صُمِّمت هذه القائمة لتقييم الامتثال لمتطلبات DORA المادة 21 من خلال ضوابط مسار CI/CD وعمليات ICT الداعمة. وتدعم عمليات التدقيق الداخلية والمراجعات الرقابية والتقييمات التنظيمية.
المادة 21(1) — إطار إدارة مخاطر ICT
بند التحقق
نعم
لا
تُدرج مسارات CI/CD ضمن نطاق إدارة مخاطر ICT
⬜
⬜
تُحدَّد مخاطر ICT المرتبطة بتسليم البرمجيات بصورة رسمية
⬜
⬜
تُطبَّق الضوابط الوقائية عبر مسارات CI/CD
⬜
⬜
توجد آليات كشف للحوادث المرتبطة بالمسار
⬜
⬜
يدعم CI/CD عمليات الاستجابة والاسترداد
⬜
⬜
المادة 21(2)(أ) — التحكم في الوصول
بند التحقق
نعم
لا
يتبع وصول CI/CD مبدأ أدنى الصلاحيات
⬜
⬜
تنفصل هويات المسار عن المستخدمين البشريين
⬜
⬜
يُطبَّق RBAC لإدارة تكوين المسار
⬜
⬜
يُشترط MFA لمسؤولي CI/CD
⬜
⬜
تُقيَّد الإجراءات ذات الامتياز وتُراقَب
⬜
⬜
المادة 21(2)(ب) — الفصل بين المهام
بند التحقق
نعم
لا
لا يستطيع المطورون الموافقة على تغييراتهم الإنتاجية بأنفسهم
⬜
⬜
مراجعة الكود إلزامية قبل تنفيذ المسار
⬜
⬜
أذونات البناء والنشر منفصلة
⬜
⬜
التجاوزات والاستثناءات مُسجَّلة
⬜
⬜
الفصل بين المهام يُراجَع دوريًا
⬜
⬜
المادة 21(2)(ج) — التسجيل والمراقبة
بند التحقق
نعم
لا
تُسجَّل جميع عمليات تنفيذ CI/CD
⬜
⬜
تتضمن السجلات الموافقات وعمليات التحقق الأمني
⬜
⬜
السجلات مجمَّعة مركزيًا
⬜
⬜
فترة الاحتفاظ بالسجلات تستوفي المتطلبات التنظيمية
⬜
⬜
توجد تنبيهات للسلوك الشاذ في المسار
⬜
⬜
المادة 21(2)(د) — إدارة التغيير والنزاهة
بند التحقق
نعم
لا
تمر جميع التغييرات الإنتاجية عبر مسارات CI/CD
⬜
⬜
تُتحقق من نزاهة الحزمة قبل النشر
⬜
⬜
يربط المصدر الكود المصدري بالحزم المنشورة
⬜
⬜
عمليات النشر خارج النطاق ممنوعة أو مُسجَّلة
⬜
⬜
موافقات التغيير قابلة للتدقيق
⬜
⬜
المادة 21(2)(هـ) — الصمود والنسخ الاحتياطي والاسترداد
