Professional Documents
Culture Documents
ملخص
ملخص
كراسة الشروط الخاصة واملواصفات الفنية ملشروع تعديل األنظمة املالية للعمل على مبدأ االستحقاق
وتطويربعض أنظمة تخطيط املوارد املؤسسية ()ERP
1
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
اجمالي مدة املشروع هي 18 :شهرا مقسمة على النحو التالي: مدة املشروع
• مدة تنفيذ أعمال املشروع ً 6 :شهرا
• مدة تنفيذ أعمال الدعم الفني والتشغيل ً 12 :شهرا.
من تاريخ محضر استالم األعمال ،بعد توقيع العقد بداية املشروع
يتم دفع قيمة املشروع على شكل دفعات بحسب مراحل تنفيذ املشروع وذلك على النحو طريقة الدفع
التالي:
• الدفع للمرحلة األولى:
يكون الدفع لجميع البنود التي وردت في جدول الكميات وذلك عند االنتهاء الكامل
من تنفيذ اعمال البند ،وبحسب مخرجات نطاق العمل وبعد استيفاء جميع
املتطلبات الالزمة واملخرجات املطلوبة ،مع االخذ بعين االعتبار البنود الواردة في
بنود الشروط الجزائية والغرامات
• الدفع للمرحلة الثانية:
يكون على شكل دفعات (شهرية) ،وذلك بعد استيفاء جميع املتطلبات الالزمة
واملخرجات املطلوبة ،مع االخذ بعين االعتبار البنود الواردة في بنود الشروط
الجزائية والغرامات واتفاقية مستوى أداء ا لخدمة التي وردت بالكراسة
ال ينطبق تجزئة املنافسة
مدة اإلجابة عن األسئلة
خالل مدة ال تتجاوز ( )7أيام
واالستفسارات
)1امللخص التنفيذي. وثائق العرض الفني
)2املقدمة :مقدمة موجزة عن الحلول املقدمة لجميع مراحل املشروع من قبل الشركة
املتقدمة.
)3الشركة املتقدمة:
• وصف للهيكل التنظيمي للشركة املقدمة للعرض بما في ذلك
oاملجال الرئيس ي ألعمال املقاول
oموقع املكتب الرئيس ي للمقاول وعدد موظفيه
oفروع الشركة (إن وجد)
)4خلفية الشركة واألعمال التجارية
• منهجيات وافضل ممارسات الشركة.
2
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
• عدد ونوع الشهادات التي حصل عليها أعضاء فريق العمل املقترح الذي سوف يقوم
بتنفيذ اعمال املشروع.
• تقديم السيرة الذاتية لجميع اعضاء فريق العمل ،القائم على تنفيذ اعمال املشروع
)5الخبرات السابقة.
)6منهجية العمل:
• يجب تحديد مراحل العمل وشرح كيفية تنفيذ نطاق املشروع وذلك لكل مرحلة
بالتفصيل.
• شرح االدوار املشاركة في كل مرحلة.
• تحديد مخرجات كل مرحلة.
• تحديد األساليب واألدوات التحليلية املستخدمة لنجاز العمل.
• تقديم خطة مشروع شاملة جميع مراحل التنفيذ واملخرجات ،وذلك من خالل العرض
الفني املقدم من جانب املقاول.
• تقديم خطة مقترحة ألعمال نقل املعرفة وذلك من خالل العرض الفني.
• تقديم االعمال السابقة املشابهة لألعمال املطلوبة بنطاق عمل املشروع
معاييرتقييم العروض
سيتم تقييم العروض املقدمة وفق املعايير التالية:
الوزن الوزن
املعيار #
االجمالي التفصيلي
التزام املقاول بتنفيذ جميع االعمال التقنية والفنية بحسب ما ورد في نطاق العمل
%25 1
واملواصفات الفنية وامللحقات
%15 -آليه اعمال التهيئة والتطوير لألنظمة املالية
%5 -آليه اعمال تنفيذ نظام األصول الثابتة
%5 -آليه اعمال تنفيذ نظام املشتريات واملخازن
منهجية املقاول والتزامه بتنفيذ اعمال الدعم الفني والتشغيل الخاصة بتطوير نظام
%15 تخطيط املوارد املؤسسية ) (ERPوتوفير فريق عمل مؤهل ولديه الخبرة الكافية وذلك 2
بعد االنتهاء من تنفيذ مرحلة تنفيذ االعمال مع ارفاق ما يثبت ذلك
%15 مدى مالئمة خطة إدارة التغيير ونقل املعرفة ألهداف املشروع 3
%20 االلتزام بتقديم منهجية عمل واضحة بحسب املعايير العاملية في تطوير برمجيات اوراكل 4
3
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
مدى قوة السجل (البروفايل) ملقدم العرض مثل :الخبرات السابقة ملشاريع التحول من
%25 5
األساس النقدي الى االستحقاق وخبرات الفريق
%100 اإلجمالي
سوف يتم استبعاد العرض املقدم من جانب املقاول في حال عدم تحقيقه نسبة ( )%70فما فوق من إجمالي املعايير الفئة
املطلوبة أعاله.
يتضمن نطاق العمل املطلوب ضمن هذا الجزء من الكراسة تفاصيل األنشطة واملخرجات الرئيسية التي يتوجب على مقدم العطاء تنفيذها لدعم
وتمكين نظام تخطيط املوارد املؤسسية ( )ERPلدى املؤسسة لتلبية متطلبات التحول لالستحقاق .مع الشارة الى أنه ُيمكن ملقدم العرض إضافة أية
أعمال يراها الزمة ضمن العرض الفني املقدم للمؤسسة مع تقديم الوصف الشامل لها مع تفاصيل تنفيذها .مع الشارة الى انه سيتم مشاركة مقدم
العرض بوثائق متطلبات االعمال ( )Business Requirement Documentsحال االنتهاء من العمل عليها من قبل فريق املؤسسة.
حيث تمت دراسة وتقييم نظام تخطيط موارد املؤسسة ) (ERPلدى املؤسسة من حيث مدى قدرته على دعم التغييرات املرتبطة بعملية التحول
املحاسبي التي تنفذها املؤسسة ً
بناء على نتائج مشروع التحول من األساس النقدي إلى أساس االستحقاق املحاسبي .وقد شملت هذه الدراسة دليل
الحسابات ) (COAوهيكلية نظام تخطيط موارد املؤسسة ) (ERPواملالحظات الرئيسية العامة حيثما ينطبق ذلك .وقدمت هذه املرحلة البدائل
للخطوات التالية من خالل تحديد مجاالت التحسين ومكنت املؤسسة على اتخاذ القرار املتعلق بالتوجه الى أحد الخيارات املتاحة ومنها تنفيذ
التخصيصات الرئيسية او إعادة التنفيذ الجزئي او إعادة التنفيذ بالكامل لتكون قادرة على دعم التحول نحو املحاسبة على أساس االستحقاق.
4
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
ويمثل الجدول ادناه املحاور الرئيسية واملتوقعة لنطاق العمل ومخرجاته الرئيسية بحيث يلتزم بها مقدم العرض بحد أدنى أثناء تقديم الحل املقترح
لدعم وتمكين نظام تخطيط املوارد املؤسسية لدى املؤسسة ( )ERPلتلبية متطلبات التحول ألساس االستحقاق .حيث سوف تقدم األجزاء التالية من
نطاق العمل املزيد من التفاصيل حولها.
رقم الجزء
املحاورالرئيسية واملتوقعة لنطاق العمل ومخرجاته الرئيسية م.
من الكراسة
املرحلة األولى االعداد والتهيئة والتطوير
تمكين نظام تخطيط موارد املؤسسة ( )Oracle E-Business Suiteالحالي لدى مؤسسة البريد السعودي من التحول الى
1 1
أساس االستحقاق من خالل اجراء التعديالت الالزمة على النظام وجميع األنظمة املرتبطة به.
تطبيق نظام األصول الثابتة وفق مشروع التحول الى أساس االستحقاق من خالل تعريف سجل األصول الثابتة على نظام
2 2
األصول الثابتة وبناء عمليات النظام املرتبطة به.
3 دراسة التكامالت الحالية واجراء التعديالت الالزمة بما يتوافق مع معطيات التحول الى أساس االستحقاق 3
4 دراسة ( )SLA Customizationاملطبقة حاليا على النظام وتعديلها بما يتناسب مع متطلبات التحول الى االستحقاق. 4
إعداد وتنفيذ خطة شاملة للقيام بالتعديالت الالزمة على جميع البيانات عند التحول الى أساس االستحقاق (البيانات
5 5
الرئيسية ،األرصدة االفتتاحية)
دراسة التقارير الصادرة عن النظام واقتراح وتنفيذ أي إضافات او تعديالت عليها لتتوائم مع التحول الى أساس االستحقاق
6 6
ومتطلبات وزارة املالية ومؤسسة البريد السعودي.
إعداد خطة شاملة وفعالة لالنتقال الى البيئة التشغيلية ( )Transition Planلضمان االنتقال الناجح الى أساس االستحقاق
7 7
وبالشكل الذي ال يؤثر على عمل املؤسسة اليومي
إعداد خطة شاملة وفعالة لإلجراءات االحتياطية في حال عدم نجاح التطبيق ( )Fail-over Planأو مواجهة أي تحديات
8 8
تعيق االنتقال الى أساس االستحقاق على النظام واختبار النسخة املعتمدة منها مع فريق تقنية املعلومات لدى املؤسسة
إعداد وتنفيذ خطة شاملة وفعالة الختبار النظام باستخدام نسخة تجريبية من النظام ( )Testing Cloneعبر املراحل
9 املختلفة لتطبيق النظام )… (Development, UATبحيث تكون مطابقة للنسخة التشغيلية ( )Production Instanceوذلك 9
للتأكد من تلبية النظام ملتطلبات التحول الى االستحقاق بالشكل األمثل قبل االطالق الفعلي للنظام
إعداد وتنفيذ خطة شاملة وفعالة للتدريب ونقل املعرفة وتتضمن املحاور الرئيسية التالية:
وضع خطة تدريب للتأكد من أن جميع مستخدمي النظام واملسؤولين عن تشغيله ودعمه ( End Users & System •
10 )Administratorsعلى استعداد تام للعمل على النسخة املحدثة من النظام وتشمل هذه الخطة التدريب على 10
خصائص وعمليات النظام ()New Functionalities & System Processes
5
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
تقديم الصيانة والدعم ملدة تبلغ ( )12أشهر وتتضمن:
تقديم الدعم لإلقفال الشهري واقفال أول سنة مالية خالل فترة الدعم 12شهر •
النقطة األولى :تمكين نظام تخطيط موارد املؤسسة ( )Oracle E-Business Suite R12الحالي لدى مؤسسة
البريد السعودي من التحول الى أساس االستحقاق
تسعى مؤسسة البريد السعودي من تمكين نظام تخطيط موارد املؤسسة ( )Oracle E-Business Suite R12الحالي من التحول الى أساس
االستحقاق من خالل اجراء التعديالت الالزمة على النظام مع االخذ بعين االعتبار ضرورة الحفاظ على االعدادات والبيانات الحالية املتعلقة بدفتر
الحسابات النقدي.
حيث تتمثل اعدادات النظام الحالي في كيان قانوني واحد ودفاتر األستاذ العام (الرئيس ي -استحقاق والثانوي -نقدي) ووحدة تشغيل واحدة .حيث أن
املؤسسة سوف تستمر بالعمل على األساس النقدي الى جانب أساس االستحقاق لفترة من الزمن مع ضرورة ايجاد حلول تقنية من شأنها أتمتة ادخال
الحركات ما بين دفاتر االستاذ العام التأكيد على ضرورة عدم املساس بالبيانات التاريخية لألساس النقدي .وملزيد من التفاصيل حول نظام تخطيط
موارد املؤسسة الحالي الرجاء الرجوع الى امللحق رقم ( – )1تقرير دراسة الوضع الحالي لنظام تخطيط موارد املؤسسة (.)ERP
وبناء على ما سبق والتوجه التي اتخذته املؤسسة بخصوص تمكين ودعم النظام املالي لديها للتحول الى االستحقاق ،فانه من الالزم استخدام واتباع
منهجية أوراكل ( )OUM or AIMلتنفيذ هذا التوجه من قبل مقدم العرض .وذلك مع القيام بتسليم جميع الوثائق املطلوبة في كل مرحلة من مراحل
املشروع وتنفيذ األعمال التالية كحد أدنى.
مع الشارة أنه يمكن ملقدم العرض اقتراح أي اعمال وأنشطة إضافية يراها مناسبة لدعم تنفيذ عمل املشروع باالتفاق مع فريق مؤسسة البريد
السعودي:
الشروط األساسية الواجب اتباعها من قبل مقدم العرض إلتمام عملية تمكين النظام ( )ERPلدعم التحول
الى أساس االستحقاق:
اجراء التعديالت الالزمة على النظام مع االخذ بعين االعتبار ضرورة الحفاظ على االعدادات والبيانات الحالية املتعلقة بدفتر الحسابات -
النقدي
6
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
ً
عكس دليل الحسابات الجديد املتعلق باالستحقاق على النظام استنادا على الحلول املتبعة للتحول الى االستحقاق -
تحميل قيم دليل الحسابات الجديدة (أساس االستحقاق) مع األخذ بعين االعتبار إمكانية استخدام مقاطع جديدة -
مراجعة جميع اعدادات النظام وذلك لتعديل الحسابات بما يتناسب مع دليل الحسابات الجديد. -
تعديل جميع البيانات الرئيسية لتتناسب مع قيم دليل الحسابات الجديد -
تحميل جميع األرصدة االفتتاحية وفق أساس االستحقاق لتتناسب مع قيم دليل الحسابات الجديد -
تعديل بعض البيانات الرئيسية املتأثرة بالتحول لالستحقاق بما يتوافق مع معطيات التحول على سبيل املثال ال الحصر املوردين -
والحسابات املتعلقة بهم
تحميل جميع األرصدة االفتتاحية وفق أساس االستحقاق لتتناسب مع قيم دليل الحسابات الجديد -
املحافظة على جميع البيانات التاريخية لجميع الحركات املبنية على األساس النقدي -
تحميل األرصدة االفتتاحية املبنية على أساس االستحقاق كما هو موضح في الجزء رقم – 5معالجة البيانات. -
االلتزام بتنفيذ وتطوير وتحسين جميع التطبيقات ودورات العمل املطلوبة إدارية ومالية وخدمية وفق متطلبات مؤسسة البريد. -
اتمتة جميع االعمال الخاصة باألنظمة املدرجة داخل هذه الوثيقة. -
االلتزام بالربط مع أنظمة مؤسسة البريد السعودي الحالية واملقترحة ذات العالقة وأن يكون الربط ربط مزدوج التأثير" التأثير على -
األنظمة الحالية وكذلك تأثير األنظمة الحالية على النظام".
تطبيق سلسلة املوافقات والصالحيات داخل مؤسسة البريد السعودي على األنظمة او تقديم إجراءات مقترحة من قبل املقاول. -
تقديم جميع الوثائق الخاصة باألنظمة والتحليل وطرق التنفيذ والتطوير والصيانة. -
يجب على املقاول االلتزام بتقديم جميع املخرجات والتقارير والخطط الخاصة باملشروع ،على سبيل املثال) تحليل الفجوة – جمع -
املتطلبات – التصاميم – الخطط – املخاطر – سير االعمال وغيرها(
قائمة األنظمة الرئيسية املتوقع العمل على تحسينها أو تعديلها أثناء تنفيذ املشروع:
ويمثل الجدول التالي قائمة األنظمة الرئيسية املتوقع العمل على تحسينها أو تعديلها أثناء تنفيذ املشروع من قبل مقدم العرض حيث أنه من املطلوب
وضع خطة واضحة بهذا الخصوص ومناقشتها واعتمادها من قبل فربق املؤسسة.
ERP System Functions Business Area
General Ledger
Account Receivable
Account Payable
Fixed Assets Financial Management
Cash Management
Budgeting
7
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
Tax management
Property Management
Payroll costing
Self service Human Capital Management
Core HR
Inventory Management Inventory
Procurement Procurement
النقطة الثانية :تطبيق نظام األصول الثابتة ونظام العهد وفق مشروع التحول الى أساس
االستحقاق
حيث يشمل نطاق العمل فيما يتعلق بتطبيق نظام األصول الثابتة وفق مشروع التحول الى أساس االستحقاق األنشطة واملخرجات التالية
كحد أدنى:
-يجب على مقدم العرض تفعيل نظام االصول الثابتة بما يتوافق مع أساس االستحقاق مع االخذ بعين االعتبار متطلبات
التكامل مع النظام االلكتروني لترميز وجرد االصول والتي ستوفره املؤسسة ملقدم العرض حال توفره
-يجب على مقدم العرض بناء عمليات النظام الخاصة بنظام األصول الثابتة وفقا ملخرجات مشروع التحول الى االستحقاق
وتشمل تلك املخرجات بحد أدنى على ما يلي:
-إضافة أصل ثابت /تحت االنشاء /غير ملموس
-استبعاد أصل ثابت /تحت االنشاء /غير ملموس
-بيع أصل ثابت /تحت االنشاء /غير ملموس
-نقل أصل ثابت /تحت االنشاء /غير ملموس
-إعادة تقييم أصل ثابت /تحت االنشاء /غير ملموس
-جرد األصول الثابتة ومطابقتها مع النظام بشكل تلقائي
-ربط األصل بموظف/ين والتكامل مع نظام املوارد البشرية (عهدة)
-حساب االهالك لألصول الثابتة والطفاء لألصول غير امللوسة إمكانية توزيع قيمة إهالك األصل على عدة مراكز تكلفة مختلفة
2.3الربط مع نظام تتبع األصول
2.4األصول االلكترونية (العهد)
8
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
النقطة الثالثة :دراسة التكامالت الحالية وتنفيذ ما يلزم من اإلضافة والتعديل عليها
ً
يجب على مقدم العرض دراسة التكامالت الحالية وتنفيذ ما يلزم من الضافة والتعديل عليها وفقا ملخرجات التعديل والتحديث على
االعدادات والبيانات وفقا لتعديالت النظام التي تمت لتنفيذ التحول الى أساس االستحقاق.
ويشمل نطاق العمل كحد أدنى األنشطة واملخرجات التالية:
-يجب على مقدم العرض دراسة جميع التكامالت الحالية مع االنظمة ذات العالقة ) ،(Third Party Systemsحيث يجب ان تتماش ى مع
خصائص وعمليات وتقارير أساس االستحقاق املحاسبي بالضافة الى األساس النقدي.
-الحفاظ على عمليات الربط القائمة مع األنظمة الداخلية وتعديلها وفق تعديل إجراءات ودورات العمل الجديدة.
-الحفاظ على عمليات الربط القائمة مع املنصات الخارجية (وزارة املوارد البشرية (التزام) – وزارة املالية (صرف) – رئاسة أمن الدولة
(استشراف) وتعديلها وفق تعديل إجراءات ودورات العمل الجديدة.
ً
-التكامل مع أنظمة مؤسسة البريد السعودي املختلفة ان دعت الحاجة وفقا آلليات العمل التي سيتم تطويرها واستحداثها.
-التزام املقاول بتنفيذ أي متطلب جديد يطرأ في جميع مراحل املشروع فيما يخص التكامل مع األنظمة األخرى.
النقطة الرابعة :دراسة ( )SLA Customizationاملطبقة حاليا على النظام وتعديلها بما يتناسب
مع متطلبات التحول الى االستحقاق
يجب على مقدم العرض دراسة ( )SLA Customizationاملطبقة حاليا على النظام وتعديلها بما يتناسب مع متطلبات التحول الى االستحقاق. -
يجب على مقدم العرض تطبيق سالسل االعتمادات املوجودة على النظام الحالي والتعديل عليها وفقا لتعديالت النظام التي تمت لتنفيذ التحول -
الى أساس االستحقاق.
يجب على مقدم العرض إعداد وتنفيذ خطة شاملة للقيام بالتعديالت الالزمة على جميع البيانات عند التحول الى أساس االستحقاق (البيانات الرئيسية،
األرصدة االفتتاحية) ،بحيث تشمل األنشطة املذكورة أدناه بحد أدنى:
-القيام بالتعديالت الالزمة على البيانات الرئيسية:
-القيام بمراجعة جميع البيانات الرئيسية لتنفيذ التعديالت الالزمة
تعديل جميع الحسابات الخاصة بالبيانات الرئيسية بناء على دليل الحسابات اجلديد -
رفع بيانات دليل الحسابات الجديد املتعلق بالتحول الى االستحقاق -
تحميل األرصدة االفتتاحية: -
.iترحيل جميع الحركات من دفاتر األستاذ املساعدة الى دفتر األستاذ العام الرئيس ي
.iiحصر كافة الحركات املعلقة غير املنتهية من الدفتر النقدي ومن ثم عكسها على النظام بما يتوافق مع متطلبات االستحقاق
ودليل الحسابات الجديد
.iiiتحميل األرصدة االفتتاحية الجديدة في دفتر األستاذ االستحقاق بناء على قيم دليل الحسابات الجديد
معالجة فواتير العمالء في نظام املقبوضات: -
.iرفع حركات نظام املقبوضات املعلقة غير املنتهية بما يتوافق مع متطلبات االستحقاق ودليل الحسابات الجديد
معالجة فواتير املوردين في نظام املدفوعات: -
9
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
.iرفع حركات اوامر التعميد غير املنتهية واالستالمات غير املفوترة بما يتوافق مع متطلبات االستحقاق ودليل الحسابات الجديد
يشترط عدم ادخال أي حركة جديدة أثناء عملية االنتقال الى النظام الجديد (نظام أساس االستحقاق) -
النقطة السابعة :إعداد وتنفيذ خطة شاملة وفعالة لالنتقال الى البيئة التشغيلية ( Transition
)Planلضمان االنتقال الناجح الى أساس االستحقاق وبالشكل الذي ال يؤثرعلى عمل املؤسسة
اليومي
بناء على أهمية مخرجات مشروع التحول إلى أساس االستحقاق في املؤسسة وضرورة االلتزام بدقة وجودة التقارير املالية مع األخذ بعين
االعتبار درجة التعقيد املرتبطة بتنفيذ خيار املؤسسة في التحول لالستحقاق كون البيئة الحالية سيتم تحويلها من النقد إلى االستحقاق مع
االستمرار في العمل اليومي قدر االمكان .يجب على مقدم العرض إعداد وتنفيذ خطة انتقال مناسبة وشاملة للحصول على انتقال ناجح ال
يؤثر على العمل اليومي .حيث يجب مناقشة هذه الخطة واالتفاق على تفاصيلها مع فريق املؤسسة.
النقطة الثامنة :إعداد وتنفيذ خطة شاملة وفعالة لإلجراءات االحتياطية في حال عدم نجاح
التطبيق ()Fail-over Plan
مع الشارة الى أنه من املتطلبات اعداد وتنفيذ خطة انتقال مناسبة عند بدء العمل على أساس االستحقاق كما ورد في الجزء السابق من
الكراسة ،فانه يجب على مقدم العرض أيضا اعداد خطة شاملة وفعالة لإلجراءات االحتياطية في حال عدم نجاح التطبيق ( Fail-over
)Planأو مواجهة أي تحديات تعيق االنتقال الى أساس االستحقاق على النظام حيث تتضمن االحتياطات التقنية الالزمة في حال حدوث
طارئ أثناء عملية التحول نظرا لحساسية تعديل البيانات لوجودها على بيئة النتاج الفعلية ،وأنه لن يكون هناك امكانية للعودة إلى
العدادات القديمة (اعدادات األساس النقدي) كون إعدادات االستحقاق الجديدة ستستبدل إعدادات النقد القديمة على البيئة نفسها.
مع التأكيد على ضرورة اختبار عمليات وإجراءات الخطة االحتياطية املقدمة بالتنسيق مع فريق تقنية املعلومات لدى املؤسسة.
10
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
يجب على مقدم العرض التحضير لتنفيذ االختبارات واألنشطة التالية بالتنسيق مع املؤسسة وتزويد ما يلي: -
.iخطة االختبار )(Test Plan
.iiحاالت االختبار مبنية على حاالت االستخدام )(Test Case
.iiiبيانات تجريبية لعملية االختبار )(Test Data
.ivنتائج عمليات االختبار )(Test Results
.vسيناريوهات عمليات االختبار )(Test Script
.viسجالت عمليات االختبار )(Test Log
.viiإعدادات بيئة االختبار )(Test Environment Configuration
.viiiإعدادات بيئة اختبار قبول النظام )(UAT Environment Configuration
.ixاختبار التكامل مع االنظمة ذات العالقة )(System Integration Testing
يجب على مقدم العرض التحضير لتنفيذ االختبارات واألنشطة التالية على بيئة التشغيلية ): (Production -
.iإجراء اختبار الضغط واألداء ) (Stress and Performance Testعلى النظام
.iiيلتزم مقدم العرض بتقديم وثائق االختبار بما يتوافق مع املنهجية املعتمدة
النقطة العاشرة :التدريب إعداد وتنفيذ خطة شاملة وفعالة للتدريب ونقل املعرفة
يجب على مقدم العرض إعداد وتنفيذ خطة شاملة وفعالة للتدريب ونقل املعرفة وتتضمن املحاور الرئيسية التالية:
-وضع خطة تدريب للتأكد من أن جميع مستخدمي النظام واملسؤولين عن تشغيله ودعمه ()End Users & System Administrators
على استعداد تام للعمل على النسخة املحدثة من النظام وتشمل خصائص وعمليات النظام ( New Functionalities & System
)Processes
-يجب توضيح برنامج التدريب ضمن العرض مفصال ببرنامج زمني محدد
-التدريب على رأس العمل حسب ما توفر له إدارة املشروع من موظفين
-يجب أن يشتمل التدريب على تأهيل املستخدمين من إدارة األصول للعمل على األنظمة التي تم تطبيقها.
-يجب أن يشتمل التدريب على تأهيل املختصين بإدارة تقنية املعلومات باملؤسسة على تهيئة األنظمة وأن يتضمن التدريب جميع وظائف
هذه األنظمة بدون أي استثناءات
-يجب توفير دليل التدريب واالستخدام لألنظمة واألجهزة بالضافة إلى املادة التدريبية
11
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
12
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
النظام ()New Functionalities & System Processes
• نقل املعرفة ومشاركة الخبرات
• Maintenance and Support Document تقديم الصيانة والدعم ملدة تبلغ 12أشهر وتتضمن:
)(SLA دعم إجراءات العمل الجديدة/املحدثة •
دعم جميع الوحدات في النظام ضمن نطاق العمل •
11
تطبيق إصدارات والتحسينات لنظام تخطيط موارد املؤسسة •
توثيق جميع تغييرات التطبيق وتحديثها •
• تقديم الدعم لإلقفال الشهري واقفال أول سنة مالية
13
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
-إدارة املشروع
يتولي قطاع تقنية املعلومات إدارة املشروع ومن املتوقع أن يتم رصد مستوى التقدم وعقد االجتماعات بشكل دوري -
مع املتعاقد ،على أن يقوم املتعاقد بتقديم تقرير رسمي ودقيق عن مستوى تقدم املشروع.
أن يلتزم املقاول بأتباع املعايير العاملية املعتمدة لدارة املشاريع ،وتواجد مدير املشروع طيلة مدة املشروع. -
أن يلتزم املقاول بتقديم مدير مشروع معتمد يمثل نقطة اتصال وحيدة ،كما انه يتوجب أرفاق السيرة /السير الذاتية -
الخاصة بهم ،وذلك بحسب املؤهالت املطلوبة.
يتوجب على املقاول أعداد خطة لدارة املشروع وتقديمها مع العرض الفني واملالي بحيث تشمل التالي: -
ج -نطاق عمل املشروع. أ -الجدول الزمني بصيغة MS Project
ح -خطة إدارة الجودة. ب -خطة إدارة املخاطر.
خ -خطة إدارة التغير. ت-خطة إدارة االتصال.
ث-خطة إدارة املوارد البشرية.
يتم البدء بتنفيذ املشروع بعد تقديم املستندات التالية: -
.iوثيقة تأسيس املشروع.
.iiخطة إدارة املشروع
يتوجب على املقاول اعتماد واستخدام نماذج إدارة املشاريع املعتمدة واملستخدمة لدى قطاع تقنية املعلومات. -
يتم اقفال املشروع واستخراج شهادة االنجاز للدفعة األخيرة على اكتمال مرحلة اغالق املشروع ()Project Closing -
ً
بشكل كامل متضمنا توثيق جميع السلبيات وااليجابيات التي حدثت خالل دورة حياة املشروع.
ً
يجب على مدير املشروع اجادة اللغة العربية واالنجليزية (تحدثا وكتابة) ،ويحق للبريد السعودي استبدال مدير -
املشروع في حال رؤية عدم كفائته.
14
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
15
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
-11تقديم جميع الوثائق ومخرجات املشروع بناء على
منهجية أوراكل
املرحلة الثانية
ً القيام بأعمال الدعم الفني لنظام تخطيط املوارد
12شهرا /تبدأ بعد انتهاء تنفيذ اعمال املرحلة األولى القيام بأعمال الدعم
املؤسسية () ERPملؤسسة البريد السعودي
الفني
مكان تقديم الخدمات
سوف يتم تقديم جميع الخدمات املشار لها بنطاق عمل املشروع في مقر املؤسسة بمدينة الرياض حسب جدول ومواصفات فريق العمل
جداول كميات املواد او املعدات (ان وجد)
سعراإلفرادي السعراالجمالي الوحدة الكمية البند م
املرحلة األولى
اعمال تقييم الوضع الراهن واملستقبلي
تقديم تصميم الحلول لكافة متطلبات وعمليات النظام( .بحسب
وثيقة 1 1
ماورد في نطاق عمل املشروع)
تطوير نظام تخطيط املوارد املؤسسية ) (ERPملؤسسة البريد السعودي
تطوير وتعديل األنظمة للعمل على أساس االستحقاق وتطبيق معايير املحاسبة الدولية للقطاع العام
عدد 1 األستاذ العام 2
عدد 1 محاسبة اليرادات 3
عدد 1 محاسبة املدفوعات 4
عدد 1 األصول الثابتة 5
عدد 1 نظام الضرائب 6
عدد 1 أنظمة املخازن واملشتريات 7
عدد 1 أنظمة املوارد البشرية والرواتب 8
عدد اعداد ( )30تقارير مبنية على أساس االستحقاق تتوائم مع متطلبات
30 9
العمل لدى مؤسسة البريد السعودي
املرحلة الثانية
مدة ً القيام اعمال الدعم الفني لنظام تخطيط املوارد املؤسسية)(ERP
12شهرا 1
زمنية ملؤسسة البريد السعودي
اإلجمالي
اإلجمالي:
القيمة املضافة:
ً
اإلجمالي بعد احتساب القيمة املضافة (رقما):
اإلجمالي بعد احتساب القيمة املضافة (كتابة):
16
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
17
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
الناحية الوظيفية
والناحية الفنية
خبرة ال تقل عن
بكالوريوس تقنية
10سنوات في إدارة
معلومات تخصص علوم
املشاريع.
0 8 حاسب آلي أو نظم مدير املشروع – عن بعد
خبرة ال تقل عن 3سنوات
معلومات او اي تخصص
في استخدام برنامج إدارة
ذات صلة
املشاريع )(EPM
ال ينطبق
الشروط الخاصة باملعدات (إن وجد)
ال ينطبق
مخرجات املشروع
املدة الزمنية لتنفيذ االعمال املخرج بحسب نطاق العمل #
مخرجات املرحلة األولى
تقديم تصميم الحلول لكافة متطلبات وعمليات النظام
تقديم تصميم الحلول لكافة متطلبات وعمليات نظام تخطيط املوارد
6اشهر 1
املؤسسية) )ERPوذلك بحسب ماورد في نطاق عمل املشروع.
تطوير نظام تخطيط املوارد املؤسسية) (ERPملؤسسة البريد السعودي
18
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
متطلبات تعديل األنظمة للعمل على أساس االستحقاق وتطبيق معايير املحاسبة الدولية للقطاع
العام
األستاذ العام 2
محاسبة اليرادات 3
محاسبة املدفوعات 4
األصول الثابتة 5
نظام الضرائب 6
أنظمة املخازن واملشتريات 7
أنظمة املوارد البشرية والرواتب 8
مخرجات املرحلة الثانية
القيام بأعمال نقل املعرفة ،وذلك بحسب ماورد في بند املواصفات التفصيلية للنظام 1
12شهرا تبدا بعد انتهاء اعمال
القيام اعمال الدعم الفني والتشغيل لنظام تخطيط املوارد املؤسسية )(ERPملؤسسة البريد
املرحلة تنفيذ املرحلة األولى 2
السعودي.
مواصفات السالمة
يلتزم املتعاقد خالل جميع مراحل التنفيذ بجميع األنظمة والقواعد املطبقة في اململكة بشأن الساملة والصحة والبيئة ،وأي أنظمة وقواعد تحددها الجهة
الحكومية في نطاق عمل املشروع ،ويضمن اتخاذ جميع الجراءات واالحتياطات الالزمة لالمتثال لهذه األنظمة والقواعد.
19
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
الشروط الخاصة
يجب على املقاول دراسة ة ة ةةة متطلبات املشة ة ة ةةروع من كافة جوانبه وتقديم املقترحات حيال خطوات واحتياجات .1
املشروع الالزمة للبدء فيه .كما يجب ان تقدم الشركة مستند توضح فيه خطة عمل مفصلة وكيفية التنفيذ.
يجب على املقاول تقديم السير الذانية لفريق العمل املقترح لتنفيذ اعمال املشروع .2
يجب على املقاول ومن خالل العرض املقدم من جانبه ،وضع خطة لكيفية تقييم الوضع الراهن واملستقبلي .3
فيما يخص إيجاد الحلول والبدائل املناسبة لإلجراءات والسياسات لجميع األنظمة التقنية النمطية وتقديم
املقترحات ،والبدائل فيما يخص آلية تعديالت وإضافات دليل الحسابات ( )Chart of accountلتلبية
ً
احتياجات مؤسسة البريد السعودي واملوضحة في هذه الوثيقة ووفقا للعمل على أساس االستحقاق.
يجب على املقاول مراجعة وثائق الحوكمة (السياسات والجراءات) الخاصة بمؤسسة البريد السعودي .4
ومطابقتها لألنظمة املنفذة ،او تنفيذها بشكل أفضل في حال موافقة مؤسسة البريد السعودي مع تقديم
الوثائق الخاصة بالجراءات الجديدة.
.5يجب تقديم األنظمة (الحلول) املطلوبة على ٣بيئات عمل :تطويرية ( – )Developmentاختبارية ()Testing
– إنتاجية (.)Production
.6يحق للبريد الس ة ةةعودي رفض العرض املقدم من جانب املقاول في حال عدم وزن األس ة ةةعار (حس ة ةةب أس ة ةةعار الس ة ةةوق
السائدة) لبنود جدول الكميات.
.7يجب على املقاول تعبئة جدول الكميات واالسعار الواردة بكراسة الشروط واملواصفات.
20
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
.8االلتزام بتقديم جميع خدمات الدعم الفني في املقر الرئيس ي ملؤسسة البريد السعودي اثناء فترة املشروع من
خالل تواجد فريق عمل املقاول في مقر البريد للموظفين املنصوص عليهم بالعمل في مقر البريد حسب جدول
ومواصفات فريق العمل
.9يتحمل املقاول جميع االعمال التحضيرية (فنية – اجرائية –وظيفية و ......الخ).
.10االلتزام بتنفيذ التغييرات التي قد تحدث على االنظمة اثناء فترة تنفيذ املشروع وتشمل اضافة او تعديل
اجراءات.
.11يجب على املقاول تقديم) ) ERP Architecture Designوجميع الوثائق الفنية األخرى الالزمة في العرض املقدم
،طيلة مدة اعمال املشروع
.12يجب على املقاول ضمان تنفيذ االعمال وفق معايير الجودة وتطبيق املعايير القياسية الخاصة بالشركة االم
اوراكل.
.13يجب على املقاول تقديم خطط مفصلة لجميع املراحل ( تنفيذ – اختبار – نماذج األرصدة االفتتاحية ..الخ).
.14يجب على املقاول تطوير معايير قبول فحص األنظمة باالتفاق مع مؤسسة البريد السعودي.
.15يجب على املقاول ارفاق معلومات عن املشاريع السابقة التي تم تنفيذها مع ذكر جهات االتصال.
.16يجب ان يكون املقاول حاصل على تصانيف الشراكة من قبل الشركة االم اوراكل.
.17يجب ان يكون املقاول سبق له انجاز مشاريع بشكل ناجح على أنظمة اوراكل( )On-Premiseاملالية واملوارد
البشرية واملشتريات ومشاريع التحول للعمل على أساس االستحقاق وتم تطبيق النظام في جهتين حكومية او
شبه حكومية توازي حجم مؤسسة البريد السعودي.
.18يجب على املقاول استخدام رخص اوراكل الحالية املتوفرة في مؤسسة البريد السعودي.
.19يجب ان يكون املقاول قد قام بتقديم خدمات الدعم الفني لدى جهات توازي حجم مؤسسة البريد السعودي
وارفاق ما يثبت ذلك.
.20يجب ان يكون كامل فريق العمل يعملون لدى نفس املقاول بدوام كامل ولن يقبل بأن يكونوا متعاونين او
عاملين بصفة مؤقتة.
.21يجب ان يقدم الدعم الفني من خالل موظفين املقاول فقط وبدون االستعانة بطرف آخر.
21
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
الجزاءات والغرامات
املدة الزمنية لتنفيذ
الغرامات املخرج بحسب نطاق العمل #
االعمال
مخرجات املرحلة األولى
تقديم تصميم الحلول لكافة متطلبات وعمليات النظام
22
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
حيث أن البريد السعودي يرغب بتنفيذ بنود هذه االتفاقية وذلك لضمان قيام املقاول بأعمال الدعم الفني
ً
الواردة في كراسة الشروط واملواصفات الفنية ،وذلك للمرحلة الثانية ،وملدة اجمالية ( 12شهرا) ،على ان تبدأ
هذه االعمال في التنفيذ من جانب املقاول بعد انتهاء اعمال املرحلة االولى ،وذلك بناء على ما ورد في بنود هذه
االتفاقية.
23
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
تعريفات :
ً
حيثما وردت العبارات التالية بهذا العقد ,سيكون لها املعاني املبينة تاليا-:
-االتفاقية :تعني هذه االتفاقية وكل ملحقاتها والتغييرات الخطية املوقعة من الطرفين.
-تاريخ بداية االتفاقية :تبدأ بنود االتفاقية حيز التنفيذ مباشرة عند بدأ مرحلة الدعم الفني (لكل
مرحلة).
-مدة االتفاقية الخاصة بمستوى الخدمة 12 :شهرا.
-االنظمة والتطبيقات :وهي جميع انظمة تخطيط املوارد املؤسسية والخدمات املرتبطة بها
وملحقاتها والتي وردت في نطاق عمل املشروع.
-العطل :يعني أي مشكلة تظهر وتؤثر على أداء االنظمة والتطبيقات.
-ساعات العمل :تعني ساعات العمل بالبريد السعودي.
-خدمات الصيانة :تعني خدمات الصيانة الوقائية والصيانة العالجية واملساندة.
-مدة االستجابة :تعني الوقت ما بين إعالم املقاول بالعطل واستجابته للبالغ.
-مدة الصالح :املدة الالزمة لإلصالح العطل.
-الصيانة :تعني اعمال صيانة االنظمة والتطبيقات والخوادم التي يقوم بها املقاول كما هو مبين
بالبنود ادناه.
-مركز خدمة العمالء :تعني من يستلم الشعارات باألعطال من جانب املقاول.
-تحديث االنظمة والتطبيقات :هو التحديث الذي يجريه املقاول على االنظمة والتطبيقات
والخوادم ملعالجة بعض املشكالت.
-السنة :تعنى السنة امليالدية.
24
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
25
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
إذا لم يتم التجاوب مع البالغ أو تأخر هذا التجاوب يمكن للعميل القيام بعمل الخصومات على املستحقات املالية
للشركة بحسب الجدول التالي :
مبلغ الخصم مستوى
مدة اإلصالح زمن االستجابة األولوية
(للتأخيرللساعة الواحدة) العطل
500ريال
4ساعات ساعتين الوضع الحرج األول
من قيمة الفاتورة الشهرية
300ريال
8ساعات 4ساعات األولوية العالية الثاني
من قيمة الفاتورة الشهرية
200ريال
24ساعة 8ساعات األولوية املتوسطة الثالث
من قيمة الفاتورة الشهرية
التقارير
-سيقدم املقاول للبريد السعودي تقريرا شهريا يبين األعطال التي تم التعامل معها ومستوياتها كما يشمل تقرير
زيارة الصيانة الوقائية وأي اقتراحات يراها املقاول ضرورية للمحافظة على رفع اداء االنظمة والتطبيقات
وسيقوم البريد السعودي بإبداء مالحظاته حول التقرير خالل أسبوع من استالمه لها ،مع العلم ان املقاول
ملزم بتقديم التقارير املطلوبة في اي وقت حسب الطلب.
-سوف يقوم املقاول برفع أي تقارير أخرى باألمور العاجلة والتي ال تحتمل التأخير ،وسيقوم البريد السعودي
بإبداء مالحظاته على هذه التقارير خالل يومين من استالمها.
سرية املعلومات
-يتعهد املقاول باملحافظة على سرية كافة املعلومات التي يحصل عليها جراء تنفيذ اعماله وعدم
استخدامه في اعمال اخرى.
الضمانات
26
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
امللحقات
ملحق ( : )1متطلبات هيئة األمن السبراني:
• )Provide all service accounts details (if applicable & If required
• A multi-tier architecture has to be applied eg. (Web, App, Data).
27
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
• Using the most updated, stable and licensed tools and technologies.
• Providing least privilege with least authorization for the right persons.
o penetration testing.
• Reporting cyber vulnerabilities and incidents to the Cyber Security Department through email cyber-security@SPLonline.com.sa.
• Outsourcing and managed services of critical systems must rely on Saudi companies and organizations, in accordance with the relevant
• Return the assets of the Saudi Post SPL Corporation once the service with the workers is terminated.
• Classification of data prior to hosting on cloud or hosting services and returning data (in a usable format) upon service completion.
• Separation of organization’s environments (specifically virtual servers) from other environments hosted at the cloud service provider.
• Organization’s information hosting and storage must be inside the Kingdom of Saudi Arabia
The cybersecurity requirements in project and assets (information/technology) change management must include at least the
following:
• Conducting a configurations’ review, secure configuration and hardening and patching before changes or going live for technology
projects.
28
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
For Critical Systems:
The cybersecurity requirements related to software and application development projects must include at least the following:
• Using trusted and licensed sources for software development tools and libraries.
• Conducting compliance test for software against the defined organizational cybersecurity requirements.
• Conducting a configurations’ review, secure configuration and hardening and patching before going live for software products.
• Conducting a security source code review before the critical system release
• Secure and trusted migration of applications from testing environments to production environments, along with deletion of any data,
• vulnerabilities assessments must be conducted on critical systems’ technical components at least once every month.
• Assessing and remediating vulnerabilities (by installing security updates and patches) on technical components of critical systems at
least once every month for external and internet-connected critical systems, and at least once every three months for internal critical
systems.
• Immediately remediating for critical vulnerabilities, in line with change management processes approved by the organization.
• Secure session management, including session authenticity, session lockout and session timeout.
29
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
• Hosting of critical systems and any part of their technical components must be inside the organization or within cloud computing
services provided by government organizations or Saudi companies that are in compliance with NCA’s Cloud Cybersecurity Controls
The cybersecurity requirements related to cloud computing projects must include at least the following:
• Classification of data prior to hosting on cloud or hosting services and returning data (in a usable format) upon service completion.
• Separation of organization’s environments (specifically virtual servers) from other environments hosted at the cloud service provider.
• Organization’s information hosting and storage must be inside the Kingdom of Saudi Arabia
• Cybersecurity roles and RACI assignment for all stakeholders of the cloud services including Authorizing Official’s roles and responsibilities.
o Defining acceptable risk levels for the cloud services, and clarifying them to the CST if they are related to the CST.
o Developing cybersecurity risk register for cloud services, and monitoring it periodically according to the risks
• Continuous compliance with all laws, regulations, instructions, decisions, regulatory frameworks and controls, and mandates regarding
cybersecurity in KSA.
• Positions of cybersecurity functions in CSP’s data centers within the KSA must be filled with qualified and suitable Saudi nationals.
• Screening or vetting candidates of personnel working inside KSA who have access to Cloud Technology Stack, periodically.
• Cybersecurity policies as a prerequisite to access to Cloud Technology Stack, signed and appropriately approved.
• Assurance that assets owned by the organization (especially those with security exposure) are accounted for and returned upon
termination.
• Cybersecurity requirements for change management within the CSP shall be identified, documented and approved.
• Cybersecurity requirements for change management within the CSP shall be applied.
30
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
o Processes and procedures to securely implement changes (planned works) in production systems, with priority given to
cybersecurity observations.
o Process for the implementation of cybersecurity exceptional changes (e.g.: changes during incident restoration).
• Cybersecurity requirements for change management within the CSP shall be applied and reviewed periodically.
• Inventory of all information and technology assets using suitable techniques such as Configuration Management Database (CMDB) or
• Identifying assets owners and involving them in the asset management lifecycle.
• identity and access management of generic accounts credentials for accountability cannot be assigned for a specific individual.
• Secure session management, including session authenticity, session lockout, and session timeout termination
• Multi-factor authentication for privileged users, and candidates of personnel with access to Cloud Technology Stack.
• Formal process to detect and prevent unauthorized access (e.g. unsuccessful login attempt threshold). 2-2-P-1-5 Utilizing secure methods
and algorithms for saving and processing passwords, such as: Secure Hashing functions.
• Masking of displayed authentication inputs, especially passwords, to prevent shoulder surfing. 2-2-P-1-9 Getting CST’s approval before
• Capability to immediately interrupt a remote access session and prevent any future access for a user.
• Assurance of restricted and controlled access to storage systems and means (such as Storage Area Network (SAN))
• Ensuring that all configurations are applied in accordance to CSP’s cybersecurity standards.
• Assurance of separation and isolation of data, environments and information systems across CSTs, to prevent data commingling.
• Adopting of cybersecurity principles for technical system configurations adhering to the minimum functionality principle.
• Ability of the Cloud Technology Stacks to securely handle input validation, exceptions and failure.
• Full isolation of security functions and applications from other functions and applications in the Cloud Technology Stack.
31
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
• Notification to CSTs with cybersecurity requirements provided by the CSP that are useable by the CST.
• Detection and prevention of unauthorized changes to softwares, and systems. 2-3-P-1-8 Complete isolation and protection of multiple
guest environments. 2-3-P-1-9 The community cloud services provided to CSTs (government organizations and CNI organizations) shall be
isolated from any other cloud computing provided to organizations outside the scope of work.
• Provide cloud computing services from within the KSA, including systems used for storage, processing, and disaster recovery centers.
• Provide cloud computing services from within the KSA, including systems used for monitoring, and support.
• Modern technologies, such as Endpoint Detection and Response (EDR) technologies, to ensure that the information servers and devices of
CSP’s information processing systems and devices of are ready for rapid response to incidents
• Monitoring of traffic across the external and internal networks to detect anomalies.
• Network isolation and protection of Cloud Technology Stack network from other internal and external networks.
• Protection from denial of service attacks (including Distributed Denial of Service (DDoS)).
• Protection of data transmitted through the network; from and to the Cloud Technology Stack network using cryptography primitives; for
• Isolation between cloud service delivery network, cloud management network and CSP enterprise network
• Data sanitation and secure disposal for end-user devices, especially for those with exposure to the Cloud Technology Stack.
• Prohibiting the use of Cloud Technology Stack’s data in any environment other than production environment, except after applying strict
controls for protecting that data, such as: data masking or data scrambling techniques.
• Provision to CSTs of securely data storage processes, procedures, and technologies to comply with related legal and regulatory
requirements.
• Disposal of CST’s data should be performed in a secure manner on termination or expiry of the contract with the CSP.
32
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
• Commitment to maintain the confidentiality of the CST’s data and information, according to related legal and regulatory requirements.
• Providing CSTs with secure means to export and transfer data and virtual infrastructure
• Technical mechanisms and cryptographic primitives for strong encryption, in according to the advanced level in the National Cryptographic
Standards (NCS-1:2020).
• Certification authority and issuance capability in a secure manner, or usage of certificates from a trusted certification authority.
• Securing access, storage and transfer of CST’s data backups and its mediums, and protecting it against damage, amendment or unauthorized
access.
• Securing access, storage and transfer of Cloud Technology Stack backups and its mediums, and protecting it against damage, amendment or
unauthorized access
• Assessing and remediating vulnerabilities on external components of Cloud Technology Stack at least once every month, and at least once
• Notification to CSTs of identified vulnerabilities that may affecting them, and safeguards in place.
• Scope of penetration tests must cover Cloud Technology Stack and must be conducted at least once every six months.
• Activating and protecting event logs and audit trails of Cloud Technology Stack.
• Activating and protecting all event logs of activities and operations performed by the CSP at the tenant level in order to support forensic
analysis.
• Protecting cybersecurity event logs from alteration, disclosure, destruction and unauthorized access and unauthorized release, in
• Continuous cybersecurity events monitoring using SIEM technique covering the full Cloud Technology Stack.
• Reviewing cybersecurity event logs and audit trails periodically, covering CSP events in the Cloud Technology Stack.
• Secure handling of user-related data found in the audit trails and the cybersecurity event logs.
33
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
• Subscribing in authorized and specialized organizations and groups to stay up-to-date on cybersecurity threats, common practices and key
know-how. 2-12-P-1-2 Training for employees and third-party personnel to respond to cybersecurity incidents, in line with their roles and
responsibilities.
• Root Cause Analysis of cybersecurity incidents and developing plans to address them.
• Support the CST in cases legal proceedings and forensics, protecting the chain of custody that falls under the management and
responsibility of the CSP, in accordance with the related law and regulatory requirements.
• Real-time reporting to the CST of incidents that may affect CST; if the incident is discovered.
• Support for CSTs to handle security incidents according to the agreement between the CSP and CST.
• Measuring and monitoring cybersecurity incident metrics and monitor compliance with contracts and legislative requirements
• Disposal of cloud infrastructure hardware, in particular, storage equipment (external or internal), by adopting relevant legislation and best
practices
• Protecting information involved in application service transactions against possible risks (e.g.: incomplete transmission, mis-routing,
• Cybersecurity requirements for key management process within the CSP shall be identified, documented and approved.
• Cybersecurity requirements for key management process within the CSP shall be applied.
• A secure cryptographic key retrieval mechanism in case of cryptographic key lost (such as backup of keys and enforcement of trusted key
• Cybersecurity requirements for key management within the CSP shall be reviewed periodically.
• Cybersecurity requirements for system development within the CSP shall be identified, documented and approved.
34
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
• Cybersecurity requirements for system development within the CSP shall be applied.
• Cybersecurity requirements for system development within the CSP shall include as a minimum the following controls along the
development lifecycle:
o Considering cybersecurity requirements of the Cloud Technology Stack and relevant systems in the design and implementation
o Protecting system development environments, testing environments (including data used in testing environment), and
integration platforms.
• Cybersecurity requirements for system development within the CSP shall be applied and reviewed periodically.
• Cybersecurity requirements for usage of information and data media within the CSP shall be identified, documented and approved.
• Cybersecurity requirements for usage of information and data media within the CSP shall be applied.
• Cybersecurity requirements for usage of information and data media within the CSP shall cover, at minimum, the following:
o Human readable labelling of media, to explain its classification and the sensitivity of the information it contains.
o Restriction and control of usage of portable media inside the Cloud Technology Stack.
• Cybersecurity requirements for usage of information and data media within the CSP shall be applied and reviewed periodically
• Developing and implementing disaster recovery and business continuity procedures in a secure manner.
• Developing and implementing procedures to ensure resilience and continuity of cybersecurity systems dedicated to the protection of Cloud
Technology Stack.
• Ensure that the CSP fulfills NCA's requests to remove software or services, provided by third-party providers that may be considered a
• Requirement to provide security documentation for any equipment or services from suppliers and third-party providers.
• Third party providers compliant with law and regulatory requirements relevant to their scope.
35
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
• Risk management and security governance on third-party providers as part of general cybersecurity risk management and governance.
Data Classification:
▪ Segregation of Duties ,Duties of participants in the classification process should not overlap in terms of classifying data, approving a
classification decision, granting authorization for access or usage of data, accessing data, protecting data, or disposal of data – in a way
that does not lead to overlapping specialization or dissipation of liability.
▪ Need to Know Access to data should be provided only if there is legitimate requirement for usage of the data based on authorization and
access controls and for the least number of people possible.
• Least Privilege Access to and use of data should be limited to the minimal access required to satisfy the needs of the assigned.
• Data classification based on National Data Management office Policiesen.pdf (sdaia.gov.sa)
Disposal:
• “Top Secret”, “Secret” electronically controlled data shall be disposed using electronic media disposal methods.
• All paper-based data shall be disposed of using cross shredder.
• A detailed log of all disposed of data shall be maintained.
36
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
• use and regularly update anti-malware software on every device in your e-commerce business ecosystem (including computers, smart
phones, and tablets).
• set the anti-malware software to automatically check for updates at least daily, and set to run a complete scan on a regular basis.
• Keep all your e-commerce devices and applications (especially operating systems) up to date with security patches and vendor
upgrades.
• Stay up to date with cybersecurity threats
• Avoid using non-secure networks (e.g., public Wi-Fi) for any business transaction.
• using an encryption protocol to secure your e-commerce website.
• Protect against fraudulent clicks on your ads by running your ads on trusted websites which you know are more likely to have actual
customers
• perform backups regularly, at least on a weekly basis and check backup tools effectiveness by validating data on these backups to avoid
data loss.
• Protect the data with encryption
• Follow data minimization principles to reduce the amount and type of consumers’ data you collect and keep. If you choose to store
your customer’s payment data (e.g., credit card details) on your e-commerce platform, make sure to apply strict cybersecurity controls
(e.g., limited access, encryption) on such data to protect your business against a payment data breach.
• make sure to comply with any relevant national or international cybersecurity laws and regulations. For example, if you have customers
outside Saudi Arabia, make sure to learn about any relevant mandatory requirements that your business must comply with (e.g., GDPR
for EU customers). Make sure you report to SAMA and your customers any data breaches a²ecting your customers’ payment data.
• Review and change the default preferences in your web browser and e-commerce apps.
• consider having a dedicated device which is used only for online banking and make sure to disconnect it from the network when it is
not in use
• Enable remote wiping on your mobile devices
• Assign someone to be mainly responsible for your e-commerce social media accounts.
• Get your social media accounts verified
• Disable unnecessary services on systems
• Divide your network into sub-networks to protect sensitive information from µowing within the non-secure parts of your e-commerce
network.
• Use Intrusion Prevention Systems (IPS) in order to defend your network perimeter
• implement a firewall in your network. Make sure to review the access list periodically.
• Conduct penetration tests on your e-commerce systems regularly and anytime you have a major code change or a system upgrade.
• Develop and implement cybersecurity and privacy policies.
• Educate your employees and protect against phishing and social engineering.
37
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
38
اململكة العربية السعودية
مؤسسة لبريد السعودي
الدارة العامة لألنظمة والتطبيقات
• Connecting external storage media to industrial control systems and devices or their technical components is prohibited without prior
permission from < Cyber Security Dept.
• The settings for the components of web-based industrial control systems should be configured as follows:
• Use the HTTPS protocol for authorized devices only.
• Define and assign a specific list of applications (Whitelisting) to access the web services.
• A Web Application Firewall (WAF) should be used to protect against Web attacks on external ICSs.
• Multi-factor authentication should be used for logins of users with critical and sensitive credentials on industrial control systems and
devices.
Multi-tier architecture should be applied in developing web applications for industrial control systems
39