الغرض من هذا التقييم الذاتي
صُمِّمت قائمة التدقيق الذاتي هذه للمؤسسات التي تستعد لاجتياز فحص SOC 2 من النوع الثاني والذي يشمل بيئات CI/CD ضمن نطاق التدقيق. استخدمها لتحديد الثغرات في الضوابط، وتحديد أولويات جهود التصحيح، وبناء الثقة بأن بيئة الأنابيب لديك ستصمد أمام تدقيق المراجعين.
لكل بند في قائمة التدقيق، قيّم وضعك الحالي بوصفه نعم (مُنفَّذ بالكامل وموثَّق)، أو جزئي (مُنفَّذ جزئياً أو يفتقر إلى الأدلة)، أو لا (غير مُنفَّذ). البنود المُقيَّمة بـ “جزئي” أو “لا” تستلزم المعالجة قبل بدء فترة التدقيق.
قائمة تدقيق CC6: ضوابط الوصول
| # |
بند الضبط |
الحالة (ن/ج/ل) |
الأدلة المطلوبة |
إرشادات المعالجة |
| 6.1 |
تم تهيئة RBAC عبر جميع منصات الأنابيب (المستودع، نظام البناء، سجل القطع الأثرية، أدوات النشر) |
|
صادرات تهيئة RBAC، وثيقة تعريف الأدوار |
حدِّد الأدوار المعيارية (مطوِّر، مراجع، معتمِد، مسؤول) وقِّعها على نموذج الأذونات في كل منصة |
| 6.2 |
يُطبَّق MFA على جميع الحسابات البشرية التي تصل إلى أنظمة الأنابيب |
|
تهيئة سياسة MFA، تقارير التسجيل، سجل الاستثناءات |
فعِّل MFA على مستوى المؤسسة بالكامل؛ وثِّق أي استثناءات تقنية مع ضوابط تعويضية |
| 6.3 |
تلتزم حسابات الخدمة بمبدأ الحد الأدنى من الصلاحيات مع توثيق مبرر كل إذن |
|
جرد حسابات الخدمة، مصفوفة مبررات الأذونات |
دقِّق في جميع حسابات الخدمة؛ أزل الأذونات غير الضرورية؛ وثِّق المبرر التجاري للأذونات المتبقية |
| 6.4 |
مراجعات الوصول ربع السنوية مجدولة وتغطي جميع أنظمة الأنابيب |
|
جدول المراجعات، سجلات المراجعات المكتملة، أدلة المعالجة |
أنشئ أحداثاً متكررة في التقويم؛ عيِّن مالكي المراجعة؛ أنشئ نموذج مراجعة معياري |
| 6.5 |
إجراءات الإلحاق والإنهاء تشمل توفير الوصول وإلغاءه لأنظمة الأنابيب |
|
توثيق تكامل الموارد البشرية، قوائم تدقيق إلغاء التوفير، سجلات التوقيت |
أضف أنظمة الأنابيب إلى قوائم تدقيق الإلحاق والإنهاء لتقنية المعلومات؛ أتمت حيثما أمكن |
| 6.6 |
إجراءات الوصول في حالات الطوارئ والوصول الاستثنائي موثَّقة وتستلزم مراجعة ما بعد الاستخدام |
|
وثيقة إجراء الوصول الطارئ، سجلات الاستخدام، سجلات مراجعة ما بعد الاستخدام |
وثِّق إجراء الوصول الطارئ؛ نفِّذ تنبيهات عند استخدام الوصول الطارئ |
| 6.7 |
تُدار الأسرار وبيانات الاعتماد عبر حل مخصص لإدارة الأسرار (غير مُضمَّنة في الكود) |
|
تهيئة أداة إدارة الأسرار، نتائج المسح التي تُظهر عدم وجود أسرار مُضمَّنة |
نفِّذ أداة إدارة الأسرار؛ شغِّل مسح الأسرار عبر جميع المستودعات |
| 6.8 |
يقتصر الوصول الشبكي إلى بنية تحتية للأنابيب على الشبكات والموظفين المصرَّح لهم |
|
توثيق تهيئة الشبكة، قواعد جدار الحماية، تهيئة VPN/الثقة الصفرية |
نفِّذ قيود الشبكة؛ وثِّق مسارات الوصول المسموح بها |
| 6.9 |
وصول عُمَّال/وكلاء الأنابيب معزول ولا يمكنه الوصول إلى موارد خارج النطاق المحدد |
|
تهيئة العامل، توثيق العزل، أدلة تجزئة الشبكة |
هيِّئ عزل العامل؛ نفِّذ تجزئة الشبكة لبيئات البناء |
قائمة تدقيق CC7: عمليات النظام
| # |
بند الضبط |
الحالة (ن/ج/ل) |
الأدلة المطلوبة |
إرشادات المعالجة |
| 7.1 |
تُسجَّل تغييرات تهيئة الأنابيب وتُراقَب مع تنبيهات للتعديلات غير المصرَّح بها |
|
تهيئة المراقبة، قواعد التنبيه، نماذج إشعارات التنبيه |
نفِّذ مراقبة تغييرات التهيئة؛ هيِّئ تنبيهات لفريق الأمن |
| 7.2 |
يوجد كشف الشذوذات لنشاط الأنابيب غير المعتاد (بناء خارج ساعات العمل، أنماط نشر غير عادية) |
|
قواعد كشف الشذوذات، توثيق الخط الأساسي، سجل التنبيهات |
حدِّد خطوط أساسية لسلوك الأنابيب الطبيعي؛ هيِّئ تنبيهات الشذوذات |
| 7.3 |
حوادث الأنابيب مُدمجة في برنامج الاستجابة للحوادث الخاص بالمؤسسة |
|
خطة الاستجابة للحوادث التي تغطي CI/CD، معايير تصنيف الحوادث، إجراءات التصعيد |
حدِّث خطة الاستجابة للحوادث لتشمل سيناريوهات CI/CD؛ درِّب فريق الاستجابة للحوادث على الحوادث الخاصة بالأنابيب |
| 7.4 |
تُراقَب طاقة بنية تحتية للأنابيب وتُدار لمنع التدهور |
|
لوحات مراقبة الطاقة، سياسات التوسع، وثائق تخطيط الطاقة |
نفِّذ مراقبة الطاقة؛ أنشئ عتبات التوسع وإجراءاته |
| 7.5 |
توجد إجراءات النسخ الاحتياطي والاسترداد لتهيئة الأنابيب وبنيتها التحتية |
|
جداول النسخ الاحتياطي، إجراءات الاسترداد، نتائج اختبار الاسترداد |
نفِّذ نسخاً احتياطية لتهيئة الأنابيب؛ وثِّق إجراءات الاسترداد واختبرها |
| 7.6 |
السجلات مركزية مع فترات احتفاظ محددة تستوفي متطلبات التدقيق |
|
تهيئة تجميع السجلات، توثيق سياسة الاحتفاظ، التحقق من التخزين |
مركز سجلات الأنابيب؛ هيِّئ الاحتفاظ ليغطي فترة التدقيق مع هامش |
| 7.7 |
تنبيهات أحداث الأمن لها إجراءات استجابة محددة ومالكون معيَّنون |
|
كتيبات تشغيل الاستجابة للتنبيهات، تعيينات المالكين، اتفاقيات مستوى خدمة وقت الاستجابة |
أنشئ كتيبات تشغيل الاستجابة لكل نوع تنبيه؛ عيِّن المالكين ودرِّبهم |
قائمة تدقيق CC8: إدارة التغيير
| # |
بند الضبط |
الحالة (ن/ج/ل) |
الأدلة المطلوبة |
إرشادات المعالجة |
| 8.1 |
تستلزم جميع التغييرات في الإنتاج مراجعة من قِبَل أحد الأقران المؤهلين من غير المؤلف |
|
قواعد حماية الفرع، إعدادات طلب الدمج، نماذج سجلات المراجعة |
هيِّئ حماية الفرع؛ فرض الحد الأدنى من متطلبات المراجعين |
| 8.2 |
الموافقة الرسمية مطلوبة قبل النشر في بيئة الإنتاج مع توثيق الموافقة ونسبها |
|
تهيئة بوابة موافقة النشر، سجلات الموافقة مع الطوابع الزمنية وهوية المعتمِد |
نفِّذ بوابات موافقة النشر؛ تأكد من تسجيل الموافقات مع النسب |
| 8.3 |
يُطبَّق الفصل بين المهام — لا يستطيع المؤلف الموافقة على تغييراته أو نشرها |
|
تهيئة تطبيق الفصل بين المهام، تقارير التحقق التي تُظهر عدم وجود موافقات ذاتية |
هيِّئ التطبيق التقني لمنع الموافقة الذاتية؛ شغِّل تقارير التحقق |
| 8.4 |
يعمل المسح الأمني الآلي (SAST, SCA, كشف الأسرار) على كل تغيير مع عتبات محددة |
|
تهيئة الأنابيب التي تُظهر خطوات المسح، إعدادات العتبات، سجلات تطبيق البوابة |
دمج أدوات المسح الأمني؛ حدِّد عتبات قائمة على الخطورة؛ هيِّئ البوابات الحاجبة |
| 8.5 |
بوابات الاختبار الآلي تمنع النشر عند عدم استيفاء معايير الجودة |
|
تهيئة بوابة الاختبار، سجلات النجاح والفشل، تقارير تغطية الاختبار |
حدِّد الحد الأدنى لمعايير الجودة؛ هيِّئ التطبيق الآلي |
| 8.6 |
إجراءات التراجع موثَّقة ومختبَرة ويمكن تنفيذها ضمن إطارات زمنية محددة |
|
توثيق إجراء التراجع، سجلات الاختبار، قياسات وقت التنفيذ |
وثِّق إجراءات التراجع؛ جدوِّل اختبار التراجع وأجرِه |
| 8.7 |
إجراءات التغيير الطارئ موثَّقة مع ضوابط معززة (مراجعة ما بعد التنفيذ، موافقة مُستعجَلة) |
|
وثيقة إجراء التغيير الطارئ، سجل التغييرات الطارئة، سجلات مراجعة ما بعد التنفيذ |
حدِّد إجراء التغيير الطارئ؛ نفِّذ التتبع والمراجعة اللاحقة الإلزامية |
| 8.8 |
عزل البيئات يمنع التغييرات في بيئتَي التطوير والاختبار من التأثير مباشرة في الإنتاج |
|
توثيق معمارية البيئة، قيود الوصول بين البيئات |
نفِّذ عزل البيئات؛ قيِّد وصول الإنتاج على أتمتة النشر |
| 8.9 |
سجلات التغيير توفر إمكانية التتبع الكاملة من المتطلب إلى نشر الإنتاج |
|
نماذج سجلات التغيير التي تُظهر التتبع الكامل من طرف إلى طرف، تهيئة الربط بين الأدوات |
هيِّئ ربط الإصدار بالنشر؛ تأكد من إشارة جميع التغييرات إلى عنصر عمل متتبَّع |
| 8.10 |
تغييرات الأنابيب كبيانات برمجية تخضع لعملية المراجعة والموافقة ذاتها المطبَّقة على التغييرات التطبيقية |
|
حماية الفرع على ملفات تهيئة الأنابيب، سجلات مراجعة تغييرات الأنابيب |
مدِّد حماية الفرع لتشمل ملفات تعريف الأنابيب؛ عاملها كتغييرات إنتاجية |
قائمة تدقيق CC9: تخفيف المخاطر
| # |
بند الضبط |
الحالة (ن/ج/ل) |
الأدلة المطلوبة |
إرشادات المعالجة |
| 9.1 |
يوجد جرد كامل للمكونات والتبعيات التابعة لجهات خارجية المستهلَكة عبر الأنابيب |
|
قائمة مواد البرمجيات (SBOM)، تقارير جرد التبعيات |
نفِّذ توليد SBOM؛ شغِّل جرد التبعيات عبر جميع المشاريع |
| 9.2 |
مسح التبعيات الآلي يحدد الثغرات المعروفة مع اتفاقيات مستوى خدمة المعالجة المحددة |
|
تهيئة المسح، تقارير الثغرات، توثيق اتفاقيات مستوى الخدمة، تتبع المعالجة |
نفِّذ مسح التبعيات؛ حدِّد اتفاقيات مستوى خدمة المعالجة القائمة على الخطورة |
| 9.3 |
تمت تقييم بائعي SaaS للأنابيب من حيث الأمن ومراجعة تقارير SOC 2 الخاصة بهم |
|
سجلات تقييم البائعين، مراجعات تقارير SOC 2، توثيق قبول المخاطر |
اطلب تقارير SOC 2 من جميع بائعي الأنابيب؛ أجرِ التقييمات ووثِّقها |
| 9.4 |
تمت تقييم مخاطر البنية التحتية المشتركة (العمَّال المشتركون، بيئات البناء متعددة المستأجرين) ومعالجتها |
|
توثيق تقييم المخاطر، ضوابط التخفيف، التحقق من العزل |
قيِّم مخاطر البنية التحتية المشتركة؛ نفِّذ عمَّالاً مخصصين حيث يستوجب الخطر |
| 9.5 |
الامتثال لتراخيص المكونات مفتوحة المصدر مُراقَب ومُدار |
|
تهيئة مسح الترخيص، تقارير الامتثال، قائمة التراخيص المعتمدة |
نفِّذ مسح الترخيص؛ حدِّد قائمة التراخيص المعتمدة؛ أنشئ عملية مراجعة للاستثناءات |
| 9.6 |
تمت تقييم ناقلات هجوم سلسلة التوريد (ارتباك التبعيات، الحزم المخترقة) مع ضوابط وقائية |
|
توثيق تقييم التهديدات، تهيئة السجل الخاص، إعدادات التحقق من الحزم |
نفِّذ سجلات أو وكلاء خاصة؛ هيِّئ التحقق من توقيع الحزم |
| 9.7 |
وصول تكامل الجهات الخارجية (Webhooks، رموز API، تطبيقات OAuth) مُجرَّد ومُراجَع دورياً |
|
جرد التكاملات، توثيق نطاق الوصول، سجلات المراجعة الدورية |
جرِّد جميع التكاملات؛ وثِّق نطاقات الوصول؛ جدوِّل مراجعات دورية |
تحليل الفجوات: كيفية تحديد أولويات المعالجة
بعد اكتمال التقييم، صنِّف النتائج باستخدام إطار الأولويات التالي:
| الأولوية |
المعايير |
الجدول الزمني للمعالجة |
أمثلة |
| حرجة |
الضبط غائب؛ يؤثر مباشرة على رأي التدقيق |
فورية (خلال أسبوعين) |
لا يوجد تطبيق للموافقة، لا توجد مراجعات وصول، لا يوجد تسجيل |
| عالية |
الضبط مُنفَّذ جزئياً؛ توجد ثغرات في الأدلة |
خلال 30 يوماً |
MFA غير شامل، المراجعات غير مكتملة، بعض الأنظمة مستثناة |
| متوسطة |
الضبط موجود لكن جودة الأدلة غير كافية |
خلال 60 يوماً |
أدلة يدوية، توثيق غير مكتمل، عمليات غير رسمية |
| منخفضة |
فرصة لتحسين الضبط؛ غير حرجة للتدقيق |
خلال 90 يوماً |
تحسينات الأتمتة، مراقبة إضافية، تقارير معززة |
الجدول الزمني الموصى به للتحضير (6 أشهر قبل التدقيق)
| الإطار الزمني |
النشاط |
المخرج |
| الشهر الأول |
أكمل تقييم الاستعداد هذا؛ حدد جميع الفجوات |
قائمة تدقيق مكتملة مع تحليل الفجوات وخطة معالجة ذات أولويات |
| الشهر الثاني |
عالج الفجوات ذات الأولوية الحرجة والعالية |
تطبيقات ضبط مُحدَّثة، توليد الأدلة مؤكَّد |
| الشهر الثالث |
عالج الفجوات ذات الأولوية المتوسطة؛ ابدأ التحقق من جمع الأدلة |
جميع الضوابط تعمل، استرداد الأدلة مُختبَر |
| الشهر الرابع |
أجرِ تقييماً تدريبياً داخلياً باستخدام منهجية أخذ العينات الخاصة بالمدقق |
تقرير التقييم الداخلي مع النتائج |
| الشهر الخامس |
عالج نتائج التدريب؛ درِّب الفرق على إنتاج الأدلة والتحضير للمقابلات |
اكتمال المعالجة، إجراء جلسات تحضير الفريق |
| الشهر السادس |
مراجعة الاستعداد النهائية؛ تأكيد أن جميع تدفقات الأدلة نشطة ومكتملة |
تأكيد الاستعداد، فهرس الأدلة، قائمة نقاط الاتصال للمدققين |
موارد ذات صلة
موارد ذات صلة للمدققين
هل أنت جديد على تدقيق CI/CD؟ ابدأ بـ دليل المدقق.
