change _ type' - {MAJORKÜÇÜKYAMAACİLDÜZENLEYICI}.
'status' - {draftin_reviewOnaylandıYayınlananEtkili
'proposer'/' editor'/' approver' - users/groups.
'substed _ at'/' approved _ at'/' published _ at'/' effective _ from'.
'summary' - değişikliğin kısa bir açıklaması (≤ 300 karakter).
'change _ log' - detaylar: ne değişti ve neden.
'Gerekçe' - gerekçe (düzenleyici referans/olay/denetim).
'risk _ ref' risk kaydına/etki değerlendirmesine gönderilir.
'legal _ refs' - kodlar/standartlar (örn. GDPR m. 32, ISO A.8).
'impact _ scope' - kim etkilenir (komutlar/işlemler/bölgeler).
'training _ required' - evet/hayır + kurs referansı.
'ekler' - diff/pdf, müzakere protokolü.
'dağıtma _ listesi' - kime bildirilecek.
'ack _ required' - onaylama gerekip gerekmediği.
'hold _ flags' - Legal Hold/freeze (varsa).
Örnek (YAML): 
yaml change_id: POL-SEC-001-2025-11-01-M01 policy_id: POL-SEC-001 policy_title: Access Control Policy version: 2. 0. 0 change_type: MAJOR status: approved submitted_at: 2025-10-18T14:20:00Z approved_at: 2025-10-29T10:05:00Z published_at: 2025-10-30T09:00:00Z effective_from: 2025-11-15 proposer: d. kovalenko editor: secops. editors approver: ciso summary: Review roles and JIT access, enter quarterly-review.
rationale: "SOC Audit 2: CAPA-2025-17; incident # INC-5523"
risk_ref: RSK-AC-2025-004 legal_refs: ["ISO27001 A.5, A.8", "GDPR Art. 32"]
impact_scope: ["Prod Ops", "Payment Ops", "Affiliates"]
training_required: true attachments:
- link: confluence://AC-Policy-v2-diff
- link: git://policy-repo/pol-sec-001@v2. 0. 0 distribution_list: ["all@company", "ops@company", "vendors:payments"]
ack_required: true hold_flags: []

6) Sürüm ve değişiklik türü gereksinimleri

MAJOR: zorunlu gereklilikleri/kontrolleri değiştirir, denetimi/riskleri etkiler; Eğitim ve geçiş gerektirir.
KÜÇÜK: İyileştirmeler, örnekler, özünde kontrolü değiştirmez.
PATCH: yazım/referans düzenlemeleri; Hızlı yol.
ACİL: Olay/güvenlik açığı nedeniyle acil düzeltme; Hızlandırılmış olarak yayınlanması.
DÜZENLEME: Yeni düzenleme yasası/düzenleyici mektubu nedeniyle güncellendi.

Sürüm oluşturma: etiketleri/sürümleri düzelt; Karma ile değişmez PDF/HTML eserleri.

7) Onay iş akışı

1. Taslak> İnceleme - Şablonu, bağlantıları ve meta verileri otomatik olarak kontrol edin.
2. Çoklu inceleme: Yasal/DPO/Uyumluluk/Teknik/İşlemler (paralel/sıralı).
3. Onay: alan adı sahibi + Sorumlu.

4. Yayınlama: bir yayın notu oluşturma, Dergiye yazma, postalama, "effective_from." güncelleme

5. Teşekkür: çalışan onayının toplanması (LMS/HRIS).
6. Yayınlama sonrası denetimler: SOP/sözleşme/komut dosyası güncelleme görevleri.

İki anahtar kuralı: Yayınlama sadece onaylanmış roller listesinden 2 + onay ile mümkündür.

8) Yasal bekletme

Ne zaman: soruşturma, yasal talep, düzenleyici inceleme.
Yaptığımız şey: flag 'hold _ flags = ["legal"]', freeze deletion/version revisions, WORM archive, Hold activity log.
Çekilme tutun: Yasal/DPO sadece; Tüm eylemler kaydedilir.

9) Gizlilik ve yerel düzenleme

Günlükte PII'yi en aza indirme (mümkünse e-posta yerine çalışan kimliğini saklayın).
Saklama süreleri = "tutma programları" (politika kayıtları genellikle 5-7 yıldır).
DSAR/RTBF: Yasal bir velayet görevi varsa, günlük silme işleminden çıkarılır; Yasal dayanağı düzeltiyoruz.

10) Entegrasyonlar

Confluence/Docs/Git: düzenlemelerin ve eserlerin kaynağı (diff, PDF).
IAM/SSO: çalışan rolleri ve nitelikleri Denetim günlüğü erişimi.
LMS/HRIS: eğitim, testler, onay.
GRC/IRM: Risklerle, kontrollerle, CAPA/planlarla ilişki.
SIEM/Logs: Dergi işlemlerinin denetimi (görüntülenen/dışa aktarılan).
Biletleme (Jira/YouTrack): Görevleri başlatma ve kontrol listelerini yayınlama.

11) Metrikler ve SLO

Kapsam: Son günlük girişi olan mevcut politikaların yüzdesi (hedef ≥ %99).
Yayınlama Süresi: 'submissed _ at' ila 'published _ at' arasında medyan süre (hedef ≤ 14 gün; Acil ≤ 48 saat).
Ack-rate: Tanıdığını onaylayan çalışanların oranı (hedef ≥ 14 gün içinde %98).
Denetim hazırlığı: Tam bir yapıt kümesi içeren politikaların oranı (diff, PDF, imzalar) (%100 hedef).
İstisnalar kapatıldı: % tarihe göre istisnalar/sapmalar kapatıldı.
Erişim denetimi: 0 yetkisiz günlük erişim olayı.

12) Gösterge tablosu (minimum widget kümesi)

Son yayınların ve kanunların beslenmesi.
Etki alanına göre durum haritası (Güvenlik, Veri, AML, Ops).
Onaydaki gecikmelerin ısı haritası.
Yayınlama Zamanı/İnceleme Zamanı histogramı.
Bölüm ve role göre Ack-rate.
Açık REGULATORY/URGENT değişikliklerinin listesi.

13) Prosedürler ve şablonlar

Markdown kayıt şablonu: 

{policy_title} — {version}
Change ID: {change_id}      Type: {change_type}      Effective: {effective_from}
Summary: {summary}
Rationale: {rationale}
Impacts: {impact_scope}
Approvals: {approver} at {approved_at}
Artifacts: {links}
Training: {training_required}
Sorun kontrol listesi:
  • Gerekli tüm alanlar ve eser referansları dolduruldu
  • Değerlendirilen etki ve güncellenen riskler
  • Çift kontrol
  • Oluşturulan değişmez paket (PDF + hash)
  • Mailings ve ack kampanyası yapılandırıldı
  • Güncellenmiş SOP/Runbook'lar/sözleşmeler (gerekirse)

14) Erişim kontrolü ve güvenliği

RBAC Okuma/Oluşturma/Onaylama/Arşivleme rolleri.
Just-in-Time: Geçici yayınlama/verme yetkisi.
Şifreleme: TLS transit, KMS at-rest; Anonim ihracatı yasaklamak.
Denetim: Tüm işlemlerin günlükleri, olağandışı eylemler için uyarılar (toplu ihracat, sık düzenlemeler).

15) Adımlarla uygulama

MVP (2-4 hafta):

1. Politikalar dizini ve sahipleri.

2. Tek kayıt şablonu + gerekli alanlar.

3. Confluence/Notion veya basit Policy-CMS'de Kayıt Defteri; Değişmez PDF'yi dışa aktarma.

4. Posta/LMS yoluyla onayların ve ack kampanyasının temel iş akışı.

5. Rollere ve etkinlik günlüklerine erişin.

Faz 2 (4-8 hafta):
  • Diff ve semantik sürüm oluşturma için Git ile entegrasyon.
  • Riskler/kontroller içeren GRC bağlantıları, denetim için raporlar.
  • KPI/SLO panosu, tarihe göre otomatik hatırlatıcılar.
Faz 3 (8-12 hafta):
  • Harici sistemler için API/webhook'lar, kod olarak kural desen eşleştirme.
  • Legal Hold + WORM arşivi, sürüm paketlerinin kriptografik imzaları.
  • Çok yargı yetkisi (pazar/dil/sürüme göre etiketler).

16) Sık yapılan hatalar ve bunlardan nasıl kaçınılacağı

Dergi dışı değişiklikler: Kayıt dışı yayınları reddetme, otomatik kontroller.
Gerekçe/referans yok: alanı zorunlu + kaynak şablonları (düzenleyici, denetim, olay) yapın.
Ack kontrolü yok: LMS/HRIS'i entegre edin ve KPI'ları izleyin.
Taslakları ve yayınları karıştırın - Ayrı alanlar/dallar kullanın.
"Tümü'ne erişin: sıkı RBAC, dışa aktarma okuma denetimi.

17) Sözlük (kısa)

Politika - zorunlu gereksinimleri olan bir yönetim belgesi.
Standart/Prosedür/SOP - taneciklik ve yürütme düzeni.
CAPA - düzeltici ve önleyici faaliyetler.
Teşekkür (ack) - çalışan tarafından aşina olunduğunun onaylanması.
Yasal Tutma - değişikliklerin/silme işlemlerinin yasal olarak dondurulması.

18) Alt satır

Politika değişikliği günlüğü sadece bir "düzenleme geçmişi'değil, net rolleri, bir veri modeli, erişim kontrolleri, yasal sabitleme ve metrikleri olan yönetilen bir süreçtir. Olgun uygulaması denetimleri hızlandırır, uygun olmayan riskleri azaltır ve organizasyon genelinde operasyonel disiplini arttırır.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.