قائمة تدقيق NIS2 — حزمة أدلة لضباط الامتثال

بقلم

الغرض: دليل التحضير لتدقيق NIS2 الجاهز للاستخدام

صُمِّمت قائمة التدقيق هذه لضباط الامتثال الذين يُعدِّون مؤسساتهم لتدقيق الامتثال لـ NIS2. هي مُرتَّبة حول مجالات المتطلبات العشرة المحددة في المادة 21(2) من توجيه NIS2، وتُقدِّم لكل مجال: متطلبات الضبط، والأدلة التي تحتاج إلى جمعها، ومكان العثور عليها، ومعايير النجاح والفشل الواضحة.

استخدم هذا المستند الذي يمكن العمل به. اطبعه وشاركه مع فرقك واستخدمه لتتبع تقدم جمع الأدلة. سيقيِّم المدقق ما إذا كانت ضوابطك ليست موثَّقة فحسب بل مُنفَّذة وفعَّالة وموثَّقة بالأدلة.

المادة 21(2)(أ): تحليل المخاطر وسياسات أمن نظام المعلومات

متطلب الضبط الأدلة المطلوبة مكان العثور عليها معايير النجاح والفشل
سياسة أمن معلومات موثَّقة معتمدة من هيئة الإدارة وثيقة السياسة الموقَّعة مع ضبط الإصدارات وسجل الموافقة نظام إدارة الوثائق؛ محاضر اجتماعات مجلس الإدارة/الإدارة نجاح: السياسة موجودة وحديثة (مراجعة خلال 12 شهراً) ولها موافقة إدارية موثَّقة. فشل: لا توجد سياسة، أو السياسة قديمة، أو لا يوجد دليل على موافقة الإدارة.
منهجية تقييم المخاطر مُحدَّدة ومُطبَّقة وثيقة منهجية تقييم المخاطر؛ تقييمات المخاطر المكتملة؛ سجل المخاطر منصة GRC أو نظام إدارة المخاطر؛ سجلات فريق أمن المعلومات نجاح: المنهجية موثَّقة ومطبَّقة بالتناسق وسجل المخاطر حديث. فشل: لا توجد منهجية، أو تطبيق غير متسق، أو سجل مخاطر متقادم.
خطط معالجة المخاطر مع مالكين مُعيَّنين توثيق خطة معالجة المخاطر؛ أدلة تطبيق الضبط؛ سجلات قبول المخاطر المتبقية سجل المخاطر؛ أدوات إدارة المشاريع؛ سجلات الموافقة من الإدارة نجاح: لكل مخاطرة تتجاوز الشهية خطة معالجة مع مالك مُسمَّى وتاريخ مستهدف. فشل: مخاطر غير معالَجة، أو خطط بلا مالكين، أو لا يوجد دليل على التقدم.

المادة 21(2)(ب): معالجة الحوادث

متطلب الضبط الأدلة المطلوبة مكان العثور عليها معايير النجاح والفشل
خطة الاستجابة للحوادث تغطي الكشف والتحليل والاحتواء والاستئصال والتعافي وثيقة خطة الاستجابة للحوادث؛ الأدوار وممرات التصعيد المُحدَّدة؛ إجراءات الاتصال وثائق عمليات الأمن؛ منصة إدارة الحوادث نجاح: خطة شاملة موجودة وحديثة وتغطي جميع المراحل. فشل: لا توجد خطة، أو التغطية غير مكتملة، أو الخطة لم تُحدَّث بعد التغييرات التنظيمية.
معايير تصنيف الحوادث وإجراءات الإبلاغ متوافقة مع الجداول الزمنية لـ NIS2 وثيقة معايير التصنيف؛ إجراء الإبلاغ مع سير عمل الإنذار المبكر خلال 24 ساعة والإخطار خلال 72 ساعة إجراءات إدارة الحوادث؛ سجلات الاتصال بـ CSIRT نجاح: معايير تصنيف واضحة موجودة؛ الجداول الزمنية للإبلاغ تطابق متطلبات NIS2؛ تفاصيل الاتصال بـ CSIRT حديثة. فشل: لا يوجد مخطط تصنيف، أو جداول زمنية غير صحيحة، أو قنوات إبلاغ مجهولة.
أدلة على اختبار الاستجابة للحوادث سجلات تمارين المحاكاة؛ نتائج المحاكاة؛ وثائق الدروس المستخلصة؛ إجراءات التحسين سجلات فريق الأمن؛ سجلات التدريب؛ تقارير ما بعد التمرين نجاح: تمرين واحد على الأقل أُجري خلال 12 شهراً مع نتائج موثَّقة وإجراءات تحسين. فشل: لا يوجد دليل على اختبار أو اختبار بدون تحسينات موثَّقة.

المادة 21(2)(ج): استمرارية الأعمال وإدارة الأزمات

متطلب الضبط الأدلة المطلوبة مكان العثور عليها معايير النجاح والفشل
خطة BCP وDR تغطي إدارة النسخ الاحتياطي والتعافي من الكوارث وثائق خطتَي BCP وDR؛ أهداف وقت التعافي (RTO) وأهداف نقطة التعافي (RPO) المحددة؛ إجراءات التعافي وثائق فريق استمرارية الأعمال؛ سجلات عمليات تقنية المعلومات نجاح: خطط موجودة للخدمات الحيوية مع أهداف RTO/RPO محددة ومختبَرة. فشل: لا توجد خطط، أو خطط غير مختبَرة، أو أهداف تعافي غير محددة.
إدارة النسخ الاحتياطي مع اختبار منتظم سياسات النسخ الاحتياطي؛ جداول النسخ الاحتياطي وسجلاته؛ نتائج اختبار الاستعادة نظام إدارة النسخ الاحتياطي؛ سجلات عمليات تقنية المعلومات نجاح: نسخ احتياطية منتظمة مع اختبارات استعادة ناجحة موثَّقة. فشل: لا توجد سياسة نسخ احتياطي، أو لا يوجد اختبار للاستعادة، أو اختبارات فاشلة دون معالجة.
إجراءات إدارة الأزمات خطة إدارة الأزمات؛ شجرات الاتصال؛ إجراءات إخطار أصحاب المصلحة؛ سجلات تمارين الأزمات وثائق إدارة الأزمات المؤسسية؛ سجلات فريق الاتصالات نجاح: خطة موجودة مع ممرات تصعيد واضحة وقد جرى تمرين عليها. فشل: لا توجد خطة أزمات أو لا يوجد دليل على التمرين.

المادة 21(2)(د): أمن سلسلة التوريد

متطلب الضبط الأدلة المطلوبة مكان العثور عليها معايير النجاح والفشل
متطلبات أمنية في عقود الموردين بنود تعاقدية معيارية للأمن؛ عقود موقَّعة مع أحكام أمنية؛ سجلات تقييم أمن الموردين سجلات المشتريات/القانونية؛ منصة إدارة البائعين نجاح: الموردون الحيويون لديهم متطلبات أمنية تعاقدية؛ التقييمات موثَّقة. فشل: لا توجد بنود أمنية في العقود أو لا يوجد برنامج لتقييم الموردين.
برنامج تقييم مخاطر الموردين منهجية تقييم مخاطر الموردين؛ تقييمات مكتملة للموردين الحيويين؛ سجل مخاطر الموردين منصة إدارة البائعين؛ سجلات المشتريات؛ نظام إدارة المخاطر نجاح: الموردون الحيويون والمهمون مُقيَّمون مع نتائج موثَّقة وتقديرات مخاطر. فشل: لا توجد تقييمات مخاطر للموردين أو تغطية غير مكتملة للموردين الحيويين.
ضوابط سلسلة توريد البرمجيات (SBOM، إدارة التبعيات) سجلات توليد SBOM؛ نتائج مسح التبعيات؛ قوائم المكونات المعتمدة؛ سياسات المكونات التابعة لجهات خارجية مخرجات أنابيب CI/CD؛ أنظمة إدارة القطع الأثرية؛ أدوات المسح الأمني نجاح: تُولَّد قوائم SBOM للبرمجيات المُسلَّمة؛ التبعيات مُفحوصة ومُدارة. فشل: لا يوجد وضوح حول تركيب البرمجيات أو تبعيات غير مُدارة.

المادة 21(2)(ه): أمن الشبكة وأنظمة المعلومات

متطلب الضبط الأدلة المطلوبة مكان العثور عليها معايير النجاح والفشل
ضوابط أمن الشبكة (التجزئة، المراقبة، ضوابط الوصول) وثائق معمارية الشبكة؛ سياسات التجزئة؛ قواعد جدار الحماية؛ تهيئة مراقبة الشبكة أنظمة إدارة الشبكة؛ وثائق البنية التحتية؛ منصة SIEM نجاح: الشبكة مُجزَّأة بشكل ملائم؛ المراقبة نشطة؛ الضوابط موثَّقة. فشل: شبكة مسطحة، أو لا توجد مراقبة، أو معمارية شبكة غير موثَّقة.
مراقبة الأمن والتسجيل سياسة التسجيل؛ تهيئة الاحتفاظ بالسجلات؛ قواعد المراقبة والتنبيهات؛ لوحات SIEM منصة SIEM؛ بنية تحتية التسجيل؛ سجلات مركز عمليات الأمن نجاح: الأنظمة الحيوية مُسجَّلة؛ السجلات محتفَظ بها وفق السياسة؛ مراقبة نشطة مع قواعد تنبيه محددة. فشل: ثغرات في تغطية التسجيل، أو احتفاظ غير كافٍ، أو لا توجد مراقبة نشطة.

المادة 21(2)(و): معالجة الثغرات والإفصاح عنها

متطلب الضبط الأدلة المطلوبة مكان العثور عليها معايير النجاح والفشل
برنامج إدارة الثغرات سياسة إدارة الثغرات؛ جداول ونتائج المسح؛ اتفاقيات مستوى الخدمة للمعالجة وتتبعها؛ عملية الاستثناء أدوات مسح الثغرات؛ نظام إدارة التصحيحات؛ منصة GRC نجاح: مسح منتظم مع اتفاقيات مستوى خدمة محددة للمعالجة؛ الثغرات الحرجة معالَجة ضمن اتفاقية مستوى الخدمة. فشل: لا يوجد برنامج مسح، أو لا توجد اتفاقيات مستوى خدمة، أو انتهاكات مزمنة دون تصعيد.
عملية الإفصاح المنسَّق عن الثغرات سياسة الإفصاح عن الثغرات (منشورة)؛ قناة الاتصال للباحثين؛ إجراء التعامل مع الإفصاح الموقع الإلكتروني العام؛ إجراءات فريق الأمن نجاح: سياسة إفصاح منشورة مع عملية واضحة وجداول زمنية للاستجابة. فشل: لا توجد سياسة إفصاح أو لا توجد آلية لتلقي تقارير الثغرات الخارجية.

المادة 21(2)(ز): سياسات وإجراءات تقييم الفعالية

متطلب الضبط الأدلة المطلوبة مكان العثور عليها معايير النجاح والفشل
تقييم منتظم لفعالية تدابير الأمن السيبراني تقارير التدقيق الداخلي؛ نتائج اختبار الاختراق؛ مقاييس الأمن ومؤشرات الأداء الرئيسية؛ سجلات مراجعة الإدارة سجلات فريق التدقيق الداخلي؛ تقارير الاختبار الأمني؛ لوحات إدارة نجاح: تقييمات منتظمة تُجرى (سنوياً على الأقل) مع نتائج موثَّقة وإجراءات تحسين. فشل: لا توجد تقييمات فعالية أو تقييمات بدون إجراءات متابعة.

المادة 21(2)(ح): التشفير والتعمية

متطلب الضبط الأدلة المطلوبة مكان العثور عليها معايير النجاح والفشل
سياسة التشفير تغطي البيانات أثناء النقل وفي حالة السكون وثيقة سياسة التشفير؛ معايير الخوارزمية وطول المفتاح المعتمدة؛ إجراءات إدارة الشهادات؛ توثيق دورة حياة إدارة المفاتيح مكتبة سياسة أمن المعلومات؛ نظام إدارة PKI/الشهادات؛ نظام إدارة المفاتيح نجاح: السياسة موجودة مع خوارزميات معتمدة؛ البيانات أثناء النقل وفي حالة السكون مُشفَّرة وفق السياسة؛ دورة حياة إدارة المفاتيح موثَّقة. فشل: لا توجد سياسة تشفير، أو استخدام خوارزميات متقادمة، أو مفاتيح تشفير غير مُدارة.

المادة 21(2)(ط): ضبط الوصول

متطلب الضبط الأدلة المطلوبة مكان العثور عليها معايير النجاح والفشل
سياسة ضبط الوصول قائمة على الحد الأدنى من الصلاحيات والحاجة إلى المعرفة سياسة ضبط الوصول؛ تعريفات الوصول المبنية على الأدوار؛ إجراءات توفير وإلغاء توفير الوصول منصة IAM؛ سجلات الإلحاق والإنهاء في الموارد البشرية؛ وثائق ضبط الوصول نجاح: السياسة موجودة؛ الوصول مبني على الأدوار؛ التوفير وإلغاء التوفير موثَّقان وفي الوقت المناسب. فشل: لا توجد سياسة ضبط وصول، أو صلاحيات مفرطة، أو تأخر في إلغاء توفير المغادرين.
مراجعات الوصول المنتظمة جداول مراجعة الوصول؛ سجلات المراجعات المكتملة؛ إجراءات المعالجة من المراجعات منصة IAM؛ أداة مراجعة الوصول؛ سجلات الامتثال نجاح: مراجعات الوصول تُجرى ربع سنوياً للوصول المتميز وسنوياً للوصول القياسي؛ المعالجة مُتتبَّعة. فشل: لا توجد مراجعات وصول أو مراجعات بدون متابعة للمعالجة.

المادة 21(2)(ط): إدارة الأصول

متطلب الضبط الأدلة المطلوبة مكان العثور عليها معايير النجاح والفشل
جرد الأصول يغطي جميع شبكات وأنظمة المعلومات جرد الأصول/CMDB؛ مخطط تصنيف الأصول؛ تعيينات ملكية الأصول CMDB/نظام إدارة الأصول؛ منصة إدارة خدمات تقنية المعلومات نجاح: جرد شامل موجود مع تصنيف ومالكين مُعيَّنين؛ الجرد مُحدَّث بانتظام. فشل: جرد غير مكتمل، أو لا يوجد تصنيف، أو ملكية غير مُعيَّنة.

المادة 21(2)(ي): المصادقة متعددة العوامل والمصادقة المستمرة

متطلب الضبط الأدلة المطلوبة مكان العثور عليها معايير النجاح والفشل
MFA مُنشَر للوصول المتميز والوصول عن بُعد سياسة MFA؛ سجلات تسجيل MFA؛ أدلة تهيئة تطبيق MFA تهيئة منصة IAM/MFA؛ وثائق سياسة الوصول نجاح: MFA مُطبَّق على جميع الوصول المتميز والوصول عن بُعد؛ التسجيل مُتتبَّع؛ الاستثناءات موثَّقة ومحدودة زمنياً. فشل: MFA غير مُطبَّق للوصول المتميز، أو مستخدمون كثيرون غير مسجَّلين، أو استثناءات دائمة بلا مبرر.
قنوات مصادقة واتصال آمنة تهيئة نظام المصادقة؛ أدلة قناة الاتصال المُشفَّرة؛ سياسات إدارة الجلسات منصة IAM؛ تهيئة الشبكة؛ وثائق معمارية الأمن نجاح: حركة مرور المصادقة مُشفَّرة؛ ضوابط إدارة الجلسات موجودة؛ البروتوكولات الآمنة مُطبَّقة. فشل: تدفقات مصادقة غير مُشفَّرة أو إدارة جلسات ضعيفة.

الإشارات التحذيرية التي تدل على عدم الامتثال

خلال التحضير للتدقيق، يجب على ضباط الامتثال البحث بنشاط عن الإشارات التحذيرية التالية ومعالجتها قبل وصول المدقق:

  • سياسات بلا دليل تطبيق: السياسات موجودة على الورق لكن لا يوجد دليل على اتباعها فعلياً. سيبحث المدققون عن أدلة تشغيلية لا مجرد وثائق.
  • الوثائق القديمة: تقييمات المخاطر أو السياسات أو الإجراءات التي لم تُراجَع أو تُحدَّث منذ أكثر من 12 شهراً.
  • لا مشاركة لهيئة الإدارة: لا يوجد دليل على أن هيئة الإدارة اعتمدت تدابير الأمن السيبراني أو تلقت تقارير المخاطر أو أكملت التدريب المطلوب (المادة 20).
  • الاستجابة للحوادث لم تُختبَر قط: خطة الاستجابة للحوادث التي لم تُختبَر قط من خلال محاكاة أو تمرين.
  • مراجعات الوصول لم تُجرَ: لا يوجد دليل على مراجعات دورية للوصول، خاصةً للحسابات المتميزة.
  • جرد أصول مجهول: عدم القدرة على تقديم جرد حالي لشبكات وأنظمة المعلومات.
  • لا توجد تقييمات أمن للموردين: موردون حيويون بلا تقييم أمن على السجل.
  • أدلة يدوية بلا ضوابط نزاهة: أدلة يمكن تزويرها أو تعديلها بسهولة بلا طوابع زمنية مُولَّدة من نظام أو مسارات تدقيق.
  • نقاط فشل مفردة في الضوابط الرئيسية: وظائف أمنية حيوية تعتمد على فرد واحد بلا نسخة احتياطية أو خطة خلافة.
  • لا مقاييس على فعالية الضبط: عدم القدرة على إثبات أن تدابير الأمن تعمل فعلياً لا مجرد مُنشَرة.

متطلبات سلامة الأدلة

جودة أدلتك لا تقل أهمية عن وجودها. سيُقيِّم المدققون ما إذا كانت الأدلة موثوقة وجديرة بالثقة. لتصمد أمام التدقيق، يجب أن تستوفي أدلتك هذه المعايير:

  • مُولَّدة من نظام: حيثما أمكن، يجب توليد الأدلة تلقائياً من الأنظمة لا إنشاؤها يدوياً. السجلات والتقارير والسجلات المُولَّدة من النظام أكثر موثوقية بطبيعتها من جداول البيانات المُجمَّعة يدوياً.
  • مزوَّدة بطوابع زمنية: يجب أن تحمل جميع الأدلة طوابع زمنية دقيقة تُظهر متى جرت الإجراءات ومتى أُجريت المراجعات ومتى مُنحت الموافقات. تأكد من مزامنة ساعات النظام (NTP) للحفاظ على موثوقية الطوابع الزمنية.
  • مقاومة التلاعب: يجب تخزين الأدلة في أنظمة لا يمكن تعديلها بسهولة بعد الحقيقة. تعزز السجلات غير القابلة للتغيير والتخزين مرة واحدة وفحوصات النزاهة التشفيرية موثوقية الأدلة.
  • قابلة للنسب: يجب أن تُحدِّد الأدلة بوضوح من قام بكل إجراء. المساءلة الفردية تستلزم حسابات فردية — الحسابات المشتركة تُضعف النسب.
  • محتفَظ بها بشكل ملائم: يجب الاحتفاظ بالأدلة لفترة كافية لتغطية دورات التدقيق والمتطلبات التنظيمية. حدِّد فترات الاحتفاظ وتأكد من تطبيقها.

هيكل حزمة الأدلة المقترح

يجب على ضباط الامتثال تنظيم حزمة أدلتهم بهيكل يُعيِّن مباشرةً إلى متطلبات NIS2، مما يُسهِّل على المدققين التنقل. يُوصى بهيكل النماذج التالي:

هيكل المجلدات

  • 01 — الحوكمة وإدارة المخاطر (المادة 21(2)(أ))
    • سياسة أمن المعلومات (حالية، موقَّعة)
    • منهجية تقييم المخاطر
    • سجل المخاطر الحالي مع خطط المعالجة
    • سجلات موافقة هيئة الإدارة
    • سجلات تدريب هيئة الإدارة (المادة 20)
  • 02 — معالجة الحوادث (المادة 21(2)(ب))
    • خطة الاستجابة للحوادث
    • معايير تصنيف الحوادث
    • إجراءات الإبلاغ وجهات اتصال CSIRT
    • سجلات التمرين والدروس المستخلصة
    • سجل الحوادث (مُنقَّح عند الضرورة)
  • 03 — استمرارية الأعمال (المادة 21(2)(ج))
    • خطة استمرارية الأعمال
    • خطة التعافي من الكوارث
    • سياسة النسخ الاحتياطي ونتائج اختبار الاستعادة
    • إجراءات إدارة الأزمات
    • سجلات تمارين BCP/DR
  • 04 — أمن سلسلة التوريد (المادة 21(2)(د))
    • سياسة أمن الموردين
    • سجل الموردين الحيويين
    • سجلات تقييم الموردين
    • بنود العقود الأمنية المعيارية
    • نماذج SBOM (لتسليم البرمجيات)
  • 05 — أمن الشبكة والأنظمة (المادة 21(2)(ه))
    • وثائق معمارية الشبكة
    • سياسات التجزئة وأدلتها
    • تهيئة المراقبة والتسجيل
    • قواعد تنبيه SIEM وإجراءات الاستجابة
  • 06 — إدارة الثغرات (المادة 21(2)(و))
    • سياسة إدارة الثغرات
    • جداول المسح والنتائج الأخيرة
    • اتفاقيات مستوى الخدمة للمعالجة ومقاييس الامتثال
    • سياسة الإفصاح عن الثغرات
  • 07 — تقييم الفعالية (المادة 21(2)(ز))
    • تقارير التدقيق الداخلي
    • تقارير اختبار الاختراق
    • مقاييس الأمن ولوحات مؤشرات الأداء الرئيسية
    • محاضر اجتماعات مراجعة الإدارة
  • 08 — التشفير (المادة 21(2)(ح))
    • سياسة التشفير
    • الخوارزميات وأطوال المفاتيح المعتمدة
    • إجراءات إدارة المفاتيح
    • جرد الشهادات
  • 09 — ضبط الوصول وإدارة الأصول (المادة 21(2)(ط))
    • سياسة ضبط الوصول
    • سجلات مراجعة الوصول
    • مستخلص جرد الأصول / CMDB
    • مخطط تصنيف الأصول
  • 10 — المصادقة (المادة 21(2)(ي))
    • سياسة MFA وأدلة التطبيق
    • مقاييس تسجيل MFA
    • أدلة قناة الاتصال الآمنة
    • سجل الاستثناءات (إن وُجد)

موارد ذات صلة

للحصول على توجيهات إضافية حول التحضير لتدقيق NIS2 والامتثال، انظر:

موارد ذات صلة للمدققين

هل أنت جديد على تدقيق CI/CD؟ ابدأ بـ دليل المدقق.