Siyosatni oʻzgartirish jurnali

1) Maqsadi va qiymati

• O’zgarishlarning shaffof tarixi: kim, nima, qachon va nima uchun.
• Auditorlar/regulyatorlar talablariga muvofiqlik (ISO 27001, SOC 2, PCI DSS, GDPR va mahalliy normalar).
• Xatarlarni boshqarish: o’zgarishlarni xatarlarni baholash, hodisalar va CAPA-rejalar bilan bog’lash.
• Xodimlar, provayderlar va hamkorlar uchun yagona haqiqat manbai.

Natija: operatsion va komplayens-tavakkalchilik kamayadi, audit va tekshiruvlar tezlashadi, onbording vaqti qisqaradi.

2) Qamrov sohasi (scope)

• Xavfsizlik va foydalanish: Axborot texnologiyalari siyosati, hodisalarni boshqarish, zaifliklar, kalitlar/shifrlash, maxfiy boshqaruv, parol siyosati, IAM.
• Ma’lumotlar va maxfiylik: GDPR/DSAR/RTBF, saqlash va o’chirish, ma’lumotlarni tasniflash, DLP, loglar va audit.
• Moliya/AML/KYC: AML/KYB/KYC, sanksiya skrining, mablag’lar manbasini tasdiqlash.
• Operatsiyalar: BCP/DRP, oʻzgarishlarni boshqarish, reliz siyosati, RACI, SRE/SLO.
• Huquqiy/tartibga solish: bozorlarning mahalliy talablari, reklama cheklovlari, mas’uliyatli o’yin.

3) Rollar va javobgarlik (RACI)

R (Responsible): Siyosat egasi (Policy Owner) va muharrir (Policy Editor).
A (Accountable): Hujjat egasi/CISO/Head of Compliance.
C (Consulted): Legal/DPO, Risk, SRE/Operations, Product, Data.
I (Informed): Barcha xodimlar, tashqi pudratchilar (zarurat bo’lganda).

Prinsiplari: e’lon qilish uchun dual-control; majburiyatlarni segregatsiya qilish; PII/tartibga solish mavzulari uchun majburiy Legal/DPO maslahatlari.

4) O’zgarishning hayot sikli

1. Tashabbus: trigger (tartibga solish talabi, audit-faynding, hodisa, pentest, arxitekturani o’zgartirish).
2. Loyiha: hujjatlarni boshqarish tizimida oʻzgarish (Confluence/Git/Policy CMS).
3. Ta’sirni baholash: jarayonlarga, xavf-reyestrga, o’qitishga, shartnomalarga, integratsiyaga.
4. Kelishish: Legal/DPO/Compliance/Tech/Operations, egasi tomonidan yakuniy tasdiqlash.
5. Nashr: versiyani berish, kuchga kirish sanasi, tarqatish.
6. Onbording: oʻqish/kvitatsiya qilish, SOP/Runbook dasturini yangilash.
7. Monitoring: rioya etilishini, metrikasini, retrospektivini nazorat qilish.

5) Jurnal ma’lumotlari modeli (majburiy maydonlar)

’policy _ id’ - siyosatning doimiy identifikatori.
’policy _ title’ - hujjatning nomi.
’change _ id’ - oʻzgarishning oʻziga xos identifikatori.
’version’ - semantik versiya (MAJOR. MINOR. PATCH) yoki sanalangan.

yaml change_id: POL-SEC-001-2025-11-01-M01 policy_id: POL-SEC-001 policy_title: Access Control Policy version: 2. 0. 0 change_type: MAJOR status: approved submitted_at: 2025-10-18T14:20:00Z approved_at: 2025-10-29T10:05:00Z published_at: 2025-10-30T09:00:00Z effective_from: 2025-11-15 proposer: d. kovalenko editor: secops. editors approver: ciso summary: Review roles and JIT access, enter quarterly-review.
rationale: "SOC Audit 2: CAPA-2025-17; incident # INC-5523"
risk_ref: RSK-AC-2025-004 legal_refs: ["ISO27001 A.5, A.8", "GDPR Art. 32"]
impact_scope: ["Prod Ops", "Payment Ops", "Affiliates"]
training_required: true attachments:
- link: confluence://AC-Policy-v2-diff
- link: git://policy-repo/pol-sec-001@v2. 0. 0 distribution_list: ["all@company", "ops@company", "vendors:payments"]
ack_required: true hold_flags: []

6) O’zgartirishlar versiyasi va turlariga qo’yiladigan talablar

MAJOR: majburiy talablarni/nazoratlarni o’zgartiradi, auditga/tavakkalchiliklarga ta’sir qiladi; o’qishni va o’tish davrini talab etadi.
MINOR: aniqliklar, misollar nazoratni o’zgartirmaydi.
PATCH: imlo/havolalarni tahrirlash; fast-track.
URGENT: hodisa/zaiflik tufayli shoshilinch tuzatish; tezlashtirilgan tartibda e’lon qilish.
REGULATORY: yangi tartibga solish hujjati/regulyatorning xati munosabati bilan yangilanish.

Version: tag/relizlarni tuzatish; xeshli immutable PDF/HTML artefaktlari.

7) Workflow kelishish

1. Draft → Review: shablon, havolalar va meta maʼlumotlarni avtomatik tekshirish.
2. Multi-review: Legal/DPO/Compliance/Tech/Operations (parallel/ketma-ket).
3. Approval: domen egasi + Accountable.
4. Publish: reliz-eslatmani yaratish, Jurnalga yozish, tarqatish, yangilash "effective_from".
5. Acknowledgement: xodimlarni kvitatsiya qilish (LMS/HRIS).
6. Post-publish controls: SOP/shartnomalar/skriptlarni yangilash vazifalari.

Ikkita kalitning qoidasi: tasdiqlangan rollar roʻyxatidan faqat 2 + kelishuv bilan nashr etish mumkin.

8) Yuridik tuzatish va muzlatish (Legal Hold)

Qachon: tergov, sud so’rovi, tartibga soluvchi tekshiruv.
Biz nima qilyapmiz:’hold _ flags = [«legal»]’bayrogʻi ,/tahrirlarini olib tashlashni muzlatish, WORM arxivi, Hold harakat jurnali.
Holdni olib tashlash: faqat Legal/DPO; barcha harakatlar bayonnomaga olinadi.

9) Maxfiylik va lokal tartibga solish

PII ni jurnalda minimallashtirish (agar iloji boʻlsa, employee ID’ni elektron pochta o’rniga saqlang).
Saqlash muddati = «saqlash jadvallari» (policy records odatda 5-7 yil).
DSAR/RTBF: agar saqlashning qonuniy majburiyati bo’lsa, jurnal o’chirib tashlanadi; huquqiy asosni belgilab olamiz.

10) Integratsiya

Confluence/Docs/Git: tahrir va artefaktlar manbai (diff, PDF).
IAM/SSO: xodimlarning roli va atributlari; jurnalga kirish auditi.
LMS/HRIS: o’qitish, testlar, kvitatsiya qilish.
GRC/IRM: xavf-xatarlar, nazorat, SARA/rejalar bilan aloqa.
SIEM/Logi: jurnal operatsiyalari auditi (kim koʻrib chiqdi/eksport qildi).
Ticketing (Jira/YouTrack): vazifalar va chek varaqlari.

11) Metrika va SLO

Coverage: jurnalda oxirgi yozuv mavjud boʻlgan dolzarb siyosatlar% (maqsad ≥ 99%).
Time-to-Publish:’submitted _ at’dan’published _ at’gacha (maqsad ≤ 14 kun; urgent ≤ 48 soat).
Ack-rate: tanishuvni tasdiqlagan xodimlar ulushi (maqsad 14 kunda 98% ≥).
Audit-readiness: artefaktlar to’plami to’liq bo’lgan siyosatchilar ulushi (diff, PDF, imzolar) (maqsad 100%).
Exceptions closed:% yopiq istisnolar/muddat boʻyicha ogʻishlar.
Access audit: jurnalga ruxsatsiz kirish uchun 0 ta hodisa.

12) Dashbord (minimal vidjetlar to’plami)

Oxirgi nashrlar va kuchga kirishlar tasmasi.
Domenlar boʻyicha maqom xaritasi (Security, Data, AML, Ops).
Kelishish muddati o’tkazib yuborilgan issiqlik xaritasi.
Time-to-Publish/Time-in-Review gistogrammasi.
Departamentlar va rollar bo’yicha Ack-rate.
Ochiq REGULATORY/URGENT oʻzgarishlar roʻyxati.

13) Tartib-taomillar va shablonlar

{policy_title} — {version}
Change ID: {change_id}      Type: {change_type}      Effective: {effective_from}
Summary: {summary}
Rationale: {rationale}
Impacts: {impact_scope}
Approvals: {approver} at {approved_at}
Artifacts: {links}
Training: {training_required}

• Barcha majburiy dalalar va artefaktlarga havolalar to’ldirilgan
• Ta’sir baholandi va xavflar yangilandi
• Kelishuvlar olindi (dual-control)
• Immutable paketi shakllantirildi (PDF + hash)
• Xat va ACK kampaniyasi moslashtirilgan
• Yangilangan SOP/Runbooks/shartnomalar (agar talab qilinsa)

14) Kirishni nazorat qilish va xavfsizlik

RBAC: o’qish/yaratish/tasdiqlash/arxivlash uchun rollar.
Just-in-Time: chop etish/eksport qilish uchun vaqtinchalik vakolatlar.
Shifrlash: TLS in-transit, KMS at-rest; anonim eksportni taqiqlash.
Audit: barcha operatsiyalarning loglari, g’ayrioddiy harakatlar (ommaviy eksport, tez-tez tuzatishlar) uchun alertlar.

15) Qadamlar bo’yicha joriy etish

1. Siyosatchilar va ularning egalari katalogi.

2. Yagona yozuv namunasi + majburiy maydonlar.

3. Confluence/Notion reyestri yoki oddiy Policy-CMS; eksport immutable PDF.

4. Pochta/LMS orqali asosiy workflow kelishuv va ack kampaniyasi.

5. Kirish rollari va harakatlarni jurnallash.

• Diff va semantik versiya uchun Git bilan integratsiya.
• GRC-xavf-xatar/nazorat aloqalari, audit uchun hisobotlar.
• KPI/SLO dashbord, muddati boʻyicha avtomatik eslatmalar.

• Tashqi tizimlar uchun API/vebxuklar, namunani tekshirish uchun rule-as-code.
• Legal Hold + WORM-arxiv, reliz paketlarining kripto imzolari.
• Multiyurisdiksiya (bozorlar/tillar/versiyalar bo’yicha teglar).

16) Tez - tez xatolar va ulardan qanday qochish mumkin

Jurnaldan tashqari oʻzgarishlar: yozuvsiz nashrlarni taqiqlash, avtomatik tekshirish.
Hech qanday rationale/havolalar yoʻq: maydonni majburiy qiling + manba namunalari (regulyator, audit, hodisa).
ACK nazorati yoʻq: LMS/HRIS ni birlashtiring va KPIni kuzating.
Loyihalar va nashrlarni aralashtirish: alohida boʻshliqlardan foydalaning.
«Hamma» ga kirish: qat’iy RBAC, eksport o’qish auditi.

17) Lugʻat (qisqacha)

Policy - majburiy talablarga ega boshqaruv hujjati.
Standard/Procedure/SOP - batafsil va ijro tartibi.
CAPA - tuzatish va ogohlantirish harakatlari.
Acknowledgement (ack) - xodimning tanishganligini tasdiqlash.
Legal Hold - o’zgarishlar/o’chirishlarni yuridik muzlatish.

18) Jami

Siyosatni o’zgartirish jurnali nafaqat «tuzatishlar tarixi», balki aniq rollar, ma’lumotlar modeli, kirish nazorati, yuridik belgilash va metriklarga ega bo’lgan boshqariladigan jarayondir. Uning yetuk amalga oshirilishi auditlarni tezlashtiradi, nomuvofiqlik xavfini kamaytiradi va butun tashkilotda operatsion intizomni oshiradi.