صُمِّمت هذه القائمة لعمليات التدقيق الرسمية لإدارة مخاطر ICT من الأطراف الثالثة وفق المادة 28 من DORA. تخدم جمهورين في آنٍ واحد:
المدققون يستخدمونها للتحقق من الضوابط وتقييم الأدلة وتحديد الثغرات.
المهندسون يستخدمونها لفهم ما يجب تطبيقه وأين تقع الثغرات الشائعة.
يغطي كل قسم مجالًا محددًا في المادة 28 يتضمن: قائمة مراجعة التدقيق الرسمية (نعم / لا / الأدلة)، وتوقعات التطبيق الهندسية المقابلة، والثغرات الشائعة التي تظهر عادةً في عمليات التدقيق.
١. جرد ICT من الأطراف الثالثة
قائمة مراجعة التدقيق
الضبط
نعم
لا
الدليل
يوجد جرد شامل بمزودي ICT من الأطراف الثالثة
☐
☐
سجل الموردين
منصات CI/CD مُدرَجة بوصفها مزودي ICT
☐
☐
مقتطف جرد الموردين
مزودو الخدمات السحابية مُدرَجون
☐
☐
جرد الموردين
سجلات القطع الأثرية ونظم الحزم مُدرَجة
☐
☐
ربط الموردين
الجرد يُراجَع ويُحدَّث بصفة دورية
☐
☐
سجلات المراجعة
تطبيق المهندس
ما يفحصه المدقق
ما يُطبّقه المهندس
جرد شامل لمزودي ICT من الأطراف الثالثة
CMDB أو سجل موردين يشمل CI/CD وGit والسحابة والسجلات
تصنيف الموردين حسب الأهمية الحرجة
علامات الأهمية الحرجة المرتبطة بأنظمة التسليم
التوافق مع خدمات الأعمال
ربط خطوط الأنابيب → الخدمات → الموردين
الجرد محتفَظ بتحديثه
تحديثات آلية أو إجرائية مرتبطة باستخدام الأدوات
الثغرة الشائعة: أدوات CI/CD SaaS غير مُدرَجة بوصفها موردين.
٢. تصنيف الأهمية الحرجة
قائمة مراجعة التدقيق
الضبط
نعم
لا
الدليل
مزودو ICT مُصنَّفون حسب الأهمية الحرجة
☐
☐
منهجية التصنيف
معايير التصنيف موثَّقة
☐
☐
إطار المخاطر
الموردون الحرجون مُحدَّدون صراحةً
☐
☐
قائمة الموردين
أدوات CI/CD الداعمة لوظائف حرجة مُصنَّفة وفق ذلك
☐
☐
وثيقة الربط
التصنيف يؤثر في متطلبات الحوكمة
☐
☐
ربط الضوابط
٣. العناية الواجبة قبل التعاقد
قائمة مراجعة التدقيق
الضبط
نعم
لا
الدليل
العناية الواجبة الأمنية تُجرى قبل الإدراج
☐
☐
تقارير العناية الواجبة
تقييم المخاطر يغطي ICT والمخاطر التشغيلية
☐
☐
تقييم المخاطر
استخدام معالجي البيانات الفرعيين مُقيَّم
☐
☐
إفصاحات الموردين
نتائج العناية الواجبة موثَّقة
☐
☐
سجلات المراجعة
الموافقة مطلوبة قبل الإدراج
☐
☐
مسار عمل الموافقة
٤. الضمانات التعاقدية
قائمة مراجعة التدقيق
الضبط
نعم
لا
الدليل
العقود تتضمن متطلبات أمن المعلومات
☐
☐
بنود العقد
حقوق التدقيق والتفتيش مُعرَّفة
☐
☐
مقتطفات العقد
التزامات إشعار الحوادث مُعرَّفة
☐
☐
بنود اتفاقية مستوى الخدمة
متطلبات الاحتفاظ بالأدلة مُدرَجة
☐
☐
شروط العقد
بنود الخروج والإنهاء مُعرَّفة
☐
☐
بنود العقد
تطبيق المهندس
ما يفحصه المدقق
ما يُطبّقه المهندس
حقوق التدقيق مُعرَّفة في العقود
منصات قادرة على وصول التدقيق للقراءة فقط
التزامات إشعار الحوادث
خطوط أنابيب المراقبة والتنبيه مرتبطة بمسارات عمل الحوادث
التزامات الاحتفاظ بالأدلة
تهيئة الاحتفاظ بالسجلات والقطع الأثرية وفق مدة العقد
رؤية معالجي البيانات الفرعيين
توثيق سلاسل تبعيات SaaS
الثغرة الشائعة: العقود موجودة لكن الأدوات لا تدعم التدقيق تقنيًا.
٥. التحكم في الوصول والفصل بين المهام
قائمة مراجعة التدقيق
الضبط
نعم
لا
الدليل
الوصول إلى منصات الأطراف الثالثة قائم على الأدوار
☐
☐
تهيئة IAM
الفصل بين المهام مُطبَّق
☐
☐
مصفوفة الوصول
الوصول المرتفع الصلاحيات مُقيَّد ومُراقَب
☐
☐
سجلات الوصول
مراجعات الوصول تُجرى بصفة دورية
☐
☐
سجلات المراجعة
إلغاء الوصول موثَّق
☐
☐
سجلات إنهاء العمل
تطبيق المهندس
ما يفحصه المدقق
ما يُطبّقه المهندس
فصل الأدوار مُطبَّق
أدوار IAM للمطوّر والمعتمِد والمشغّل
لا تحكم مستخدم واحد من البداية للنهاية
حماية الفروع + مسارات عمل الموافقة
مراجعات الوصول منجَزة
مراجعات دورية للوصول مدعومة بالسجلات
تطبيق مبدأ أقل الصلاحيات
نطاقات الرموز، أذونات عوامل التشغيل، فصل البيئات
الثغرة الشائعة: وصول الإدارة مشترك عبر أدوار CI/CD.
٦. ضوابط تطبيق CI/CD
قائمة مراجعة التدقيق
الضبط
نعم
لا
الدليل
خطوط أنابيب CI/CD تُطبّق بوابات الموافقة
☐
☐
تهيئة خط الأنابيب
لا يمكن تجاوز ضوابط الأمن
☐
☐
تعريفات السياسة
عوامل تشغيل CI/CD للأطراف الثالثة محكومة
☐
☐
تهيئة عامل التشغيل
نزاهة القطع الأثرية محمية
☐
☐
SBOM / تقارير التوقيع
تغييرات خط الأنابيب مسجَّلة
☐
☐
سجلات التدقيق
تطبيق المهندس
ما يفحصه المدقق
ما يُطبّقه المهندس
الضوابط مُطبَّقة آليًا
السياسة كرمز برمجي في خطوط الأنابيب
لا تجاوز للموافقات
بوابات إلزامية للإصدار والنشر
نزاهة القطع الأثرية مضمونة
توليد SBOM والتوقيع والتحقق
الأدوات من الأطراف الثالثة محكومة
صور عوامل تشغيل معتمَدة، إضافات مقيّدة
الثغرة الشائعة: الضوابط مُطبَّقة “بالاتفاق” لا تقنيًا.
٧. المراقبة وإدارة الحوادث
قائمة مراجعة التدقيق
الضبط
نعم
لا
الدليل
خدمات الأطراف الثالثة تُراقَب باستمرار
☐
☐
لوحات المراقبة
الحوادث الأمنية تُكتشَف
☐
☐
سجلات التنبيه
الحوادث المتعلقة بمزودي ICT تُتتبَّع
☐
☐
تذاكر الحوادث
الجداول الزمنية لإشعار الحوادث محترَمة
☐
☐
سجلات الحوادث
ما بعد الحوادث موثَّقة
☐
☐
تقارير تحليل الأسباب الجذرية
تطبيق المهندس
ما يفحصه المدقق
ما يُطبّقه المهندس
المراقبة المستمرة للموردين
سجلات CI/CD والسجلات والسحابة مجموعة
قدرة كشف الحوادث
تنبيهات مرتبطة بخدمات الأطراف الثالثة
قابلية تتبع الحوادث
تذاكر مرتبطة بالسجلات وخطوط الأنابيب والقطع الأثرية
أدلة الحوادث الماضية
سجلات محفوظة وجداول زمنية ووثائق تحليل الأسباب الجذرية
الثغرة الشائعة: السجلات موجودة لكنها غير مركزية أو غير محتفَظ بها.
٨. حوكمة معالجي البيانات الفرعيين
قائمة مراجعة التدقيق
الضبط
نعم
لا
الدليل
رؤية المقاولين من الباطن متاحة
☐
☐
إفصاحات الموردين
معالجو البيانات الفرعيون معتمَدون
☐
☐
سجلات الموافقة
مخاطر معالجي البيانات الفرعيين مُقيَّمة
☐
☐
تقييمات المخاطر
تغييرات معالجي البيانات الفرعيين مُراقَبة
☐
☐
إشعارات التغيير
تطبيق المهندس
ما يفحصه المدقق
ما يُطبّقه المهندس
رؤية معالجي البيانات الفرعيين
توثيق تبعيات SaaS
الوعي بتدفقات البيانات
مخططات معمارية تبيّن مسارات الأطراف الثالثة
الوعي بالمخاطر
تقييم المخاطر المشير إلى التبعيات الفعلية
الثغرة الشائعة: معالجو بيانات فرعيون “مخفيون” داخل منصات CI/CD.
لا يُصادق المدققون على النوايا والتفسيرات أو عروض الشرائح المعمارية وحدها. بل يُصادقون على: الضوابط المشغَّلة، والأدلة المُنتَجة من الأنظمة، والاتساق عبر الزمن.
في إطار المادة 28 من DORA، غياب الدليل دليل على الغياب. يجب أن تكون الضوابط مشغَّلة وقابلة للتكرار وقابلة للإثبات.
فحص واقع المهندس
ينجح المهندسون حين: يُصمَّم الامتثال في CI/CD، وتُولّد الضوابط أدلة باستمرار، وتصبح عمليات التدقيق تحققًا لا إعادة بناء.
