القسم أ — الحوكمة والجرد
| الضبط | نعم | لا | مرجع الدليل |
|---|---|---|---|
| يوجد جرد شامل بالموردين المرتبطين بـCI/CD | ☐ | ☐ | |
| تصنيف الموردين حسب الأهمية الحرجة مُعرَّف | ☐ | ☐ | |
| مالك تجاري مُعيَّن رسميًا | ☐ | ☐ | |
| مالك تقني مُعيَّن رسميًا | ☐ | ☐ | |
| تقييم المخاطر السنوي منجَز | ☐ | ☐ | |
| قائمة معالجي البيانات الفرعيين موثَّقة | ☐ | ☐ |
القسم ب — الضوابط التعاقدية والتنظيمية
| الضبط | نعم | لا | مرجع الدليل |
|---|---|---|---|
| الالتزامات الأمنية مُدرَجة في العقد | ☐ | ☐ | |
| اتفاقية مستوى خدمة إشعار الحوادث مُعرَّفة | ☐ | ☐ | |
| بند حقوق التدقيق موجود | ☐ | ☐ | |
| الشفافية في مواقع البيانات مُدرَجة | ☐ | ☐ | |
| بند استراتيجية الخروج مُعرَّف تعاقديًا | ☐ | ☐ |
القسم ج — التطبيق التقني لـCI/CD
| الضبط | نعم | لا | مرجع الدليل |
|---|---|---|---|
| SSO مُطبَّق على حسابات إدارة CI/CD | ☐ | ☐ | |
| MFA إلزامي للأدوار ذات الصلاحيات المرتفعة | ☐ | ☐ | |
| وصول قائم على الأدوار مع مبدأ أقل الصلاحيات | ☐ | ☐ | |
| الفروع المحمية مُطبَّقة | ☐ | ☐ | |
| موافقات الإنتاج الإلزامية مُهيَّأة | ☐ | ☐ | |
| بوابات السياسة تحجب النتائج الحرجة | ☐ | ☐ | |
| توقيع القطع الأثرية مُطبَّق | ☐ | ☐ | |
| توليد SBOM آلي | ☐ | ☐ | |
| عزل عوامل التشغيل مُطبَّق | ☐ | ☐ |
القسم د — الأدلة والاحتفاظ
| الضبط | نعم | لا | مرجع الدليل |
|---|---|---|---|
| سجلات CI/CD محتفَظ بها وفق السياسة | ☐ | ☐ | |
| سجلات الموافقة قابلة للتصدير | ☐ | ☐ | |
| نتائج الفحص الأمني مؤرشَفة مركزيًا | ☐ | ☐ | |
| قابلية التتبع الكاملة: commit → القطعة الأثرية → الإنتاج | ☐ | ☐ | |
| فترة الاحتفاظ بالأدلة موثَّقة | ☐ | ☐ |
القسم هـ — استراتيجية الخروج واختبار DR
| الضبط | نعم | لا | مرجع الدليل |
|---|---|---|---|
| خطة خروج موثَّقة موجودة | ☐ | ☐ | |
| تصدير الكود المصدري مختبَر | ☐ | ☐ | |
| تصدير تهيئة خط الأنابيب مختبَر | ☐ | ☐ | |
| تصدير القطع الأثرية مختبَر | ☐ | ☐ | |
| تمرين DR / الترحيل منفَّذ | ☐ | ☐ |
قرار المدقق
- تقييم المخاطر الإجمالي: ___
- النتائج الحرجة: ___
- الإصلاح مطلوب بحلول: ___
- تاريخ التدقيق المتابع: ___
