المادة 28 من DORA — حزمة الأدلة (منظور المدقق والمهندس)

بقلم

مقدمة

تُلزم المادة 28 من DORA الكيانات المالية الخاضعة للتنظيم بإثبات فاعلية السيطرة على مخاطر ICT من الأطراف الثالثة.

يتجاوز هذا الالتزام استبيانات الموردين أو التصريحات التعاقدية بكثير. فالمدققون لا يقيّمون النوايا — بل يقيّمون الأدلة.

تقدم هذه المقالة حزمة أدلة عملية للمادة 28 من DORA، مع التركيز على ما يطلبه المدققون عادةً، ومصادر الأدلة، وكيفية دعم أنظمة CI/CD والتسليم السحابي لإدارة مخاطر ICT من الأطراف الثالثة.

تعمل هذه المقالة على سد الفجوة بين منظورين متكاملين:

  • المدققون يفكرون من منظور أهداف الضبط والأدلة والمساءلة.
  • المهندسون يفكرون من منظور الأنظمة والمسارات والتكوينات والأتمتة.

كلا المنظورين صحيح — لكنهما ليسا قابلَيْن للتبادل. تُبيّن هذه المقالة ما يسعى المدققون فعلاً إلى التحقق منه، وكيف ينبغي للمهندسين تطبيق الضوابط لتلبية تلك التوقعات.

ما تدور حوله عمليات تدقيق المادة 28 فعلاً

من منظور التدقيق، تجيب المادة 28 على أربعة أسئلة جوهرية:

  1. هل تعرفون أي أطراف ثالثة في مجال ICT تعتمدون عليها؟
  2. هل الالتزامات التعاقدية قابلة للتطبيق من الناحية العملية؟
  3. هل يمكنكم مراقبة مخاطر الأطراف الثالثة باستمرار؟
  4. هل يمكنكم الخروج بأمان في حال فشل مزوّد أو عدم امتثاله؟

يجب أن تكون الأدلة تشغيلية وقابلة للتتبع وقابلة للتحقق — وليست قائمة على السياسات فحسب.

كيف يتعامل المدققون مع مراجعة المادة 28

لا يبدأ المدققون بالأدوات أو مخططات البنية التحتية. يبدؤون بـأسئلة المخاطر:

  • هل يُدخل مزودو ICT من الأطراف الثالثة مخاطر تشغيلية غير مُدارة؟
  • هل تُغطي العقود الأحكامَ اللازمة: حقوق التدقيق وأهداف مستوى الخدمة وخطط الطوارئ والخروج؟
  • هل ثمة دليل على الرقابة المستمرة وليس مجرد تقييمات دورية؟
  • هل يمكن إثبات قدرات TPRM بدلاً من الاكتفاء بوصفها؟

منظور المدقق: ما يُطلب من الأدلة

الفئة الأولى: جرد الأطراف الثالثة في مجال ICT

ما يطلبه المدققون:

  • سجل TPRM كامل يتضمن التصنيفات والأدوار والحالة التعاقدية
  • تعريفات التصنيف الذي يُصنَّف بموجبه الموردون على أنهم حرجون
  • سياسة إدارة دورة حياة المورد موثقة وسارية
  • الحوكمة: من المسؤول عن صيانة سجل TPRM؟

أخطاء شائعة:

  • السجلات غير المحدَّثة التي تفتقر إلى تواريخ آخر مراجعة
  • الأطراف الثالثة المكتشفة عبر مسح البنية التحتية — وليس عبر السجل
  • الأطراف الثالثة في مجال CI/CD (مسجلات الحزم والمستودعات وأدوات الفحص) غائبة عن سجل TPRM

الفئة الثانية: الالتزامات التعاقدية

  • عقود تتضمن صراحةً: حقوق التدقيق، وأهداف مستوى الخدمة، وأحكام الاستمرارية
  • سياسات أمن سلسلة التوريد تُغطي بيئات CI/CD
  • متطلبات الامتثال للمورد (SOC 2، ISO 27001) مُدرجة في العقود
  • بنود الخروج والإنهاء مع جداول زمنية واضحة للتحول

الفئة الثالثة: الرقابة المستمرة

  • سجلات رقابة المورد (تقارير أداء SLA وسجلات الحوادث وتقارير المراجعة)
  • تقارير SCA وSBOM تُبيّن التبعيات النشطة
  • سياسة سلامة سلسلة التوريد في CI/CD مع ثبوتيات قابلة للتدقيق
  • سجلات إشعارات الثغرات وأوقات الاستجابة

الفئة الرابعة: إدارة المخاطر وتركيز الموردين

  • تحليل تركيز الموردين: هل تعتمد المؤسسة اعتماداً مفرطاً على مورد واحد؟
  • خطط التقليل من المخاطر للموردين الحرجين الذين تجاوزوا حدود التركيز
  • تقييمات مخاطر الموردين من الباطن (تبعيات الرابع والخامس)

الفئة الخامسة: الخروج والاستمرارية

  • خطط الخروج الموثقة لكل مورد حرج
  • استراتيجيات BCP وDR التي تأخذ في الاعتبار فشل الأطراف الثالثة
  • نتائج الاختبار: هل جرى اختبار إجراءات الخروج بالفعل؟
  • قدرات الاسترداد من النسخ الاحتياطي التي لا تعتمد على تعاون المورد

منظور المهندس: كيفية إنتاج الأدلة

CI/CD وتوليد أدلة TPRM

تُعدّ بيئات CI/CD مصدراً رئيسياً لأدلة المادة 28. يمتد المدققون أيضاً إلى مسجلات الحزم وصور Docker وأدوات الفحص (SAST وDAST وSCA) وأدوات البنية التحتية كرمز وخدمات التوزيع.

نوع الدليلالمصدرما يتحقق منه المدقق
تقارير SBOMSyft أو Trivy أو CycloneDXقائمة كاملة بالتبعيات
نتائج SCADependabot أو Snyk أو OWASP Dependency-Checkالثغرات المعروفة في المكتبات
سجلات سلامة المسارGitHub أو GitLab أو Jenkinsالتغييرات المرخصة فحسب
التحقق من توقيع الصورةCosign أو Notaryسلامة صور الحاويات
قفل التبعياتملفات lock (package-lock.json وما شابه)لا توجد تحديثات ضمنية
السياسة كرمزOPA أو Kyvernoإنفاذ قواعد TPRM آلياً

قائمة التحقق: حزمة أدلة المادة 28

  • سجل TPRM محدَّث يشمل مزودي CI/CD والسحابة
  • عقود بها حقوق تدقيق نشطة وأهداف SLA وبنود خروج
  • تقارير SCA وSBOM دورية من CI/CD
  • قفل التبعيات مُنفَّذ وسلامة الصور مُتحقَّق منها
  • خطط BCP وDR مُختبَرة تشمل سيناريوهات فشل الأطراف الثالثة

خلاصة

لا تتعلق المادة 28 من DORA بالوثائق فحسب — بل بالتحكم الفعلي القابل للإثبات في المخاطر المرتبطة بـ ICT من الأطراف الثالثة. المؤسسات التي تعامل CI/CD كمنتج للأدلة ستتميز في عمليات التدقيق.