GH GambleHub

Siyosat va tartib-taomillarning hayot sikli

1) Nima uchun hayot siklini boshqarish

Siyosatchilar va protseduralar «o’yin qoidalari» ni belgilaydi: xatarlarni minimallashtiradi, muvofiqlikni ta’minlaydi (GDPR/AML/PCI DSS/SOC 2 va boshqalar), amaliyotni birxillashtiradi va bashorat qilish qobiliyatini oshiradi. Rasmiylashtirilgan hayot sikli (Policy Management Lifecycle, PML) hujjatlarning dolzarbligi va bajariluvchanligini, shuningdek auditorlar uchun evidence mavjudligini kafolatlaydi.

2) Hujjatlar ierarxiyasi (taksonomiya)

Siyosat (Policy): nima majburiy va nima uchun; prinsiplar va majburiy talablar.
Standart: oʻlchanadigan meʼyorlarni aniqlaydi (masalan, shifrlash, TTL, SoD).
Protsedura/SOP: bosqichma-bosqich qanday qilish kerak; rollar, triggerlar, chek-varaqlar.
Gaidline/Eng yaxshi amaliyotlar: tavsiya etilgan, ammo qat’iy shart emas.
Pleybuk (operational runbook): javob berish stsenariylari (hodisalar, DR, DSAR).
Ish yo’riqnomasi: buyruq/servis uchun lokal tafsilotlar.

Aloqalar: siyosat, standartlar, tartib-taomillar, pleybuklar. Har bir hujjatga - nazorat bayonotlari (control statements) va metriklar.

3) Rollar va javobgarlik (RACI)

RolMas’uliyat
Document Owner (A)Mazmunining yaxlitligi, dolzarbligi, ijro metrikasi
Policy Steward / Author (R)Sharhlarni ishlab chiqish, dolzarblashtirish, kelishish, ularga javob berish
Legal/DPO (C)Normalarni sharhlash, maxfiylik/mehnat huquqi bilan ziddiyatlar
Compliance/GRC (R/C)Talablarga kartalash, versiyalar va attestatsiyalarni nazorat qilish
CISO/SecOps (C)Texnik jihatdan amalga oshirilishi, nazorat choralari
Data Platform/IAM/IT (C)Tizimlarga integratsiya, nazoratni avtomatlashtirish
HR/L&D (R)O’qitish, attestatsiyadan o’tkazish, o’tishni qayd etish
Internal Audit (I)Qamrov va samaradorlikni mustaqil tekshirish
Executive Sponsor/Qo’mita (A)Blokirovkalarni tasdiqlash, ustuvorlashtirish, olib tashlash

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Hayot sikli bosqichlari (PML)

1. Ehtiyojni identifikatsiyalash

Triggerlar: yangi tartibga solish, hodisalar, audit natijalari, xizmatni joriy etish, yangi yurisdiksiyaga oʻtish.

2. Loyihalash va asoslash

Amal doirasi (scope), maqsadlar, atamalar.
Control statements (majburiy talablar) + tavakkalchilik asosi.
Meʼyorlarga xaritalash (GDPR/AML/PCI/SOC 2 va h.k.).
O’lchanadigan metriklar va SLO/SLA (masalan, DSAR ≤ 30 kun).

3. Ekspert sharhi (peer review)

Legal/DPO, Security, Operations, Data/IAM; sharhlarni qayd etish, qarorlar bayonnomasi.

4. Amalga oshirilishi va xarajatlarini baholash

Jarayonlarga/tizimlarga ta’sirni tahlil qilish, avtomatlashtirishga bo’lgan ehtiyoj, rollarning o’zgarishi.

5. Kelishish va tasdiqlash

Siyosat qo’mitasi (Policy Board) yoki Executive Sponsor. ID va versiya berish.

6. Nashr va kommunikatsiyalar

Siyosatchi portali (GRC/Confluence) + xabarnomalar.
Maqsadli rollarni majburiy attestatsiyadan o’tkazish (read & understand).
FAQ/keng auditoriya uchun qisqa «one-pager».

7. Joriy etish va o’qitish

L&D dasturlari, e-learning, plakatlar/eslatmalar, onbordingga kiritish.

8. Ijro va monitoring

Siyosat → standartlar → protseduralar → avtomatlashtirilgan nazorat (Compliance-as-Code). Dashbordlar, alertlar, tiketlar remediation.

9. Istisnolarni boshqarish (Waivers)

Asoslangan rasmiy so’rov, tavakkalchilik-baholash, tugash muddati, kompensatsiya choralari, istisnolar reyestri, davriy qayta ko’rib chiqish.

10. tahrirga qarang

Muntazam koʻrib chiqish (odatda har yili yoki triggerlarda). Oʻzgartirish sinflari: Major/Minor/Emergency. Versionlash, changelog, protseduralarning teskari muvofiqligi.

11. Audit va samaradorlikni nazorat qilish

Ichki audit/tashqi tekshiruvlar: dizayn va operatsion samaradorlik, tanlov, qoidalar islohotlari testlari.

12. Arxivlash va foydalanishdan chiqarish (Sunset)

Almashtirish/birlashishni e’lon qilish, migratsiya rejasi, havolalarni ko’chirish, xesh-ma’lumotga ega bo’lgan WORM arxivi.

5) Meta ma’lumotlar siyosati (minimal tarkibi)

ID, Versiya, Maqom (Draft/Active/Deprecated/Archived), Nashr/taftish sanasi, Egasi, Aloqalar.
Scope (nima/qaerda/kim uchun), Yurisdiksiya va istisnolar.
Atamalar va qisqartmalarni belgilash.
Majburiy talablar (control statements) + o’lchanadigan ko’rsatkichlar.
Protseduralar bo’yicha RACI.
Havolalar/qaramliklar (standartlar, tartib-taomillar, pleybuklar).
Istisnolarni boshqarish tartibi (waivers).
Bog’liq tavakkalchiliklar va KRI/KPI.
O’qish va attestatsiyaga qo’yiladigan talablar.
Versiyalar tarixi (changelog).

6) Versiyalar va o’zgartirishlarni boshqarish

Tasniflash:
  • Major: tamoyillarni/majburiy talablarni o’zgartirish; qayta attestatsiyadan o’tkazish talab etiladi.
  • Minor: tuzatishlar/misollar; majburiy attestatsiyasiz bildirishnoma.
  • Emergency: hodisa/regulyator tufayli tezkor tuzatishlar; post-faktum to’liq sharh.
Versiyalar jurnalining namunasi:
VersiyaTuriOʻzgarishlarSanaTasdiqlovchi
2. 0MajorLegal Hold haqida yangi boʻlim, yangilangan TTL2025-05-10Policy Board
1. 3MinorDSAR/PII atamalari aniqlashtirildi2025-02-01Owner
1. 2EEmergencyPI eksportini vaqtinchalik taqiqlash2025-01-12CISO

7) Mahalliylashtirish va yurisdiksiya qo’llanmalari

Korporativ tildagi Master-versiya + mahalliy ilovalar (Country Addendum).
Tarjimalar - terminologik glossariy orqali; yuridik validatsiya.
Tafovutlarni nazorat qilish: mahalliy versiya Master talablarini kuchaytirishi mumkin, ammo zaiflashtirmaydi.

8) Tizimlar va ma’lumotlar bilan integratsiya qilish

GRC platformasi: hujjatlar reyestri, maqomi, egalari, revyu-tsikllari, waivers reyestri.
IAM/IGA: o’qitish va attestatsiyalarni rollarga bog’lash; o’tmasdan kirishni taqiqlash.
Data Platform: maʼlumotlar katalogi, lineage, sezgirlik belgilari; TTL/retensiya nazorati.
CI/CD/DevSecOps: moslashuv geytlari; siyosat testlari (policy-as-code) va evidence to’plami.
SIEM/SOAR/DLP/EDRM: ijro nazorati, alerta va pleybuklar remediation.
HRIS/LMS: kurslar, testlar, proof-of-completion.

9) Samaradorlik metrikasi (KPI/KRI)

Coverage: o’z vaqtida attestatsiyadan o’tgan xodimlar/rollar%.
Policy Adoption: talablar standartlar/tartib-qoidalarga kiritilgan jarayonlar ulushi.
Exception Rate: Aktiv waivers soni va muddati tugagan%.
Drift/Violations: avtomatlashtirilgan nazorat qoidabuzarliklari.
Audit Readiness Time: aniq siyosat bo’yicha evidence tanlash vaqti.
Update Cadence: belgilangan muddatda taftishdan o’tgan hujjatlar ulushi.
Mean Time to Update (MTTU): triggerdan aktiv versiyagacha.

10) Istisnolarni boshqarish (Waivers) - jarayon

1. Sabablari, tavakkalchiliklari, muddatlari, kompensatsiya choralari tavsiflangan so’rov.
2. Tavakkalchilikni baholash va kelishish (Owner + Compliance + Legal).
3. Reyestrda ro’yxatdan o’tkazish; nazorat va tizimlarga bog’lanish.
4. Qayta ko’rib chiqish/yopish monitoringi va eslatmalari.
5. Qo’mita qaroriga ko’ra avtomatik ravishda olib tashlash yoki uzaytirish.

11) O’zbekiston Respublikasining

Design vs Operating Effectiveness: talablarning mavjudligi va amalda bajarilishi.
Sampling/Analytics: keyslarni tanlash, IaC ni qiyoslash, real konfiguratsiya, CaC qoidalarini isloh qilish.
Follow-up: remediation muddatlarini nazorat qilish, takroriy Findings monitoringi.

12) Chek-varaqlar

Siyosatni yaratish/yangilash

  • Maqsadlar va skope aniqlandi; atamalarning ta’riflari berilgan.
  • Majburiy talablar va metriklar yozilgan.
  • Regulyator/standartlarga xaritalash amalga oshirildi.
  • peer review (Legal/SecOps/Operations/Data).
  • Mehnat xarajatlari va amalga oshirish rejasi hisoblab chiqilgan.
  • Qo’mita/Homiy tomonidan tasdiqlash.
  • Portalda + kommunikatsiyalarda e’lon qilish.
  • O’qish/attestatsiya sozlandi.
  • Tegishli standartlar/protseduralar/pleybuklar yangilandi.
  • Nazorat va evidence yigʻish moslamalari oʻrnatilgan.

Yillik taftish

  • Tartibga solish va tavakkalchilikdagi o’zgarishlar tekshirildi.
  • Buzilishlar/waivers/audit-topilmalar tahlili hisobga olingan.
  • Metrika va SLO/SLA yangilandi.
  • Qayta attestatsiya o’tkazildi (agar Major bo’lsa).
  • Changelog va lokalizatsiya holatlari yangilandi.

13) Siyosat tuzilmasi namunasi (misol)

1. Foydalanish maqsadi va sohasi

2. Belgilash va qisqartirish

3. Majburiy talablar (Control Statements)

4. Rollar va javobgarlik (RACI)

5. Standartlar/Tartib-taomillar/Pleybuklar (havolalar)

6. Ijro metrikasi va monitoringi

7. Istisnolar (Waivers) va kompensatsiya choralari

8. Normativlarga muvofiqlik (Mapping)

9. O’qitish va attestatsiya

10. Hujjatni boshqarish (versiyalar, taftishlar, aloqalar)

14) Hujjatlarni boshqarish va raqamlash

ID formati:’POL-SEC-001’,’STD-DATA-021’,’SOP-DSAR-005’.
Portal uchun yagona nomlash qoidalari va yorliqlar (tags): domen, normativ, audit-mavzular.
«Singan havolalar» ni nazorat qilish, sunset/hujjatlarni birlashtirishda avto-tahririyatlar.

15) Xatarlar va antipatternlar

«Bajarilmagan siyosat»: standartlar/tartib-taomillar/nazoratlar yo’q → waivers va qoidabuzarliklarning o’sishi.
O’lchovsiz so’z formulalari: audit va avtomatlashtirish mumkin emas.
Hujjatlar oʻrtasidagi kelishmovchiliklar: yagona egasi/katalogi yoʻq.
O’qitish va attestatsiyaning yo’qligi: tushunmasdan rasmiy rozilik.
Versiyalar va mahalliylashtirish boshqaruvi mavjud emas: tafovutlar, tartibga solish xavflari.

16) PML etuklik modeli (M0-M4)

M0 Hujjatli: tarqoq fayllar, noyob yangilanishlar, qo’lda tarqatish.
M1 Katalog: yagona reyestr, bazaviy meta ma’lumotlar, qo’l taftishlari.
M2 Boshqariladigan: rasmiy RACI, muntazam taftishlar, attestatsiyalar, waivers-reyestr.
M3 Integratsiyalashgan: GRC + IAM/LMS, policy-as-code, avtomatlashtirilgan nazorat va evidence.
M4 Continuous Assurance: «tugma boʻyicha» tekshirish va hisobot, lokalizatsiya/versiyalar avtomatik ravishda sinxronlashtiriladi, xavf-triggerlar yangilanishlarni ishga tushiradi.

17) wiki bilan bog’liq moddalar

Muvofiqlikning uzluksiz monitoringi (CCM)

Komplayens va hisobotni avtomatlashtirish

Legal Hold va muzlatish

Privacy by Design va minimallashtirish

DSAR: foydalanuvchi soʻrovlari

Biznes uzluksizligi rejasi (BCP) va DRP

PCI DSS/SOC 2: nazorat va sertifikatlash

Jami

Siyosatning samarali hayot sikli - bu boshqariladigan tizim: yagona taksonomiya, shaffof rollar, o’lchanadigan talablar, muntazam taftishlar va avtomatlashtirilgan nazorat. Bunday tizimda hujjatlar tozalanmaydi - ular ishlaydi, o’qitadi, xatarlarni boshqaradi va har qanday auditga bardosh beradi.

Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.