تدقيق أمن CI/CD — مخطط ربط الامتثال (ISO 27001 / SOC 2 / DORA)

يربط جدول التدقيق الموجّه نحو الامتثال هذا ضوابط أمن CI/CD بأطر تنظيمية وضمان شائعة.
وهو مُعدّ لدعم عمليات التدقيق الداخلي والتقييمات الخارجية والجاهزية التنظيمية في البيئات المؤسسية.

🔐 إدارة الهوية والوصول (IAM)

الضابط	ISO 27001	SOC 2	DORA	نعم	لا
تطبيق أدنى الامتيازات لحسابات خدمة CI/CD	A.8.2 / A.5.15	CC6.1	ICT Risk Mgmt	⬜	⬜
الفصل بين هويات البشر وخطوط الأنابيب	A.6.3	CC6.3	Governance	⬜	⬜
RBAC لإعداد خطوط الأنابيب	A.5.18	CC6.2	Access Control	⬜	⬜
إلزامية MFA لمديري CI/CD	A.5.17	CC6.1	ICT Security	⬜	⬜
الموافقة مطلوبة للإجراءات المتميّزة في خط الأنابيب	A.5.19	CC7.2	Change Mgmt	⬜	⬜

🔑 إدارة الأسرار

الضابط	ISO 27001	SOC 2	DORA	نعم	لا
الأسرار غير مخزَّنة في نظام التحكم بالمصدر	A.8.12	CC6.1	ICT Security	⬜	⬜
حقن الأسرار في وقت التشغيل	A.8.24	CC6.7	ICT Risk Mgmt	⬜	⬜
أسرار مُحدَّدة النطاق حسب البيئة	A.5.15	CC6.2	Governance	⬜	⬜
تدوير الأسرار بانتظام	A.8.15	CC6.1	ICT Security	⬜	⬜
استبعاد قيم الأسرار من السجلات	A.8.16	CC7.2	Monitoring	⬜	⬜

📦 سلامة الحزم وسلسلة توريد البرمجيات

الضابط	ISO 27001	SOC 2	DORA	نعم	لا
تعزيز أمن بيئات بناء CI/CD	A.8.20	CC6.6	ICT Resilience	⬜	⬜
تطبيق توقيع الحزم	A.8.23	CC7.3	Supply Chain	⬜	⬜
ربط إثبات المصدر بالكود وخط الأنابيب والحزمة	A.8.9	CC7.2	Traceability	⬜	⬜
مستودعات الحزم تُطبّق اللاتغيير	A.8.10	CC6.5	ICT Security	⬜	⬜
الترقية مقتصرة على الحزم الموثوقة	A.8.21	CC6.6	Change Mgmt	⬜	⬜

🔗 تكاملات الجهات الخارجية في CI/CD

الضابط	ISO 27001	SOC 2	DORA	نعم	لا
إضافات CI/CD الخارجية معتمدة رسمياً	A.5.22	CC6.3	Third-Party Risk	⬜	⬜
التكاملات مُثبَّتة على إصدارات محددة	A.8.8	CC7.3	Supply Chain	⬜	⬜
التحقق من سلامة الإجراءات الخارجية	A.8.23	CC7.3	ICT Security	⬜	⬜
تقييد الإضافات التي تصونها المجتمعات	A.5.23	CC6.6	Risk Mgmt	⬜	⬜
مراقبة استخدام التكاملات	A.8.16	CC7.2	Monitoring	⬜	⬜

📊 التسجيل والمراقبة وأدلة التدقيق

الضابط	ISO 27001	SOC 2	DORA	نعم	لا
نشاط خط أنابيب CI/CD مُسجَّل بالكامل	A.8.15	CC7.2	Monitoring	⬜	⬜
السجلات تشمل الموافقات وفحوصات الأمان	A.8.14	CC7.3	Governance	⬜	⬜
جمع السجلات مركزياً	A.8.16	CC7.2	ICT Risk Mgmt	⬜	⬜
الاحتفاظ بالسجلات متوافق مع السياسة	A.5.34	CC7.4	Record Keeping	⬜	⬜
الأدلة تدعم التدقيق والتحقيقات	A.5.31	CC2.2	Compliance	⬜	⬜

🛡️ إدارة التغييرات والحوكمة

الضابط	ISO 27001	SOC 2	DORA	نعم	لا
التغييرات تُراجَع وتُوافَق عليها عبر خط الأنابيب	A.8.32	CC8.1	Change Mgmt	⬜	⬜
الفصل بين أدوار البناء والنشر	A.6.3	CC6.3	Governance	⬜	⬜
تطبيق السياسة عبر البوابات الآلية	A.5.19	CC7.2	ICT Security	⬜	⬜
الاستثناءات معتمدة رسمياً ومُسجَّلة	A.5.31	CC2.3	Compliance	⬜	⬜
مراجعة حوكمة CI/CD دورياً	A.5.36	CC1.2	Oversight	⬜	⬜

كيفية استخدام جدول التدقيق الخاص بالامتثال

استخدمه في التدقيقات الداخلية لـ ISO 27001
أرفقه بـتقييمات جاهزية SOC 2
ادعم أدلة إدارة مخاطر ICT الخاصة بـ DORA
تتبع إجراءات المعالجة في عمود الملاحظات
راجع دورياً كلما تطوّرت خطوط الأنابيب

موارد ذات صلة

سياق “جاهز للتدقيق”

محتوى موجّه للبيئات الخاضعة للتنظيم: الضوابط قبل الأدوات، فرض السياسات داخل CI/CD، وتوليد الأدلة بالتصميم لأغراض التدقيق.

التركيز على التتبّع، الموافقات، حوكمة الاستثناءات، والاحتفاظ بالأدلة عبر مراحل البناء والإصدار والتشغيل.

اطّلع على المنهجية في صفحة About.