نظرة عامة على عملية تدقيق شهادة ISO 27001
تتضمن شهادة ISO 27001 تدقيقاً خارجياً من مرحلتين تجريه هيئة اعتماد معترف بها. يُعدّ فهم هذه العملية أمراً بالغ الأهمية لضباط الامتثال الذين يُعدّون بيئات CI/CD للتقييم.
المرحلة الأولى — مراجعة الوثائق
يُعدّ تدقيق المرحلة الأولى في جوهره مراجعةً للوثائق. يُقيِّم المدقق مدى اكتمال وثائق نظام إدارة أمن المعلومات (ISMS) وما إذا كانت المؤسسة مستعدة للانتقال إلى تقييم المرحلة الثانية. وفيما يخص بيئات CI/CD، يعني ذلك التحقق مما يلي:
- يشمل نطاق ISMS صراحةً بنية تحتية CI/CD وعملياتها
- تعالج بيان قابلية التطبيق (SoA) الضوابط ذات الصلة بـ CI/CD في الملحق أ
- تغطي تقييمات المخاطر سيناريوهات التهديد الخاصة بـ CI/CD
- تُشير السياسات والإجراءات إلى عمليات التطوير والنشر الآلية
- يغطي برنامج التدقيق الداخلي ضوابط أمن CI/CD
النتيجة الشائعة للمرحلة الأولى فيما يتعلق بـ CI/CD: يجد المدققون في أغلب الأحيان أن وثائق ISMS كُتبت قبل اعتماد CI/CD ولم تُحدَّث. ينتج عن ذلك توصية بتحديث الوثائق قبل المضي إلى المرحلة الثانية.
المرحلة الثانية — تدقيق الأدلة
في المرحلة الثانية يفحص المدققون أدلة التنفيذ والفاعلية. بالنسبة لبيئات CI/CD، يعني ذلك إثبات أن الضوابط الموثَّقة تعمل فعلياً وتُنتج نتائج قابلة للتحقق. سيطلب المدققون قطعاً أثرية محددة، ويُجرون مقابلات مع المسؤولين عن أمن الأنابيب، وقد يراقبون عمليات الأنابيب.
يجري تدقيق المرحلة الثانية عادةً بعد أربعة إلى ثمانية أسابيع من المرحلة الأولى للسماح بمعالجة أي ثغرات في الوثائق.
ما يطلبه المدققون خلال المرحلة الثانية لبيئات CI/CD
يتناول المدققون جمع أدلة CI/CD بمنهجية تمتد عبر مجالات الضبط. تفصِّل الأقسام التالية ما يُطلَب، والتنسيق المقبول، ومدة الاحتفاظ بالأدلة.
فئات الأدلة وقطع CI/CD الأثرية
1. وثائق ISMS
أساس التدقيق. يتحقق المدققون من أن إطار ISMS يتناول CI/CD تحديداً.
- قطع CI/CD الأثرية المحددة: بيان نطاق ISMS الذي يُسمِّي أنظمة CI/CD؛ سياسة أمن المعلومات التي تُشير إلى الأنابيب الآلية؛ سياسة التطوير الآمن؛ خطط معالجة المخاطر الخاصة بـ CI/CD
- التنسيقات المقبولة: وثائق معتمدة في نظام إدارة الوثائق مع ضبط الإصدارات وتواريخ المراجعة وتوقيعات الموافقة
- متطلبات الاحتفاظ: الإصدار الحالي بالإضافة إلى الإصدار السابق على الأقل؛ سجل المراجعة لدورة الاعتماد الكاملة (ثلاث سنوات)
2. سجلات تقييم المخاطر
يتوقع المدققون تحديد المخاطر الخاصة بـ CI/CD وتقييمها ومعالجتها.
- قطع CI/CD الأثرية المحددة: إدخالات سجل المخاطر لاختراق الأنابيب وهجمات سلسلة التوريد وكشف الأسرار والنشر غير المصرَّح به والتلاعب ببيئة البناء؛ خطط معالجة المخاطر مع تعيينات الضوابط؛ منهجية تقييم المخاطر التي تغطي سيناريوهات تهديد CI/CD
- التنسيقات المقبولة: سجل المخاطر (جدول بيانات، تصدير من منصة GRC، أو تنسيق موثَّق)؛ تقارير تقييم المخاطر مع التواريخ وتعريف المُقيِّم
- متطلبات الاحتفاظ: سجل المخاطر الحالي بالإضافة إلى الإصدارات التاريخية التي تُظهر تطور المخاطر؛ ثلاث سنوات كحد أدنى من سجلات تقييم المخاطر
3. أدلة ضبط الوصول
أحد أكثر المجالات التي تخضع للفحص المكثف فيما يتعلق بـ CI/CD.
- قطع CI/CD الأثرية المحددة: قوائم مستخدمي منصة الأنابيب مع تعيينات الأدوار؛ جرد حسابات الخدمة؛ سجلات مراجعة الوصول التي تُظهر إعادة الاعتماد الدورية؛ أدلة تطبيق المصادقة متعددة العوامل؛ سجلات الوصول المتميز لإدارة الأنابيب؛ سجلات توفير وإلغاء توفير الوصول
- التنسيقات المقبولة: تقارير الوصول المُولَّدة من المنصة؛ سجلات تسجيل الخروج من مراجعة الوصول مع هوية المراجع والتاريخ؛ لقطات شاشة تهيئة المصادقة مع الطوابع الزمنية؛ سير عمل طلب واعتماد الوصول
- متطلبات الاحتفاظ: التهيئات الحالية؛ سجلات مراجعة الوصول لـ 12 شهراً على الأقل؛ سجلات تغيير الوصول لدورة الاعتماد الكاملة
4. سجلات إدارة التغيير
الوظيفة الأساسية للأنابيب — نقل التغييرات عبر مراحل منضبطة — يجب إثباتها بالأدلة.
- قطع CI/CD الأثرية المحددة: سجل تنفيذ الأنابيب الذي يُظهر دورة حياة التغيير الكاملة؛ سجلات الموافقة على النشر في الإنتاج؛ سجلات التغيير الطارئ مع المراجعات اللاحقة؛ تاريخ تغيير تهيئة الأنابيب (ضبط إصدارات الأنابيب كبيانات برمجية)؛ سجلات الإصدار مع إمكانية التتبع للتغييرات المعتمدة
- التنسيقات المقبولة: سجلات تدقيق منصة الأنابيب؛ تاريخ نظام ضبط الإصدارات؛ سجلات سير عمل الموافقة؛ محاضر اجتماع مجلس استشارة التغيير (CAB) عند الاقتضاء
- متطلبات الاحتفاظ: سجل النشر الكامل لـ 12 شهراً على الأقل؛ تاريخ تهيئة الأنابيب لدورة الاعتماد الكاملة؛ سجلات التغيير الطارئ محفوظة للمراجعة
5. نتائج الاختبار الأمني
أدلة على أن الاختبار الأمني مُدمَج وإلزامي وفعّال.
- قطع CI/CD الأثرية المحددة: نتائج مسح التحليل الثابت لكل تنفيذ للأنابيب؛ نتائج مسح ثغرات التبعيات؛ نتائج اختبار الأمن الديناميكي؛ تقارير اختبار الاختراق لبنية تحتية الأنابيب؛ معدلات نجاح/فشل الاختبار الأمني مع مرور الوقت؛ سجلات حالات فشل الاختبار الأمني التي حجبت النشر
- التنسيقات المقبولة: تقارير أدوات الأمن المرتبطة بتنفيذات أنابيب محددة؛ لوحات تحليل الاتجاه مع البيانات الداعمة؛ تقارير اختبار الاختراق الصادرة عن مختبرين مؤهلين
- متطلبات الاحتفاظ: نتائج المسح الفردية محفوظة لـ 12 شهراً على الأقل؛ بيانات الاتجاه لدورة الاعتماد الكاملة؛ تقارير اختبار الاختراق محفوظة حتى التقييم التالي
6. سجلات إدارة الحوادث
أدلة على رصد حوادث الأمن المتعلقة بـ CI/CD والاستجابة لها والتعلم منها.
- قطع CI/CD الأثرية المحددة: سجلات الحوادث لأي أحداث أمنية في الأنابيب؛ توثيق إجراءات الاستجابة للحوادث التي تغطي سيناريوهات CI/CD؛ تقارير مراجعة ما بعد الحوادث؛ أدلة تدريبات الحوادث أو تمارين المحاكاة التي تتضمن سيناريوهات اختراق الأنابيب؛ سجلات الإجراءات التصحيحية
- التنسيقات المقبولة: سجلات نظام إدارة الحوادث؛ وثائق مراجعة ما بعد الحوادث؛ تقارير تمارين التدريب؛ سجلات تتبع الإجراءات التصحيحية
- متطلبات الاحتفاظ: جميع سجلات الحوادث لدورة الاعتماد الكاملة (ثلاث سنوات)؛ الإجراءات التصحيحية مُتتبَّعة حتى الإغلاق
7. سجلات إدارة الموردين
أدلة على إدارة تبعيات CI/CD التابعة لجهات خارجية ومراقبتها.
- قطع CI/CD الأثرية المحددة: سجل الموردين الذي يشمل مزودي منصة CI/CD وبائعي المكونات الإضافية ومزودي الخدمات السحابية؛ تقييمات مخاطر الجهات الخارجية لمزودي خدمات CI/CD؛ المتطلبات الأمنية التعاقدية؛ سجلات مراقبة مستوى الخدمة؛ جرد التبعيات (SBOM) لمكونات الأنابيب
- التنسيقات المقبولة: إدخالات سجل الموردين؛ تقارير تقييم المخاطر؛ مقتطفات العقود التي تُظهر بنود الأمن؛ محاضر اجتماعات مراجعة الخدمة؛ مخرجات SBOM بتنسيقات معيارية
- متطلبات الاحتفاظ: سجل الموردين الحالي والعقود؛ تقييمات المخاطر مُحدَّثة سنوياً على الأقل؛ سجلات مراجعة الخدمة لـ 12 شهراً كحد أدنى
جدول ملخص الأدلة
| نوع الدليل | النظام المصدر | التنسيق | الاحتفاظ |
|---|---|---|---|
| نطاق ISMS وسياساته | نظام إدارة الوثائق | وثائق معتمدة مع ضبط الإصدارات | الإصدار الحالي + الإصدارات السابقة؛ سجل مراجعة 3 سنوات |
| سجل المخاطر (إدخالات CI/CD) | منصة GRC أو سجل المخاطر | إدخالات مخاطر منظمة مع تواريخ التقييم | الحالي + الإصدارات التاريخية؛ 3 سنوات |
| قوائم مستخدمي وصول الأنابيب | وحدة تحكم مسؤول منصة CI/CD | تصدير المستخدم/الدور مع الطوابع الزمنية | التهيئة الحالية + سجلات التغيير لـ 12 شهراً |
| توقيعات مراجعة الوصول | أداة حوكمة الوصول أو السجلات اليدوية | سجلات المراجعة مع هوية المراجع والتاريخ | 12 شهراً كحد أدنى |
| مسارات تدقيق تنفيذ الأنابيب | سجلات منصة CI/CD | إدخالات سجل غير قابلة للتغيير لكل تنفيذ | 12 شهراً كحد أدنى |
| سجلات موافقة النشر | منصة CI/CD أو أداة سير العمل | سجلات الموافقة مع هوية المعتمِد والطابع الزمني | 12 شهراً كحد أدنى |
| تاريخ تهيئة الأنابيب | نظام ضبط الإصدارات | تاريخ الإيداع لملفات الأنابيب كبيانات برمجية | دورة الاعتماد الكاملة (3 سنوات) |
| نتائج المسح الأمني | أدوات الاختبار الأمني المُدمجة في الأنابيب | تقارير الأدوات المرتبطة بمعرفات تنفيذ الأنابيب | 12 شهراً فردية؛ 3 سنوات بيانات اتجاه |
| تقارير اختبار الاختراق | مزود الاختبار المؤهل | تقرير رسمي يتضمن النطاق والنتائج والمعالجة | حتى التقييم التالي |
| سجلات الحوادث | نظام إدارة الحوادث | تذاكر الحوادث مع الجدول الزمني والحل | 3 سنوات |
| تقييمات مخاطر الموردين | منصة GRC أو السجلات اليدوية | تقارير التقييم مع تقديرات المخاطر | مُحدَّثة سنوياً؛ 3 سنوات تاريخية |
| SBOM / جرد التبعيات | أداة مسح تبعيات الأنابيب | تنسيق SBOM المعياري (CycloneDX، SPDX) | لكل إصدار؛ 12 شهراً كحد أدنى |
الأسباب الشائعة لعدم المطابقة في بيئات CI/CD
عدم المطابقة التالي يُثار بأكبر تكرار خلال تدقيقات الاعتماد للمؤسسات ذات بيئات CI/CD:
- ثغرة نطاق ISMS: البنية التحتية لـ CI/CD غير مشمولة صراحةً في نطاق ISMS، مما يؤدي إلى عدم تطبيق الضوابط
- الوثائق القديمة: السياسات والإجراءات المكتوبة قبل اعتماد CI/CD ولم تُحدَّث قط لتعكس العمليات الآلية
- مراجعات الوصول غير المكتملة: حسابات خدمة الأنابيب وبيانات اعتماد الأتمتة مستثناة من مراجعات الوصول الدورية
- مسارات التدقيق المفقودة: سجلات الأنابيب قابلة للتعديل أو غير مكتملة أو غير محفوظة للفترة المطلوبة
- البوابات الأمنية القابلة للتجاوز: يمكن تخطي مراحل الاختبار الأمني في الأنابيب دون موافقة رسمية وتوثيق
- لا يوجد تقييم مخاطر موردين لأدوات CI/CD: منصات وإضافات CI/CD التابعة لجهات خارجية غير مدرجة في سجل مخاطر الموردين
- التغييرات الطارئة بدون مراجعة لاحقة: إصلاحات عاجلة مُنشرة خارج الأنابيب القياسية بدون مبرر موثَّق ومراجعة ما بعد النشر
- ثغرات تقييم المخاطر: سيناريوهات التهديد الخاصة بـ CI/CD (هجوم سلسلة التوريد، كشف الأسرار، اختراق الأنابيب) غير مُقيَّمة في سجل المخاطر
توقعات تدقيق المراقبة
بعد الاعتماد الأولي، تُجرى تدقيقات مراقبة سنوية (تغطي عادةً ثلث الضوابط كل عام). بالنسبة لبيئات CI/CD، سيركز مدققو المراقبة على:
- الفعالية المستمرة: هل الضوابط التي كانت مطابقة عند الاعتماد لا تزال تعمل بفعالية؟
- تغطية مراجعة الإدارة: هل راجعت الإدارة أداء أمن CI/CD؟
- الإجراءات التصحيحية: هل تمت معالجة أي حالات عدم مطابقة من التدقيق السابق والتحقق منها؟
- التغييرات منذ آخر تدقيق: هل طرأت تغييرات جوهرية على بيئة CI/CD، وهل خضعت لتقييم مخاطر؟
- نتائج التدقيق الداخلي: هل غطى التدقيق الداخلي ضوابط CI/CD، وهل تمت معالجة النتائج؟
- التحسين المستمر: هل ثمة أدلة على تحسين ضوابط أمن CI/CD منذ آخر تدقيق؟
الاستعداد لإعادة الاعتماد
تدقيق إعادة الاعتماد بعد ثلاث سنوات أكثر شمولاً من تدقيقات المراقبة؛ إذ يُعيد تقييم ISMS بالكامل. بالنسبة لبيئات CI/CD، يجب أن يشمل التحضير:
- المراجعة الكاملة وتحديث جميع السياسات والإجراءات المتعلقة بـ CI/CD
- دورة كاملة من مراجعات الوصول لجميع حسابات الأنابيب وبيانات اعتمادها
- تقييم مخاطر مُحدَّث يغطي أي تقنيات أو عمليات CI/CD جديدة اعتُمدت خلال دورة الاعتماد
- أدلة على تشغيل ضبط مستمر لمدة ثلاث سنوات (مسارات التدقيق، سجلات المراجعة، سجلات الحوادث)
- سجلات مراجعة الإدارة التي تتناول تحديداً اتجاهات أداء أمن CI/CD
- تقارير التدقيق الداخلي التي تغطي جميع ضوابط الملحق أ ذات الصلة بـ CI/CD
- أدلة على مبادرات التحسين المستمر لأمن الأنابيب
قراءات إضافية
موارد ذات صلة للمدققين
- المسرد — تعريفات بلغة بسيطة للمصطلحات التقنية
- كتيب يوم التدقيق
- إحاطة التدقيق التنفيذية
- معمارية الامتثال المزدوج
هل أنت جديد على تدقيق CI/CD؟ ابدأ بـ دليل المدقق.
