تُدرج هذه الحزمة المصنوعات التقنية والتشغيلية التي ينبغي للمؤسسات المالية تقديمها لإثبات الامتثال للمادة 21 من DORA. تركز على مسارات CI/CD باعتبارها أنظمة ICT خاضعة للتنظيم، وتُولي الأولوية للأدلة القابلة للتكرار والجاهزة للتدقيق.
كيفية استخدام هذه الحزمة
استخدمها قائمة تحقق أثناء التحضير للتدقيق
شاركها مع فرق الهندسة والأمن والامتثال
أرفق مراجع للأنظمة والسجلات والمستودعات الحقيقية
تأكد من أن الأدلة حديثة وقابلة للتتبع وقابلة للتكرار
المادة 21(1) — إطار إدارة مخاطر ICT
الأدلة المطلوبة
نوع الدليل
ما يتوقعه المدققون
سجل مخاطر ICT
مسارات CI/CD مدرجة صراحةً كأنظمة ICT ضمن النطاق
نماذج التهديد
مخاطر CI/CD (إساءة استخدام بيانات الاعتماد، سلسلة التوريد، النزاهة)
خطط معالجة المخاطر
الضوابط المُعيَّنة لمسارات CI/CD
وثائق الحوكمة
ملكية أمن CI/CD ومخاطره
المصادر النموذجية
أدوات إدارة المخاطر
وثائق البنية
مستودعات حوكمة الأمن
المادة 21(2)(أ) — التحكم في الوصول
الأدلة المطلوبة
نوع الدليل
ما يتوقعه المدققون
سياسات IAM
أدنى الصلاحيات لحسابات خدمة CI/CD
تكوين RBAC
الفصل بين الأدوار في إدارة المسار
تطبيق MFA
إثبات اشتراط MFA للمستخدمين ذوي الامتياز
جرد الهويات
التمييز بين هويات الإنسان وهويات الأتمتة
المصادر النموذجية
منصة IAM
تكوين نظام CI/CD
تقارير مراجعة الوصول
المادة 21(2)(ب) — الفصل بين المهام
الأدلة المطلوبة
نوع الدليل
ما يتوقعه المدققون
قواعد مراجعة الكود
تطبيق إلزامي للمراجعة من قِبل الأقران
سير عمل الموافقة
موافقة مستقلة على التغييرات الإنتاجية
تعيين الأدوار
الفصل بين أدوار البناء والتحقق والنشر
سجلات الاستثناءات
سجلات التجاوزات والموافقات
المصادر النموذجية
منصة التحكم بالمصدر
تعريفات مسار CI/CD
سجلات التدقيق
المادة 21(2)(ج) — التسجيل والمراقبة
الأدلة المطلوبة
نوع الدليل
ما يتوقعه المدققون
سجلات تنفيذ المسار
سجل كامل بعمليات التشغيل ونتائجها
سجلات الأحداث الأمنية
الفحوصات الفاشلة والإصدارات المحظورة
لوحات مراقبة
رؤية في صحة المسار
سياسات الاحتفاظ بالسجلات
التوافق مع المتطلبات التنظيمية
المصادر النموذجية
منصات CI/CD
أنظمة SIEM / التسجيل
أدوات المراقبة
المادة 21(2)(د) — إدارة التغيير والنزاهة
الأدلة المطلوبة
نوع الدليل
ما يتوقعه المدققون
سجلات النشر
جميع التغييرات الإنتاجية قابلة للتتبع عبر المسارات
توقيع الحزم
إثبات النزاهة التشفيرية
البيانات الوصفية للمصدر
الربط بين المصدر والبناء والحزمة
موافقات الإصدار
نقاط قرار قابلة للتدقيق
المصادر النموذجية
مستودعات الحزم
مخازن البيانات الوصفية لـ CI/CD
أنظمة إدارة الإصدارات
المادة 21(2)(هـ) — الصمود والنسخ الاحتياطي والاسترداد
الأدلة المطلوبة
نوع الدليل
ما يتوقعه المدققون
مخططات بنية CI/CD
التكرار والعزل
إجراءات النسخ الاحتياطي
نسخ احتياطية آمنة لتكوينات المسار
اختبارات الاسترداد
أدلة على تمارين التراجع والاسترداد
كتيبات الاستجابة للحوادث
إجراءات استجابة خاصة بـ CI/CD
المصادر النموذجية
وثائق البنية
أنظمة النسخ الاحتياطي
أدوات إدارة الحوادث
المادة 21(2)(و) — التحسين المستمر
الأدلة المطلوبة
نوع الدليل
ما يتوقعه المدققون
تقارير المراجعة
مراجعات دورية لأمن CI/CD
سجلات التغيير
تحسينات على ضوابط المسار
المقاييس ومؤشرات الأداء الرئيسية
مؤشرات الأمن والصمود
الرقابة الإدارية
أدلة على مراجعة الحوكمة
المصادر النموذجية
سجلات المراجعة الأمنية
سجل تغييرات CI/CD
محاضر اجتماعات الحوكمة
المزالق الشائعة في التدقيق (ما لا يكفي وحده)
سيتحدى المدققون:
السياسات عالية المستوى دون تطبيق تقني
لقطات الشاشة دون قابلية للتتبع
التصريحات اليدوية دون أدلة نظام
أمثلة منفردة بدلًا من ضوابط قابلة للتكرار
يجب أن تكون الأدلة مُنتجة آليًا، مختومة بالوقت، وقابلة للتكرار.
