مقدمة
يربط هذا المقال التزامات المادة 28 من DORA بضوابط تقنية ملموسة والأدلة التي يتوقع المدققون التحقق منها. يجمع بين منظورين متكاملين:
- من الأدوات إلى الأدلة: كيف تُطبّق أدوات DevSecOps وCI/CD المؤسسية الشائعة الضوابط وتُنتج مخرجات جاهزة للتدقيق.
- من اللائحة إلى الأدلة: كيف يُرتسَم كل متطلب في المادة 28 إلى ضوابط قابلة للتطبيق وأدلة قابلة للتحقق.
الهدف هو إزالة الغموض بين النص التنظيمي والأدوات والحوكمة والامتثال — وتوفير مرجع وحيد للتحضير للتدقيق والامتثال المستمر.
الربط حسب التزام المادة 28
١. تحديد الأطراف الثالثة لـICT
متطلب المادة 28: يجب على المنشآت المالية تحديد جميع مزودي خدمات ICT من الأطراف الثالثة والاحتفاظ بجرد بها.
| الضوابط المُطبَّقة | الأدلة المُنتَجة |
|---|---|
| جرد مركزي لموردي ICT | تصدير سجل الموردين |
| تسجيل إلزامي لأدوات CI/CD والسحابة وSaaS | سجلات الجرد بما فيها أدوات CI/CD |
| ربط الملكية وخدمات الأعمال | ربط المورد بخدمة الأعمال |
| مراجعة دورية للجرد | محاضر الاجتماعات / سجلات المراجعة |
٢. تصنيف الأهمية الحرجة
متطلب المادة 28: يجب تصنيف مزودي ICT من الأطراف الثالثة بناءً على الأهمية الحرجة والمخاطر.
| الضوابط المُطبَّقة | الأدلة المُنتَجة |
|---|---|
| إطار تصنيف الموردين القائم على المخاطر | منهجية التصنيف |
| تحديد مزودي ICT الحرجين | قائمة الموردين الحرجين |
| تصنيف أدوات CI/CD عند دعمها خدمات حرجة | ربط CI/CD بالخدمة |
| تصعيد حوكمة الموردين الحرجين | سجلات لجنة المخاطر |
٣. العناية الواجبة قبل التعاقد
متطلب المادة 28: يجب إجراء تقييمات المخاطر قبل الدخول في ترتيبات تعاقدية.
| الضوابط المُطبَّقة | الأدلة المُنتَجة |
|---|---|
| عملية العناية الواجبة الأمنية | تقارير العناية الواجبة |
| تقييم المخاطر يغطي ICT والمخاطر التشغيلية | وثائق تقييم المخاطر |
| مراجعة الإفصاح عن معالجي البيانات الفرعيين | إفصاحات الموردين |
| الموافقة الرسمية قبل الإدراج | سجلات الموافقة |
٤. الضمانات التعاقدية
متطلب المادة 28: يجب أن تتضمن العقود أحكامًا أمنية ورقابية وأحكام خروج دنيا.
| الضوابط المُطبَّقة | الأدلة المُنتَجة |
|---|---|
| بنود عقدية معيارية لموردي ICT | مقتطفات بنود العقد |
| حقوق التدقيق والتفتيش | العقود الموقّعة |
| اتفاقيات مستوى خدمة إشعار الحوادث | وثائق اتفاقية مستوى الخدمة |
| التزامات الاحتفاظ بالأدلة | شروط العقد |
| بنود الخروج والإنهاء | أحكام الخروج |
٥. التحكم في الوصول والفصل بين المهام
متطلب المادة 28: يجب التحكم بشكل مناسب في الوصول إلى خدمات ICT.
| الضوابط المُطبَّقة | الأدلة المُنتَجة |
|---|---|
| التحكم في الوصول القائم على الأدوار (RBAC) | تصدير تهيئة IAM |
| الفصل بين المهام في CI/CD | مصفوفة الوصول |
| مراقبة الوصول المرتفع الصلاحيات | سجلات الوصول |
| مراجعات الوصول الدورية | تقارير المراجعة |
٦. ضوابط تطبيق CI/CD
متطلب المادة 28: يجب أن تمنع الضوابط التغييرات غير المصرّح بها وتضمن النزاهة.
| الضوابط المُطبَّقة | الأدلة المُنتَجة |
|---|---|
| بوابات موافقة إلزامية وبوابات سياسة | تهيئات خط الأنابيب |
| تطبيق السياسة كرمز برمجي | تعريفات السياسة |
| عوامل تشغيل CI/CD محكومة | تهيئة عامل التشغيل |
| حماية نزاهة القطع الأثرية | تقارير SBOM والتوقيع |
| قابلية تتبع التغييرات | سجلات تدقيق CI/CD |
٧. المراقبة وإدارة الحوادث
متطلب المادة 28: يجب مراقبة مخاطر ICT من الأطراف الثالثة باستمرار.
| الضوابط المُطبَّقة | الأدلة المُنتَجة |
|---|---|
| المراقبة المستمرة لخدمات ICT | لوحات المراقبة |
| التنبيه عند إخفاقات الأطراف الثالثة | سجلات التنبيه |
| تتبع الحوادث | تذاكر الحوادث |
| إجراءات تصعيد الحوادث | مسارات عمل الحوادث |
| مراجعات ما بعد الحوادث | تقارير تحليل الأسباب الجذرية |
٨. حوكمة معالجي البيانات الفرعيين
متطلب المادة 28: يجب إدارة المخاطر الناشئة عن سلاسل المقاولات من الباطن.
| الضوابط المُطبَّقة | الأدلة المُنتَجة |
|---|---|
| الرؤية الشاملة لمعالجي البيانات الفرعيين | إفصاحات الموردين |
| عملية الموافقة على معالجي البيانات الفرعيين | سجلات الموافقة |
| تقييمات مخاطر معالجي البيانات الفرعيين | تقارير المخاطر |
| مراقبة تغييرات معالجي البيانات الفرعيين | إشعارات التغيير |
٩. استراتيجية الخروج والمرونة
متطلب المادة 28: يجب أن تضمن استراتيجيات الخروج الاستمرارية في حالة إخفاق المورد.
| الضوابط المُطبَّقة | الأدلة المُنتَجة |
|---|---|
| استراتيجيات خروج موثَّقة | خطط الخروج |
| تقييمات الجدوى | تقارير الجدوى |
| اختبار الخروج أو الخطة البديلة | تقارير الاختبار |
| مراجعة دورية لخطط الخروج | سجلات المراجعة |
١٠. إدارة الأدلة والاحتفاظ بها
متطلب المادة 28: يجب أن تكون الأدلة متاحة ومحمية ومحتفَظًا بها.
| الضوابط المُطبَّقة | الأدلة المُنتَجة |
|---|---|
| مستودع مركزي للأدلة | تخزين الأدلة |
| سجلات غير قابلة للتغيير مختومة بالتوقيت الزمني | تهيئة السجل |
| سياسات الاحتفاظ المُطبَّقة | وثائق سياسة الاحتفاظ |
| وصول محكوم إلى الأدلة | سجلات الوصول |
| إنتاج الأدلة عند الطلب | مقتطفات التدقيق |
الربط حسب فئة الأدوات
يربط القسم التالي أدوات DevSecOps المؤسسية الشائعة بالضوابط التي تُطبّقها والأدلة التي تُنتجها في إطار المادة 28 من DORA.
١. إدارة الكود المصدري (منصات Git)
الأدوات الشائعة: GitHub Enterprise، GitLab، Bitbucket
| الضوابط المُطبَّقة | الأدلة المُنتَجة |
|---|---|
| التحكم في الوصول القائم على الأدوار | سجلات وصول المستودع |
| الفصل بين المهام (PR مقابل الدمج) | قواعد حماية الفرع |
| المراجعات والموافقات الإلزامية | تاريخ طلبات السحب |
| قابلية تتبع التغييرات | تاريخ الـ commit |
| حوكمة وصول الأطراف الثالثة | سجلات تدقيق المستخدمين والرموز |
صلة المادة 28: منصات Git هي مزودو ICT من الأطراف الثالثة يؤثرون في نزاهة الكود.
٢. منصات تنظيم CI/CD
الأدوات الشائعة: GitHub Actions، GitLab CI، Jenkins (مُدار)، Azure DevOps Pipelines
| الضوابط المُطبَّقة | الأدلة المُنتَجة |
|---|---|
| بوابات موافقة خط الأنابيب | تصدير تهيئة خط الأنابيب |
| تطبيق السياسة كرمز برمجي | تعريفات السياسة |
| بيئات تنفيذ محكومة | تهيئة عامل التشغيل |
| رموز خط الأنابيب بأقل الصلاحيات | تهيئة نطاق الرمز |
| تسجيل تغييرات خط الأنابيب | سجلات تدقيق CI/CD |
صلة المادة 28: يجب حوكمة منصات CI/CD SaaS بوصفها موردي ICT حرجين.
٣. أمن البناء والتبعيات (SCA / SBOM)
الأدوات الشائعة: Snyk، Dependency-Check، Mend، GitHub Dependabot، Syft / CycloneDX
| الضوابط المُطبَّقة | الأدلة المُنتَجة |
|---|---|
| تحليل مخاطر التبعيات | تقارير SCA |
| توليد SBOM | ملفات SBOM |
| تتبع المصدر | بيانات البناء الوصفية |
| مراقبة الثغرات | التنبيهات والتقارير |
| شفافية سلسلة التوريد | جرد التبعيات |
صلة المادة 28: توفير الرؤية على مخاطر البرمجيات من الأطراف الثالثة ومعالجي البيانات الفرعيين.
٤. مستودعات وسجلات القطع الأثرية
الأدوات الشائعة: Artifactory، Nexus، سجلات Docker، سجلات الحاويات السحابية
| الضوابط المُطبَّقة | الأدلة المُنتَجة |
|---|---|
| التحكم في الوصول للقطع الأثرية | سجلات وصول المستودع |
| ثبات القطع الأثرية | تهيئة المستودع |
| توقيع القطع الأثرية | التحقق من التوقيع |
| التحقق من المصدر | سجلات الشهادات |
| سياسات الاحتفاظ | تهيئة الاحتفاظ |
صلة المادة 28: حماية نزاهة المنجزات المقدَّمة عبر أنظمة الأطراف الثالثة.
٥. منصات وقت التشغيل والسحابة
الأدوات الشائعة: AWS / Azure / GCP، منصات Kubernetes، خدمات PaaS المُدارة
| الضوابط المُطبَّقة | الأدلة المُنتَجة |
|---|---|
| IAM وفصل الأدوار | تصدير سياسة IAM |
| عزل الشبكة | تهيئات مجموعة الأمان |
| مراقبة وقت التشغيل | السجلات والمقاييس |
| كشف الحوادث | التنبيهات |
| مراقبة التوافر | تقارير اتفاقية مستوى الخدمة |
صلة المادة 28: مزودو الخدمات السحابية هم مزودو خدمات ICT حرجون من الأطراف الثالثة.
٦. إدارة الأسرار
الأدوات الشائعة: HashiCorp Vault، مديرو الأسرار السحابيون الأصليون، مخازن أسرار CI/CD
| الضوابط المُطبَّقة | الأدلة المُنتَجة |
|---|---|
| تخزين مركزي للأسرار | جرد الأسرار |
| تقييد الوصول | سجلات الوصول |
| تدوير الأسرار | سجلات التدوير |
| منع الأسرار المُشفَّرة في الكود | تقارير الفحص |
| قابلية التدقيق | مسارات وصول الأسرار |
صلة المادة 28: التحكم في الوصول إلى البيانات الحساسة المُدارة عبر منصات الأطراف الثالثة.
٧. المراقبة والتسجيل وSIEM
الأدوات الشائعة: Splunk، Elastic، Datadog، التسجيل السحابي الأصلي
| الضوابط المُطبَّقة | الأدلة المُنتَجة |
|---|---|
| جمع السجلات المركزي | سجلات استيعاب البيانات |
| مراقبة خدمات الأطراف الثالثة | لوحات المراقبة |
| التنبيه عند الحوادث | سجلات التنبيه |
| تحليل ارتباط الحوادث | تذاكر الحوادث |
| الاحتفاظ بالأدلة | سياسات الاحتفاظ |
صلة المادة 28: يدعم المراقبة المستمرة والتزامات أدلة الحوادث.
٨. إدارة الهويات وصلاحيات الوصول (IAM)
الأدوات الشائعة: IAM المؤسسي، IAM السحابي، منصات SSO
| الضوابط المُطبَّقة | الأدلة المُنتَجة |
|---|---|
| إدارة الهوية المركزية | جرد المستخدمين |
| تطبيق MFA | سجلات المصادقة |
| فصل الأدوار | تعريفات الأدوار |
| مراجعات الوصول | سجلات المراجعة |
| إلغاء الوصول | سجلات إنهاء العمل |
صلة المادة 28: يضمن التحكم في الوصول إلى منصات ICT للأطراف الثالثة.
٩. منصات الحوكمة وإدارة المخاطر
الأدوات الشائعة: منصات GRC، CMDB، سجلات المخاطر
| الضوابط المُطبَّقة | الأدلة المُنتَجة |
|---|---|
| جرد الموردين | سجلات الموردين |
| تقييمات المخاطر | تقارير المخاطر |
| تصنيف الأهمية الحرجة | سجلات التصنيف |
| ملكية الضوابط | وثائق RACI |
| التحضير للتدقيق | مستودعات الأدلة |
صلة المادة 28: يوفر العمود الفقري للحوكمة لإدارة مخاطر ICT من الأطراف الثالثة.
الرؤية الشاملة
في إطار المادة 28 من DORA:
- الأدوات لا تعني الامتثال.
- الضوابط تُنشئ الامتثال.
- الأدلة تُثبت الامتثال.
الأدوات مقبولة فقط إن كانت تُطبّق الضوابط وتُولّد أدلة قابلة للتحقق.
كيف يستخدم المدققون هذا الربط
يبدأ المدققون عادةً من:
- متطلبات المادة 28 (ربط الالتزامات).
- تحديد مزود ICT من الأطراف الثالثة وفئة أدواته.
- التحقق من أن الضوابط موجودة وتعمل عبر الأدوات.
- طلب مخرجات الأدلة المباشرة لكل ضبط.
- التحقق من الاتساق عبر الزمن.
أي حلقة مفقودة بين الالتزام → الضبط → الدليل، أو بين الأداة → الضبط → الدليل، تُعدّ مخالفة محتملة. إن لم يستطع الضبط توليد أدلة، يُعتبر غير فعّال.
الخلاصة الرئيسية
يتحقق الامتثال مع المادة 28 من DORA حين يكون كل متطلب تنظيمي قابلًا للتتبع إلى ضوابط، وكل ضبط يُولّد أدلة — بصرف النظر عن الأدوات المستخدمة.
يوفر هذا الربط المزدوج (حسب الالتزام وحسب الأداة) العمودَ الفقري لـ:
- التحضير للتدقيق،
- الامتثال المستمر،
- حوكمة CI/CD في البيئات المنظَّمة.
بيئة CI/CD المتوافقة مع DORA هي البيئة التي تكون فيها كل أداة من الأطراف الثالثة محكومة، وكل ضبط مُطبَّق تقنيًا، وكل ضبط يُولّد أدلة آليًا.
محتوى ذو صلة موصى به
- المادة 28 من DORA — حزمة الأدلة (منظور المدقق والمهندس)
- المادة 28 من DORA — قائمة مراجعة المدقق (نعم / لا / الأدلة)
- هندسة المادة 28 من DORA: ضوابط مخاطر الأطراف الثالثة عبر خطوط أنابيب CI/CD
- الامتثال المستمر عبر خطوط أنابيب CI/CD
