يربط جدول التدقيق هذا ضوابط أمن CI/CD بمتطلبات توجيهية NIS2 وضوابط PCI DSS.
يدعم إدارة المخاطر وأمن سلسلة التوريد والجاهزية للتدقيق للأنظمة الحرجة والمتعلقة بالمدفوعات.
🔐 إدارة الهوية والوصول (IAM)
| الضابط | NIS2 | PCI DSS | نعم | لا |
|---|
| تطبيق أدنى الامتيازات لحسابات خدمة CI/CD | Art. 21(2)(b) | Req. 7.2 | ⬜ | ⬜ |
| الفصل بين هويات البشر وخطوط الأنابيب | Art. 21(2)(d) | Req. 7.1 | ⬜ | ⬜ |
| RBAC مُطبَّق لأنظمة CI/CD | Art. 21(2)(b) | Req. 7.2 | ⬜ | ⬜ |
| إلزامية MFA لمديري CI/CD | Art. 21(2)(a) | Req. 8.4 | ⬜ | ⬜ |
| الإجراءات المتميّزة تستوجب موافقة | Art. 21(2)(d) | Req. 6.4 | ⬜ | ⬜ |
🔑 إدارة الأسرار وبيانات الاعتماد
| الضابط | NIS2 | PCI DSS | نعم | لا |
|---|
| الأسرار غير مخزَّنة في شفرة المصدر | Art. 21(2)(a) | Req. 3.4 | ⬜ | ⬜ |
| حقن الأسرار في وقت التشغيل | Art. 21(2)(a) | Req. 3.6 | ⬜ | ⬜ |
| بيانات اعتماد مُحدَّدة النطاق حسب البيئة | Art. 21(2)(b) | Req. 7.2 | ⬜ | ⬜ |
| تدوير الأسرار بانتظام | Art. 21(2)(c) | Req. 3.6.4 | ⬜ | ⬜ |
| الأسرار مستبعدة من السجلات | Art. 21(2)(a) | Req. 10.5 | ⬜ | ⬜ |
📦 سلسلة توريد البرمجيات وسلامة الحزم
| الضابط | NIS2 | PCI DSS | نعم | لا |
|---|
| تعزيز أمن بيئات بناء CI/CD | Art. 21(2)(e) | Req. 6.2 | ⬜ | ⬜ |
| تطبيق توقيع الحزم | Art. 21(2)(e) | Req. 6.3 | ⬜ | ⬜ |
| إثبات مصدر الحزم وإمكانية التتبع | Art. 21(2)(e) | Req. 6.4 | ⬜ | ⬜ |
| مستودعات الحزم ثابتة غير قابلة للتعديل | Art. 21(2)(a) | Req. 6.4 | ⬜ | ⬜ |
| ترقية الحزم الموثوقة فحسب | Art. 21(2)(d) | Req. 6.4 | ⬜ | ⬜ |
🔗 تكاملات الجهات الخارجية في CI/CD
| الضابط | NIS2 | PCI DSS | نعم | لا |
|---|
| أدوات CI/CD الخارجية معتمدة رسمياً | Art. 21(2)(e) | Req. 12.8 | ⬜ | ⬜ |
| الإجراءات الخارجية مُثبَّتة على إصدارات | Art. 21(2)(e) | Req. 6.3 | ⬜ | ⬜ |
| التحقق من سلامة مكوّنات CI/CD الخارجية | Art. 21(2)(e) | Req. 6.2 | ⬜ | ⬜ |
| تقييد الإضافات التي تصونها المجتمعات | Art. 21(2)(b) | Req. 6.2 | ⬜ | ⬜ |
| مراقبة نشاط التكاملات | Art. 21(2)(c) | Req. 10.4 | ⬜ | ⬜ |
📊 التسجيل والمراقبة والجاهزية للحوادث
| الضابط | NIS2 | PCI DSS | نعم | لا |
|---|
| نشاط خط أنابيب CI/CD مُسجَّل بالكامل | Art. 21(2)(c) | Req. 10.2 | ⬜ | ⬜ |
| السجلات تشمل الموافقات وأحداث الأمان | Art. 21(2)(c) | Req. 10.3 | ⬜ | ⬜ |
| التسجيل المركزي مُفعَّل | Art. 21(2)(c) | Req. 10.5 | ⬜ | ⬜ |
| الاحتفاظ بالسجلات متوافق مع السياسة | Art. 21(2)(c) | Req. 10.7 | ⬜ | ⬜ |
| سجلات CI/CD تدعم التحقيق في الحوادث | Art. 23 | Req. 12.10 | ⬜ | ⬜ |
🛡️ الحوكمة والمخاطر وإدارة التغييرات
| الضابط | NIS2 | PCI DSS | نعم | لا |
|---|
| CI/CD مُدرَج في إدارة مخاطر الأمن السيبراني | Art. 21 | Req. 12.2 | ⬜ | ⬜ |
| الفصل بين المهام مُطبَّق | Art. 21(2)(d) | Req. 7.1 | ⬜ | ⬜ |
| موافقات التغيير مُطبَّقة عبر خطوط الأنابيب | Art. 21(2)(d) | Req. 6.4 | ⬜ | ⬜ |
| الاستثناءات معتمدة رسمياً وموثَّقة | Art. 21(2)(b) | Req. 12.3 | ⬜ | ⬜ |
| الوضع الأمني لـ CI/CD يُراجَع دورياً | Art. 21(2)(f) | Req. 12.11 | ⬜ | ⬜ |
كيفية استخدام جدول تدقيق NIS2 / PCI DSS
- استخدمه في تقييمات مخاطر الأمن السيبراني لـ NIS2
- ادعم عمليات تدقيق PCI DSS المتطلبَين 6 و10
- أثبت إدراج CI/CD في حوكمة الأمن التنظيمية
- أرفق مراجع الأدلة في عمود الملاحظات
- أعد التقييم بعد تغييرات خطوط الأنابيب أو الأدوات
موارد ذات صلة
سياق “جاهز للتدقيق”
محتوى موجّه للبيئات الخاضعة للتنظيم: الضوابط قبل الأدوات، فرض السياسات داخل CI/CD، وتوليد الأدلة بالتصميم لأغراض التدقيق.
التركيز على التتبّع، الموافقات، حوكمة الاستثناءات، والاحتفاظ بالأدلة عبر مراحل البناء والإصدار والتشغيل.
اطّلع على المنهجية في صفحة About.
