DORA المادة 21 ↔ خريطة ضوابط CI/CD

يُعيِّن هذا الجدول متطلبات إدارة مخاطر ICT المنصوص عليها في المادة 21 من DORA إلى ضوابط أمنية ملموسة لمسار CI/CD.
ويدعم التفسير التنظيمي، والاستعداد للتدقيق، ومراجعات التنفيذ التقني.

---

المادة 21(1) — إطار إدارة مخاطر ICT

متطلب DORA	ضابط CI/CD	الأدلة المُنتجة
تحديد مخاطر ICT وتقييمها	الاختبار الأمني الآلي (SAST, SCA, DAST)	تقارير المسح، سجلات المسار
منع مخاطر ICT والتخفيف منها	تطبيق السياسات وبوابات المسار	قرارات البوابة، الموافقات
كشف الأنشطة الشاذة	مراقبة المسار والتنبيهات	سجلات التنبيه، أحداث SIEM
الاستجابة لحوادث ICT	التراجع المتحكم به وإعادة النشر	سجل النشر
الاسترداد من الاضطرابات	البناء والإصدارات القابلة للتكرار	بيانات وصفية للبناء

---

المادة 21(2)(أ) — التحكم في الوصول

متطلب DORA	ضابط CI/CD	الأدلة المُنتجة
منع الوصول غير المصرح به	RBAC لتكوين CI/CD	سجلات التحكم في الوصول
حماية العمليات ذات الامتيازات	حسابات الخدمة بأدنى صلاحية	سياسات IAM
تأمين الوصول الإداري	MFA لمسؤولي CI/CD	سجلات المصادقة
التحكم في هويات الأتمتة	هويات مسار منفصلة	جرد الهويات

---

المادة 21(2)(ب) — الفصل بين المهام

متطلب DORA	ضابط CI/CD	الأدلة المُنتجة
الفصل بين الأدوار المتعارضة	اشتراطات مراجعة الكود	سجل طلبات السحب
منع الموافقة الذاتية	قواعد الموافقة المطبقة عبر المسار	سجلات الموافقة
التحكم في صلاحية الإصدار	الفصل بين أذونات البناء والنشر	تعيين أدوار المسار
تسجيل الاستثناءات والتجاوزات	تسجيل الاستثناءات	سجلات تدقيق التجاوزات

---

المادة 21(2)(ج) — التسجيل والمراقبة

متطلب DORA	ضابط CI/CD	الأدلة المُنتجة
مراقبة نشاط أنظمة ICT	تسجيل كامل لتنفيذ المسار	سجلات التنفيذ
كشف الأحداث ذات الصلة بالأمن	تنبيهات الضوابط الفاشلة والشذوذات	تنبيهات أمنية
الاحتفاظ بالسجلات بصورة آمنة	تخزين السجلات المركزي	تكوين الاحتفاظ
دعم التحقيقات	مسارات تدقيق غير قابلة للتغيير	سجلات جاهزة للتحليل الجنائي

---

المادة 21(2)(د) — إدارة التغيير والنزاهة

متطلب DORA	ضابط CI/CD	الأدلة المُنتجة
التحكم في التغييرات على أنظمة ICT	مسارات CI/CD إلزامية	سجل النشر
ضمان نزاهة التغييرات	توقيع الحزم والتحقق منها	بيانات وصفية للتوقيع
تتبع التغييرات من البداية إلى النهاية	الربط بين المصدر والمسار والحزمة	سجلات المصدر
منع عمليات النشر غير المصرح بها	بوابات السياسة والموافقات	سجلات تطبيق البوابة

---

المادة 21(2)(هـ) — الصمود والنسخ الاحتياطي والاسترداد

متطلب DORA	ضابط CI/CD	الأدلة المُنتجة
ضمان صمود النظام	بيئات بناء معزولة ومُحصَّنة	تكوين البيئة
منع نقاط الفشل المنفردة	مكونات CI/CD متكررة	وثائق البنية
تمكين آليات الاسترداد	سير عمل التراجع وإعادة النشر	سجلات الاسترداد
حماية التكوينات	نسخ احتياطي آمن لتكوين المسار	سجلات النسخ الاحتياطي

---

المادة 21(2)(و) — التحسين المستمر

متطلب DORA	ضابط CI/CD	الأدلة المُنتجة
مراجعة وضعية مخاطر ICT	مراجعات دورية لأمن المسار	تقارير المراجعة
تحديث الضوابط حسب الحاجة	تغييرات تكوين المسار	سجلات التغيير
تحسين الكشف والوقاية	تحديثات الأدوات وضبط القواعد	سجل الإصدارات
التوافق مع التهديدات المتطورة	تحديثات المسار المستنيرة بالتهديدات	تقييمات المخاطر

---

كيف يستخدم المدققون هذا الجدول

• التحقق من أن متطلبات المادة 21 مُطبَّقة تقنيًا
• تحديد مساهمة CI/CD في إدارة مخاطر ICT
• طلب أدلة محددة يُنتجها المسار
• تقييم اتساق الضوابط وقابلية تكرارها

---

موارد ذات صلة

• DORA المادة 21 — دراسة معمّقة
• تدقيق أمن CI/CD — تعيين ISO 27001 / SOC 2 / DORA
• بنية امتثال DORA
• الامتثال

---

سياق “جاهز للتدقيق”

محتوى موجّه للبيئات الخاضعة للتنظيم: الضوابط قبل الأدوات، فرض السياسات داخل CI/CD، وتوليد الأدلة بالتصميم لأغراض التدقيق.

التركيز على التتبّع، الموافقات، حوكمة الاستثناءات، والاحتفاظ بالأدلة عبر مراحل البناء والإصدار والتشغيل.

اطّلع على المنهجية في صفحة About.