‫اململكة العربية السعودية‬

‫مؤسسة لبريد السعودي‬

‫الدارة العامة لألنظمة والتطبيقات‬

‫نموذج رقم (‪)1‬‬

‫كراسة الشروط الخاصة واملواصفات الفنية ملشروع تعديل األنظمة املالية للعمل على مبدأ االستحقاق‬
‫وتطويربعض أنظمة تخطيط املوارد املؤسسية (‪)ERP‬‬

‫معلومات الجهة الطالبة‬

‫اسم الجهة املشرفة على‬
‫قطاع تقنية املعلومات‬
‫املشروع ‪:‬‬
‫ابراهيم بن سليمان العوهلي‬ ‫مديراملشروع ‪:‬‬
‫كود املشروع ‪:‬‬
‫معلومات أساسية عن املنافسة‬
‫اكماال ملبادرات مؤسسة البريد السعودي التطويرية بتقديم خدمات ذاتية عصرية تستفيد‬
‫من أفضل الحلول التقنية املتبعة عامليا وملا تشهده مؤسسة البريد السعودي من تطورات‬
‫متتالية وسريعة في السنوات الخبرة ملواكبة سوق صناعة البريد والخدمات اللوجستية‬
‫الحديثة مما أدى الى زيادة في عملية التوظيف وتبني سياسات مالية وإدارية جديدة ملواجهة‬
‫هذه املتطلبات‪ ،‬ونظرا للتطورات والتغييرات في متطلبات العمل وزيادة وتنمية العنصر‬
‫البشري والتطورات الحديثة في االصدارات الجديدة من االنظمة ظهرت الحاجة إلى تحسين‬
‫نظام تخطيط املوارد املؤسسية )‪ (ERP‬في البريد السعودي وتطوير بعضا من االنظمة التقنية‬ ‫تعريف املنافسة‬
‫النمطية الدارية واملالية واللوجستية املطلوبة واملصممة وتقديم اعمال التقييم للوضع‬
‫الراهن واملستقبلي وذلك لتلبية احتياجات املؤسسة ألفضل املمارسات والتجارب واملعايير‬
‫العاملية والداخلية املشابه لعمل املؤسسة ويتضمن ذلك إيجاد الحلول والبدائل املناسبة‬
‫لنشاء أو تعديل األنظمة املالية الحالية‪ ،‬وتقديم املقترحات و البدائل فيما يخص تحسين‬
‫وتطوير دورات العمل املالية بجميع انظمة ‪ ERP‬وتطوير عمليات االقفال والتقارير املالية‬
‫لتلبية احتياجات للعمل على أساس االستحقاق وتطبيق معايير املحاسبة الدولية للقطاع‬
‫العام واملوضحة في هذه الوثيقة‪.‬‬
‫يتم تقديم الشهادات النظامية حسب نظام املنافسات واملشتريات الحكومية والئحته‬ ‫التراخيص النظامية‬
‫التنفيذية‪.‬‬

‫‪1‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬

‫اجمالي مدة املشروع هي‪ 18 :‬شهرا مقسمة على النحو التالي‪:‬‬ ‫مدة املشروع‬
‫• مدة تنفيذ أعمال املشروع‪ ً 6 :‬شهرا‬
‫• مدة تنفيذ أعمال الدعم الفني والتشغيل‪ ً 12 :‬شهرا‪.‬‬
‫من تاريخ محضر استالم األعمال‪ ،‬بعد توقيع العقد‬ ‫بداية املشروع‬
‫يتم دفع قيمة املشروع على شكل دفعات بحسب مراحل تنفيذ املشروع وذلك على النحو‬ ‫طريقة الدفع‬
‫التالي‪:‬‬
‫• الدفع للمرحلة األولى‪:‬‬
‫يكون الدفع لجميع البنود التي وردت في جدول الكميات وذلك عند االنتهاء الكامل‬
‫من تنفيذ اعمال البند‪ ،‬وبحسب مخرجات نطاق العمل وبعد استيفاء جميع‬
‫املتطلبات الالزمة واملخرجات املطلوبة‪ ،‬مع االخذ بعين االعتبار البنود الواردة في‬
‫بنود الشروط الجزائية والغرامات‬
‫• الدفع للمرحلة الثانية‪:‬‬
‫يكون على شكل دفعات (شهرية)‪ ،‬وذلك بعد استيفاء جميع املتطلبات الالزمة‬
‫واملخرجات املطلوبة‪ ،‬مع االخذ بعين االعتبار البنود الواردة في بنود الشروط‬
‫الجزائية والغرامات واتفاقية مستوى أداء ا لخدمة التي وردت بالكراسة‬
‫ال ينطبق‬ ‫تجزئة املنافسة‬
‫مدة اإلجابة عن األسئلة‬
‫خالل مدة ال تتجاوز (‪ )7‬أيام‬
‫واالستفسارات‬
‫‪ )1‬امللخص التنفيذي‪.‬‬ ‫وثائق العرض الفني‬
‫‪ )2‬املقدمة‪ :‬مقدمة موجزة عن الحلول املقدمة لجميع مراحل املشروع من قبل الشركة‬
‫املتقدمة‪.‬‬
‫‪ )3‬الشركة املتقدمة‪:‬‬
‫• وصف للهيكل التنظيمي للشركة املقدمة للعرض بما في ذلك‬
‫‪ o‬املجال الرئيس ي ألعمال املقاول‬
‫‪ o‬موقع املكتب الرئيس ي للمقاول وعدد موظفيه‬
‫‪ o‬فروع الشركة (إن وجد)‬
‫‪ )4‬خلفية الشركة واألعمال التجارية‬
‫• منهجيات وافضل ممارسات الشركة‪.‬‬

‫‪2‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬

‫• عدد ونوع الشهادات التي حصل عليها أعضاء فريق العمل املقترح الذي سوف يقوم‬
‫بتنفيذ اعمال املشروع‪.‬‬
‫• تقديم السيرة الذاتية لجميع اعضاء فريق العمل‪ ،‬القائم على تنفيذ اعمال املشروع‬
‫‪ )5‬الخبرات السابقة‪.‬‬

‫‪ )6‬منهجية العمل‪:‬‬
‫• يجب تحديد مراحل العمل وشرح كيفية تنفيذ نطاق املشروع وذلك لكل مرحلة‬
‫بالتفصيل‪.‬‬
‫• شرح االدوار املشاركة في كل مرحلة‪.‬‬
‫• تحديد مخرجات كل مرحلة‪.‬‬
‫• تحديد األساليب واألدوات التحليلية املستخدمة لنجاز العمل‪.‬‬
‫• تقديم خطة مشروع شاملة جميع مراحل التنفيذ واملخرجات‪ ،‬وذلك من خالل العرض‬
‫الفني املقدم من جانب املقاول‪.‬‬
‫• تقديم خطة مقترحة ألعمال نقل املعرفة وذلك من خالل العرض الفني‪.‬‬
‫• تقديم االعمال السابقة املشابهة لألعمال املطلوبة بنطاق عمل املشروع‬
‫معاييرتقييم العروض‬
‫سيتم تقييم العروض املقدمة وفق املعايير التالية‪:‬‬
‫الوزن‬ ‫الوزن‬
‫املعيار‬ ‫‪#‬‬
‫االجمالي‬ ‫التفصيلي‬
‫التزام املقاول بتنفيذ جميع االعمال التقنية والفنية بحسب ما ورد في نطاق العمل‬
‫‪%25‬‬ ‫‪1‬‬
‫واملواصفات الفنية وامللحقات‬
‫‪%15‬‬ ‫‪ -‬آليه اعمال التهيئة والتطوير لألنظمة املالية‬
‫‪%5‬‬ ‫‪ -‬آليه اعمال تنفيذ نظام األصول الثابتة‬
‫‪%5‬‬ ‫‪ -‬آليه اعمال تنفيذ نظام املشتريات واملخازن‬
‫منهجية املقاول والتزامه بتنفيذ اعمال الدعم الفني والتشغيل الخاصة بتطوير نظام‬
‫‪%15‬‬ ‫تخطيط املوارد املؤسسية )‪ (ERP‬وتوفير فريق عمل مؤهل ولديه الخبرة الكافية وذلك‬ ‫‪2‬‬
‫بعد االنتهاء من تنفيذ مرحلة تنفيذ االعمال مع ارفاق ما يثبت ذلك‬
‫‪%15‬‬ ‫مدى مالئمة خطة إدارة التغيير ونقل املعرفة ألهداف املشروع‬ ‫‪3‬‬
‫‪%20‬‬ ‫االلتزام بتقديم منهجية عمل واضحة بحسب املعايير العاملية في تطوير برمجيات اوراكل‬ ‫‪4‬‬

‫‪3‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬
‫مدى قوة السجل (البروفايل) ملقدم العرض مثل‪ :‬الخبرات السابقة ملشاريع التحول من‬
‫‪%25‬‬ ‫‪5‬‬
‫األساس النقدي الى االستحقاق وخبرات الفريق‬
‫‪%100‬‬ ‫اإلجمالي‬
‫سوف يتم استبعاد العرض املقدم من جانب املقاول في حال عدم تحقيقه نسبة (‪ )%70‬فما فوق من إجمالي املعايير الفئة‬
‫املطلوبة أعاله‪.‬‬

‫نطاق عمل املشروع‬

‫يتضمن نطاق العمل املطلوب ضمن هذا الجزء من الكراسة تفاصيل األنشطة واملخرجات الرئيسية التي يتوجب على مقدم العطاء تنفيذها لدعم‬
‫وتمكين نظام تخطيط املوارد املؤسسية (‪ )ERP‬لدى املؤسسة لتلبية متطلبات التحول لالستحقاق‪ .‬مع الشارة الى أنه ُيمكن ملقدم العرض إضافة أية‬
‫أعمال يراها الزمة ضمن العرض الفني املقدم للمؤسسة مع تقديم الوصف الشامل لها مع تفاصيل تنفيذها‪ .‬مع الشارة الى انه سيتم مشاركة مقدم‬
‫العرض بوثائق متطلبات االعمال (‪ )Business Requirement Documents‬حال االنتهاء من العمل عليها من قبل فريق املؤسسة‪.‬‬

‫‪ -‬املرحلة األولى االعداد والتهيئة والتطوير‪:‬‬

‫عمل فريق املؤسسة وبالتعاون مع فريق استشاري متخصص على انهاء مرحلتين رئيسيتين وهي تقييم الوضع الحالي لنظام تخطيط موارد املؤسسة‬
‫)‪(ERP‬لدى املؤسسة وتحديد املتطلبات الوظيفية والتقنية (‪ )BRDs‬للتحول الي أساس االستحقاق‪.‬‬

‫حيث تمت دراسة وتقييم نظام تخطيط موارد املؤسسة )‪ (ERP‬لدى املؤسسة من حيث مدى قدرته على دعم التغييرات املرتبطة بعملية التحول‬
‫املحاسبي التي تنفذها املؤسسة ً‬
‫بناء على نتائج مشروع التحول من األساس النقدي إلى أساس االستحقاق املحاسبي‪ .‬وقد شملت هذه الدراسة دليل‬
‫الحسابات )‪ (COA‬وهيكلية نظام تخطيط موارد املؤسسة )‪ (ERP‬واملالحظات الرئيسية العامة حيثما ينطبق ذلك‪ .‬وقدمت هذه املرحلة البدائل‬
‫للخطوات التالية من خالل تحديد مجاالت التحسين ومكنت املؤسسة على اتخاذ القرار املتعلق بالتوجه الى أحد الخيارات املتاحة ومنها تنفيذ‬
‫التخصيصات الرئيسية او إعادة التنفيذ الجزئي او إعادة التنفيذ بالكامل لتكون قادرة على دعم التحول نحو املحاسبة على أساس االستحقاق‪.‬‬

‫‪4‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬

‫ويمثل الجدول ادناه املحاور الرئيسية واملتوقعة لنطاق العمل ومخرجاته الرئيسية بحيث يلتزم بها مقدم العرض بحد أدنى أثناء تقديم الحل املقترح‬
‫لدعم وتمكين نظام تخطيط املوارد املؤسسية لدى املؤسسة (‪ )ERP‬لتلبية متطلبات التحول ألساس االستحقاق‪ .‬حيث سوف تقدم األجزاء التالية من‬
‫نطاق العمل املزيد من التفاصيل حولها‪.‬‬

‫رقم الجزء‬
‫املحاورالرئيسية واملتوقعة لنطاق العمل ومخرجاته الرئيسية‬ ‫م‪.‬‬
‫من الكراسة‬
‫املرحلة األولى االعداد والتهيئة والتطوير‬
‫تمكين نظام تخطيط موارد املؤسسة (‪ )Oracle E-Business Suite‬الحالي لدى مؤسسة البريد السعودي من التحول الى‬
‫‪1‬‬ ‫‪1‬‬
‫أساس االستحقاق من خالل اجراء التعديالت الالزمة على النظام وجميع األنظمة املرتبطة به‪.‬‬
‫تطبيق نظام األصول الثابتة وفق مشروع التحول الى أساس االستحقاق من خالل تعريف سجل األصول الثابتة على نظام‬
‫‪2‬‬ ‫‪2‬‬
‫األصول الثابتة وبناء عمليات النظام املرتبطة به‪.‬‬
‫‪3‬‬ ‫دراسة التكامالت الحالية واجراء التعديالت الالزمة بما يتوافق مع معطيات التحول الى أساس االستحقاق‬ ‫‪3‬‬
‫‪4‬‬ ‫دراسة (‪ )SLA Customization‬املطبقة حاليا على النظام وتعديلها بما يتناسب مع متطلبات التحول الى االستحقاق‪.‬‬ ‫‪4‬‬
‫إعداد وتنفيذ خطة شاملة للقيام بالتعديالت الالزمة على جميع البيانات عند التحول الى أساس االستحقاق (البيانات‬
‫‪5‬‬ ‫‪5‬‬
‫الرئيسية‪ ،‬األرصدة االفتتاحية)‬
‫دراسة التقارير الصادرة عن النظام واقتراح وتنفيذ أي إضافات او تعديالت عليها لتتوائم مع التحول الى أساس االستحقاق‬
‫‪6‬‬ ‫‪6‬‬
‫ومتطلبات وزارة املالية ومؤسسة البريد السعودي‪.‬‬
‫إعداد خطة شاملة وفعالة لالنتقال الى البيئة التشغيلية (‪ )Transition Plan‬لضمان االنتقال الناجح الى أساس االستحقاق‬
‫‪7‬‬ ‫‪7‬‬
‫وبالشكل الذي ال يؤثر على عمل املؤسسة اليومي‬
‫إعداد خطة شاملة وفعالة لإلجراءات االحتياطية في حال عدم نجاح التطبيق (‪ )Fail-over Plan‬أو مواجهة أي تحديات‬
‫‪8‬‬ ‫‪8‬‬
‫تعيق االنتقال الى أساس االستحقاق على النظام واختبار النسخة املعتمدة منها مع فريق تقنية املعلومات لدى املؤسسة‬
‫إعداد وتنفيذ خطة شاملة وفعالة الختبار النظام باستخدام نسخة تجريبية من النظام (‪ )Testing Clone‬عبر املراحل‬
‫‪9‬‬ ‫املختلفة لتطبيق النظام )… ‪ (Development, UAT‬بحيث تكون مطابقة للنسخة التشغيلية (‪ )Production Instance‬وذلك‬ ‫‪9‬‬
‫للتأكد من تلبية النظام ملتطلبات التحول الى االستحقاق بالشكل األمثل قبل االطالق الفعلي للنظام‬
‫إعداد وتنفيذ خطة شاملة وفعالة للتدريب ونقل املعرفة وتتضمن املحاور الرئيسية التالية‪:‬‬

‫وضع خطة تدريب للتأكد من أن جميع مستخدمي النظام واملسؤولين عن تشغيله ودعمه ( ‪End Users & System‬‬ ‫•‬
‫‪10‬‬ ‫‪ )Administrators‬على استعداد تام للعمل على النسخة املحدثة من النظام وتشمل هذه الخطة التدريب على‬ ‫‪10‬‬
‫خصائص وعمليات النظام (‪)New Functionalities & System Processes‬‬

‫نقل املعرفة ومشاركة الخبرات‬ ‫•‬

‫تقديم جميع الوثائق ومخرجات املشروع بناء على منهجية أوراكل (ومنها الكتيبات الفنية وأدلة املستخدم‬
‫‪11‬‬
‫ووثيقة تصميم النظام‪)...‬‬
‫املرحلة الثانية‪ :‬الصيانة والدعم الفني‬

‫‪5‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬
‫تقديم الصيانة والدعم ملدة تبلغ (‪ )12‬أشهر وتتضمن‪:‬‬

‫دعم إجراءات العمل الجديدة‪/‬املحدثة‬ ‫•‬

‫دعم جميع الوحدات في النظام ضمن نطاق العمل‬ ‫•‬

‫‪11‬‬ ‫‪1‬‬
‫تطبيق إصدارات والتحسينات لنظام تخطيط موارد املؤسسة‬ ‫•‬

‫توثيق جميع تغييرات التطبيق وتحديثها‬ ‫•‬

‫تقديم الدعم لإلقفال الشهري واقفال أول سنة مالية خالل فترة الدعم ‪ 12‬شهر‬ ‫•‬

‫النقطة األولى ‪ :‬تمكين نظام تخطيط موارد املؤسسة (‪ )Oracle E-Business Suite R12‬الحالي لدى مؤسسة‬
‫البريد السعودي من التحول الى أساس االستحقاق‬

‫تسعى مؤسسة البريد السعودي من تمكين نظام تخطيط موارد املؤسسة (‪ )Oracle E-Business Suite R12‬الحالي من التحول الى أساس‬
‫االستحقاق من خالل اجراء التعديالت الالزمة على النظام مع االخذ بعين االعتبار ضرورة الحفاظ على االعدادات والبيانات الحالية املتعلقة بدفتر‬
‫الحسابات النقدي‪.‬‬
‫حيث تتمثل اعدادات النظام الحالي في كيان قانوني واحد ودفاتر األستاذ العام (الرئيس ي‪ -‬استحقاق والثانوي ‪ -‬نقدي) ووحدة تشغيل واحدة‪ .‬حيث أن‬
‫املؤسسة سوف تستمر بالعمل على األساس النقدي الى جانب أساس االستحقاق لفترة من الزمن مع ضرورة ايجاد حلول تقنية من شأنها أتمتة ادخال‬
‫الحركات ما بين دفاتر االستاذ العام التأكيد على ضرورة عدم املساس بالبيانات التاريخية لألساس النقدي‪ .‬وملزيد من التفاصيل حول نظام تخطيط‬
‫موارد املؤسسة الحالي الرجاء الرجوع الى امللحق رقم (‪ – )1‬تقرير دراسة الوضع الحالي لنظام تخطيط موارد املؤسسة (‪.)ERP‬‬

‫وبناء على ما سبق والتوجه التي اتخذته املؤسسة بخصوص تمكين ودعم النظام املالي لديها للتحول الى االستحقاق‪ ،‬فانه من الالزم استخدام واتباع‬
‫منهجية أوراكل (‪ )OUM or AIM‬لتنفيذ هذا التوجه من قبل مقدم العرض‪ .‬وذلك مع القيام بتسليم جميع الوثائق املطلوبة في كل مرحلة من مراحل‬
‫املشروع وتنفيذ األعمال التالية كحد أدنى‪.‬‬

‫مع الشارة أنه يمكن ملقدم العرض اقتراح أي اعمال وأنشطة إضافية يراها مناسبة لدعم تنفيذ عمل املشروع باالتفاق مع فريق مؤسسة البريد‬
‫السعودي‪:‬‬
‫الشروط األساسية الواجب اتباعها من قبل مقدم العرض إلتمام عملية تمكين النظام (‪ )ERP‬لدعم التحول‬
‫الى أساس االستحقاق‪:‬‬
‫اجراء التعديالت الالزمة على النظام مع االخذ بعين االعتبار ضرورة الحفاظ على االعدادات والبيانات الحالية املتعلقة بدفتر الحسابات‬ ‫‪-‬‬
‫النقدي‬

‫‪6‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬
‫ً‬
‫عكس دليل الحسابات الجديد املتعلق باالستحقاق على النظام استنادا على الحلول املتبعة للتحول الى االستحقاق‬ ‫‪-‬‬
‫تحميل قيم دليل الحسابات الجديدة (أساس االستحقاق) مع األخذ بعين االعتبار إمكانية استخدام مقاطع جديدة‬ ‫‪-‬‬
‫مراجعة جميع اعدادات النظام وذلك لتعديل الحسابات بما يتناسب مع دليل الحسابات الجديد‪.‬‬ ‫‪-‬‬
‫تعديل جميع البيانات الرئيسية لتتناسب مع قيم دليل الحسابات الجديد‬ ‫‪-‬‬
‫تحميل جميع األرصدة االفتتاحية وفق أساس االستحقاق لتتناسب مع قيم دليل الحسابات الجديد‬ ‫‪-‬‬
‫تعديل بعض البيانات الرئيسية املتأثرة بالتحول لالستحقاق بما يتوافق مع معطيات التحول على سبيل املثال ال الحصر املوردين‬ ‫‪-‬‬
‫والحسابات املتعلقة بهم‬
‫تحميل جميع األرصدة االفتتاحية وفق أساس االستحقاق لتتناسب مع قيم دليل الحسابات الجديد‬ ‫‪-‬‬
‫املحافظة على جميع البيانات التاريخية لجميع الحركات املبنية على األساس النقدي‬ ‫‪-‬‬
‫تحميل األرصدة االفتتاحية املبنية على أساس االستحقاق كما هو موضح في الجزء رقم ‪– 5‬معالجة البيانات‪.‬‬ ‫‪-‬‬
‫االلتزام بتنفيذ وتطوير وتحسين جميع التطبيقات ودورات العمل املطلوبة إدارية ومالية وخدمية وفق متطلبات مؤسسة البريد‪.‬‬ ‫‪-‬‬
‫اتمتة جميع االعمال الخاصة باألنظمة املدرجة داخل هذه الوثيقة‪.‬‬ ‫‪-‬‬
‫االلتزام بالربط مع أنظمة مؤسسة البريد السعودي الحالية واملقترحة ذات العالقة وأن يكون الربط ربط مزدوج التأثير" التأثير على‬ ‫‪-‬‬
‫األنظمة الحالية وكذلك تأثير األنظمة الحالية على النظام"‪.‬‬
‫تطبيق سلسلة املوافقات والصالحيات داخل مؤسسة البريد السعودي على األنظمة او تقديم إجراءات مقترحة من قبل املقاول‪.‬‬ ‫‪-‬‬
‫تقديم جميع الوثائق الخاصة باألنظمة والتحليل وطرق التنفيذ والتطوير والصيانة‪.‬‬ ‫‪-‬‬
‫يجب على املقاول االلتزام بتقديم جميع املخرجات والتقارير والخطط الخاصة باملشروع‪ ،‬على سبيل املثال) تحليل الفجوة – جمع‬ ‫‪-‬‬
‫املتطلبات – التصاميم – الخطط – املخاطر – سير االعمال وغيرها(‬

‫قائمة األنظمة الرئيسية املتوقع العمل على تحسينها أو تعديلها أثناء تنفيذ املشروع‪:‬‬

‫ويمثل الجدول التالي قائمة األنظمة الرئيسية املتوقع العمل على تحسينها أو تعديلها أثناء تنفيذ املشروع من قبل مقدم العرض حيث أنه من املطلوب‬
‫وضع خطة واضحة بهذا الخصوص ومناقشتها واعتمادها من قبل فربق املؤسسة‪.‬‬
‫‪ERP System Functions‬‬ ‫‪Business Area‬‬
‫‪General Ledger‬‬
‫‪Account Receivable‬‬
‫‪Account Payable‬‬
‫‪Fixed Assets‬‬ ‫‪Financial Management‬‬
‫‪Cash Management‬‬
‫‪Budgeting‬‬

‫‪7‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬
‫‪Tax management‬‬
‫‪Property Management‬‬
‫‪Payroll costing‬‬
‫‪Self service‬‬ ‫‪Human Capital Management‬‬
‫‪Core HR‬‬
‫‪Inventory Management‬‬ ‫‪Inventory‬‬
‫‪Procurement‬‬ ‫‪Procurement‬‬

‫النقطة الثانية ‪:‬تطبيق نظام األصول الثابتة ونظام العهد وفق مشروع التحول الى أساس‬
‫االستحقاق‬

‫حيث يشمل نطاق العمل فيما يتعلق بتطبيق نظام األصول الثابتة وفق مشروع التحول الى أساس االستحقاق األنشطة واملخرجات التالية‬
‫كحد أدنى‪:‬‬
‫‪ -‬يجب على مقدم العرض تفعيل نظام االصول الثابتة بما يتوافق مع أساس االستحقاق مع االخذ بعين االعتبار متطلبات‬
‫التكامل مع النظام االلكتروني لترميز وجرد االصول والتي ستوفره املؤسسة ملقدم العرض حال توفره‬
‫‪ -‬يجب على مقدم العرض بناء عمليات النظام الخاصة بنظام األصول الثابتة وفقا ملخرجات مشروع التحول الى االستحقاق‬
‫وتشمل تلك املخرجات بحد أدنى على ما يلي‪:‬‬
‫‪ -‬إضافة أصل ثابت ‪ /‬تحت االنشاء ‪ /‬غير ملموس‬
‫‪ -‬استبعاد أصل ثابت ‪ /‬تحت االنشاء‪ /‬غير ملموس‬
‫‪ -‬بيع أصل ثابت ‪ /‬تحت االنشاء‪ /‬غير ملموس‬
‫‪ -‬نقل أصل ثابت ‪ /‬تحت االنشاء‪ /‬غير ملموس‬
‫‪ -‬إعادة تقييم أصل ثابت ‪ /‬تحت االنشاء‪ /‬غير ملموس‬
‫‪ -‬جرد األصول الثابتة ومطابقتها مع النظام بشكل تلقائي‬
‫‪ -‬ربط األصل بموظف‪/‬ين والتكامل مع نظام املوارد البشرية (عهدة)‬
‫‪ -‬حساب االهالك لألصول الثابتة والطفاء لألصول غير امللوسة إمكانية توزيع قيمة إهالك األصل على عدة مراكز تكلفة مختلفة‬
‫‪ 2.3‬الربط مع نظام تتبع األصول‬
‫‪ 2.4‬األصول االلكترونية (العهد)‬

‫‪8‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬

‫النقطة الثالثة ‪ :‬دراسة التكامالت الحالية وتنفيذ ما يلزم من اإلضافة والتعديل عليها‬
‫ً‬
‫يجب على مقدم العرض دراسة التكامالت الحالية وتنفيذ ما يلزم من الضافة والتعديل عليها وفقا ملخرجات التعديل والتحديث على‬
‫االعدادات والبيانات وفقا لتعديالت النظام التي تمت لتنفيذ التحول الى أساس االستحقاق‪.‬‬
‫ويشمل نطاق العمل كحد أدنى األنشطة واملخرجات التالية‪:‬‬
‫‪ -‬يجب على مقدم العرض دراسة جميع التكامالت الحالية مع االنظمة ذات العالقة )‪ ،(Third Party Systems‬حيث يجب ان تتماش ى مع‬
‫خصائص وعمليات وتقارير أساس االستحقاق املحاسبي بالضافة الى األساس النقدي‪.‬‬
‫‪ -‬الحفاظ على عمليات الربط القائمة مع األنظمة الداخلية وتعديلها وفق تعديل إجراءات ودورات العمل الجديدة‪.‬‬
‫‪ -‬الحفاظ على عمليات الربط القائمة مع املنصات الخارجية (وزارة املوارد البشرية (التزام) – وزارة املالية (صرف) – رئاسة أمن الدولة‬
‫(استشراف) وتعديلها وفق تعديل إجراءات ودورات العمل الجديدة‪.‬‬
‫ً‬
‫‪ -‬التكامل مع أنظمة مؤسسة البريد السعودي املختلفة ان دعت الحاجة وفقا آلليات العمل التي سيتم تطويرها واستحداثها‪.‬‬
‫‪ -‬التزام املقاول بتنفيذ أي متطلب جديد يطرأ في جميع مراحل املشروع فيما يخص التكامل مع األنظمة األخرى‪.‬‬

‫النقطة الرابعة ‪ :‬دراسة (‪ )SLA Customization‬املطبقة حاليا على النظام وتعديلها بما يتناسب‬
‫مع متطلبات التحول الى االستحقاق‬
‫يجب على مقدم العرض دراسة (‪ )SLA Customization‬املطبقة حاليا على النظام وتعديلها بما يتناسب مع متطلبات التحول الى االستحقاق‪.‬‬ ‫‪-‬‬
‫يجب على مقدم العرض تطبيق سالسل االعتمادات املوجودة على النظام الحالي والتعديل عليها وفقا لتعديالت النظام التي تمت لتنفيذ التحول‬ ‫‪-‬‬
‫الى أساس االستحقاق‪.‬‬

‫النقطة الخامسة ‪ :‬معالجة البيانات‬

‫يجب على مقدم العرض إعداد وتنفيذ خطة شاملة للقيام بالتعديالت الالزمة على جميع البيانات عند التحول الى أساس االستحقاق (البيانات الرئيسية‪،‬‬
‫األرصدة االفتتاحية)‪ ،‬بحيث تشمل األنشطة املذكورة أدناه بحد أدنى‪:‬‬
‫‪ -‬القيام بالتعديالت الالزمة على البيانات الرئيسية‪:‬‬
‫‪ -‬القيام بمراجعة جميع البيانات الرئيسية لتنفيذ التعديالت الالزمة‬
‫تعديل جميع الحسابات الخاصة بالبيانات الرئيسية بناء على دليل الحسابات اجلديد‬ ‫‪-‬‬
‫رفع بيانات دليل الحسابات الجديد املتعلق بالتحول الى االستحقاق‬ ‫‪-‬‬
‫تحميل األرصدة االفتتاحية‪:‬‬ ‫‪-‬‬
‫‪ .i‬ترحيل جميع الحركات من دفاتر األستاذ املساعدة الى دفتر األستاذ العام الرئيس ي‬
‫‪ .ii‬حصر كافة الحركات املعلقة غير املنتهية من الدفتر النقدي ومن ثم عكسها على النظام بما يتوافق مع متطلبات االستحقاق‬
‫ودليل الحسابات الجديد‬
‫‪ .iii‬تحميل األرصدة االفتتاحية الجديدة في دفتر األستاذ االستحقاق بناء على قيم دليل الحسابات الجديد‬
‫معالجة فواتير العمالء في نظام املقبوضات‪:‬‬ ‫‪-‬‬
‫‪ .i‬رفع حركات نظام املقبوضات املعلقة غير املنتهية بما يتوافق مع متطلبات االستحقاق ودليل الحسابات الجديد‬
‫معالجة فواتير املوردين في نظام املدفوعات‪:‬‬ ‫‪-‬‬

‫‪9‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬
‫‪ .i‬رفع حركات اوامر التعميد غير املنتهية واالستالمات غير املفوترة بما يتوافق مع متطلبات االستحقاق ودليل الحسابات الجديد‬

‫يشترط عدم ادخال أي حركة جديدة أثناء عملية االنتقال الى النظام الجديد (نظام أساس االستحقاق)‬ ‫‪-‬‬

‫النقطة السادسة ‪ :‬دراسة التقاريرالصادرة عن النظام و اقتراح وتنفيذ أي إضافات او تعديالت‬

‫عليها لتوائم مع التحول الى أساس االستحقاق ومتطلبات مؤسسة البريد السعودي‬
‫يجب على مقدم العرض القيام باألنشطة التالية فيما يتعلق بتعديل واعداد تقارير املؤسسة ذات الصلة‪:‬‬
‫‪ -‬دراسة وتعديل (ما لزم( من التقارير املبنية على األساس النقدي املتأثرة بالتعديالت املنفذة على النظام‪.‬‬
‫‪ -‬اعداد (‪ )30‬تقارير مبنية على أساس االستحقاق تتوائم مع متطلبات العمل لدى مؤسسة البريد السعودي‬

‫النقطة السابعة ‪ :‬إعداد وتنفيذ خطة شاملة وفعالة لالنتقال الى البيئة التشغيلية ( ‪Transition‬‬
‫‪ )Plan‬لضمان االنتقال الناجح الى أساس االستحقاق وبالشكل الذي ال يؤثرعلى عمل املؤسسة‬
‫اليومي‬
‫بناء على أهمية مخرجات مشروع التحول إلى أساس االستحقاق في املؤسسة وضرورة االلتزام بدقة وجودة التقارير املالية مع األخذ بعين‬
‫االعتبار درجة التعقيد املرتبطة بتنفيذ خيار املؤسسة في التحول لالستحقاق كون البيئة الحالية سيتم تحويلها من النقد إلى االستحقاق مع‬
‫االستمرار في العمل اليومي قدر االمكان‪ .‬يجب على مقدم العرض إعداد وتنفيذ خطة انتقال مناسبة وشاملة للحصول على انتقال ناجح ال‬
‫يؤثر على العمل اليومي‪ .‬حيث يجب مناقشة هذه الخطة واالتفاق على تفاصيلها مع فريق املؤسسة‪.‬‬

‫النقطة الثامنة ‪:‬إعداد وتنفيذ خطة شاملة وفعالة لإلجراءات االحتياطية في حال عدم نجاح‬
‫التطبيق (‪)Fail-over Plan‬‬

‫مع الشارة الى أنه من املتطلبات اعداد وتنفيذ خطة انتقال مناسبة عند بدء العمل على أساس االستحقاق كما ورد في الجزء السابق من‬
‫الكراسة‪ ،‬فانه يجب على مقدم العرض أيضا اعداد خطة شاملة وفعالة لإلجراءات االحتياطية في حال عدم نجاح التطبيق ( ‪Fail-over‬‬
‫‪ )Plan‬أو مواجهة أي تحديات تعيق االنتقال الى أساس االستحقاق على النظام حيث تتضمن االحتياطات التقنية الالزمة في حال حدوث‬
‫طارئ أثناء عملية التحول نظرا لحساسية تعديل البيانات لوجودها على بيئة النتاج الفعلية‪ ،‬وأنه لن يكون هناك امكانية للعودة إلى‬
‫العدادات القديمة (اعدادات األساس النقدي) كون إعدادات االستحقاق الجديدة ستستبدل إعدادات النقد القديمة على البيئة نفسها‪.‬‬

‫مع التأكيد على ضرورة اختبار عمليات وإجراءات الخطة االحتياطية املقدمة بالتنسيق مع فريق تقنية املعلومات لدى املؤسسة‪.‬‬

‫‪10‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬

‫النقطة التاسعة‪ :‬إعداد وتنفيذ خطة شاملة وفعالة الختبارالنظام‬

‫يجب على مقدم العرض إعداد وتنفيذ خطة شاملة وفعالة الختبار النظام باستخدام نسخة تجريبية من النظام (‪ )Testing Clone‬عبر‬
‫املراحل املختلفة لتطبيق النظام )… ‪ (Development, UAT‬بحيث تكون مطابقة للنسخة التشغيلية (‪ )Production Instance‬وذلك للتأكد‬
‫من تلبية النظام ملتطلبات التحول الى االستحقاق بالشكل األمثل قبل االطالق الفعلي للنظام‪.‬‬
‫بحيث يشمل نطاق العمل بحد أدنى األنشطة التالية‪:‬‬

‫يجب على مقدم العرض التحضير لتنفيذ االختبارات واألنشطة التالية بالتنسيق مع املؤسسة وتزويد ما يلي‪:‬‬ ‫‪-‬‬
‫‪ .i‬خطة االختبار )‪(Test Plan‬‬
‫‪ .ii‬حاالت االختبار مبنية على حاالت االستخدام )‪(Test Case‬‬
‫‪ .iii‬بيانات تجريبية لعملية االختبار )‪(Test Data‬‬
‫‪ .iv‬نتائج عمليات االختبار )‪(Test Results‬‬
‫‪ .v‬سيناريوهات عمليات االختبار )‪(Test Script‬‬
‫‪ .vi‬سجالت عمليات االختبار )‪(Test Log‬‬
‫‪ .vii‬إعدادات بيئة االختبار )‪(Test Environment Configuration‬‬
‫‪ .viii‬إعدادات بيئة اختبار قبول النظام )‪(UAT Environment Configuration‬‬
‫‪ .ix‬اختبار التكامل مع االنظمة ذات العالقة )‪(System Integration Testing‬‬
‫يجب على مقدم العرض التحضير لتنفيذ االختبارات واألنشطة التالية على بيئة التشغيلية )‪: (Production‬‬ ‫‪-‬‬
‫‪ .i‬إجراء اختبار الضغط واألداء )‪ (Stress and Performance Test‬على النظام‬
‫‪ .ii‬يلتزم مقدم العرض بتقديم وثائق االختبار بما يتوافق مع املنهجية املعتمدة‬

‫النقطة العاشرة ‪ :‬التدريب إعداد وتنفيذ خطة شاملة وفعالة للتدريب ونقل املعرفة‬
‫يجب على مقدم العرض إعداد وتنفيذ خطة شاملة وفعالة للتدريب ونقل املعرفة وتتضمن املحاور الرئيسية التالية‪:‬‬
‫‪ -‬وضع خطة تدريب للتأكد من أن جميع مستخدمي النظام واملسؤولين عن تشغيله ودعمه (‪)End Users & System Administrators‬‬
‫على استعداد تام للعمل على النسخة املحدثة من النظام وتشمل خصائص وعمليات النظام ( ‪New Functionalities & System‬‬
‫‪)Processes‬‬
‫‪ -‬يجب توضيح برنامج التدريب ضمن العرض مفصال ببرنامج زمني محدد‬
‫‪ -‬التدريب على رأس العمل حسب ما توفر له إدارة املشروع من موظفين‬
‫‪ -‬يجب أن يشتمل التدريب على تأهيل املستخدمين من إدارة األصول للعمل على األنظمة التي تم تطبيقها‪.‬‬
‫‪ -‬يجب أن يشتمل التدريب على تأهيل املختصين بإدارة تقنية املعلومات باملؤسسة على تهيئة األنظمة وأن يتضمن التدريب جميع وظائف‬
‫هذه األنظمة بدون أي استثناءات‬
‫‪ -‬يجب توفير دليل التدريب واالستخدام لألنظمة واألجهزة بالضافة إلى املادة التدريبية‬

‫‪11‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬

‫النقطة الحادية عشر‪ :‬وثائق ومخرجات املشروع‬

‫يجب على مقدم العرض تقديم جميع الوثائق ومخرجات املشروع بناء على منهجية أوراكل بشكل دقيق وكامل باللغتين العربية او االنجليزية مثل‬
‫الكتيبات الفنية وأدلة املستخدمون وثيقة تصميم النظام ووثيقة اختبار النظام‪.‬‬
‫ويمثل الجدول التالي الحد األدنى من املخرجات املتوقعة‪:‬‬
‫الوثائق املطلوبة لكل مرحلة (كحد أدنى)‬ ‫املحاورالرئيسية واملتوقعة لنطاق العمل ومخرجاته الرئيسية‬ ‫م‪.‬‬
‫‪• Solution Design Document‬‬ ‫تمكين نظام تخطيط موارد املؤسسة (‪ )Oracle E-Business Suite R12‬الحالي لدى‬
‫‪• Setup and Configuration Document‬‬ ‫مؤسسة البريد السعودي من التحول الى أساس االستحقاق من خالل تحديث النظام‬ ‫‪1‬‬
‫املالي وجميع األنظمة املرتبطة به‬
‫تطبيق نظام األصول الثابتة وفق مشروع التحول الى أساس االستحقاق من خالل تعريف‬
‫‪2‬‬
‫سجل لألصول الثابتة على نظام األصول الثابتة وبناء عمليات النظام املرتبطة به‪.‬‬
‫ً‬
‫‪• Integration Document‬‬ ‫دراسة التكامالت الحالية وتنفيذ ما يلزم من الضافة والتعديل عليها وفقا ملخرجات‬
‫التعديل والتحديث على االعدادات والبيانات التي تمت لتنفيذ التحول الى أساس‬ ‫‪3‬‬
‫االستحقاق‬
‫‪• Setup and Configuration Document‬‬ ‫دراسة (‪ )SLA Customization‬املطبقة حاليا على النظام وتعديلها بما يتناسب مع‬
‫‪4‬‬
‫متطلبات التحول الى االستحقاق وذلك على الدفترين النقدي واالستحقاق‬
‫‪• Master Data Sheets‬‬ ‫إعداد وتنفيذ خطة شاملة للقيام بالتعديالت الالزمة على جميع البيانات عند التحول الى‬
‫‪5‬‬
‫‪• Transactional Data Sheets‬‬ ‫أساس االستحقاق (البيانات الرئيسية‪ ،‬األرصدة االفتتاحية)‬
‫•‬ ‫‪Reports Structure Design Document‬‬ ‫دراسة التقارير الصادرة عن النظام واقتراح وتنفيذ أي إضافات او تعديالت عليها لتتوائم‬
‫‪6‬‬
‫مع التحول الى أساس االستحقاق ومتطلبات وزارة املالية ومؤسسة البريد السعودي‬
‫•‬ ‫‪Transition Plan Document‬‬ ‫إعداد خطة شاملة وفعالة لالنتقال الى البيئة التشغيلية (‪ )Transition Plan‬لضمان‬
‫‪7‬‬
‫االنتقال الناجح الى أساس االستحقاق وبالشكل الذي ال يؤثر على عمل املؤسسة اليومي‬
‫•‬ ‫‪Disaster Recovery Plan Document‬‬ ‫إعداد خطة شاملة وفعالة لإلجراءات االحتياطية في حال عدم نجاح التطبيق ( ‪Fail-over‬‬
‫‪ )Plan‬أو مواجهة أي تحديات تعيق االنتقال الى أساس االستحقاق على النظام واختبار‬ ‫‪8‬‬
‫النسخة املعتمدة منها مع فريق تقنية املعلومات لدى املؤسسة‬
‫•‬ ‫‪Test Scenarios‬‬ ‫إعداد وتنفيذ خطة شاملة وفعالة الختبار النظام باستخدام نسخة تجريبية من النظام‬
‫•‬ ‫‪Test Scripts‬‬ ‫(‪ )Testing Clone‬عبر املراحل املختلفة لتطبيق النظام )… ‪ (Development, UAT‬بحيث‬
‫‪9‬‬
‫تكون مطابقة للنسخة التشغيلية (‪ )Production Instance‬وذلك للتأكد من تلبية النظام‬
‫ملتطلبات التحول الى االستحقاق بالشكل األمثل قبل االطالق الفعلي للنظام‬
‫•‬ ‫‪Training Plan Document‬‬ ‫إعداد وتنفيذ خطة شاملة وفعالة للتدريب ونقل املعرفة وتتضمن املحاور الرئيسية‬
‫•‬ ‫‪User Guide‬‬ ‫التالية‪:‬‬
‫•‬ ‫)‪Oracle User Productivity Kit (UPK‬‬ ‫وضع خطة تدريب للتأكد من أن جميع مستخدمي النظام واملسؤولين عن تشغيله‬ ‫•‬ ‫‪10‬‬
‫ودعمه (‪ )End Users & System Administrators‬على استعداد تام للعمل على‬
‫النسخة املحدثة من النظام وتشمل هذه الخطة التدريب على خصائص وعمليات‬

‫‪12‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬
‫النظام (‪)New Functionalities & System Processes‬‬
‫• نقل املعرفة ومشاركة الخبرات‬
‫•‬ ‫‪Maintenance and Support Document‬‬ ‫تقديم الصيانة والدعم ملدة تبلغ ‪ 12‬أشهر وتتضمن‪:‬‬
‫)‪(SLA‬‬ ‫دعم إجراءات العمل الجديدة‪/‬املحدثة‬ ‫•‬
‫دعم جميع الوحدات في النظام ضمن نطاق العمل‬ ‫•‬
‫‪11‬‬
‫تطبيق إصدارات والتحسينات لنظام تخطيط موارد املؤسسة‬ ‫•‬
‫توثيق جميع تغييرات التطبيق وتحديثها‬ ‫•‬
‫• تقديم الدعم لإلقفال الشهري واقفال أول سنة مالية‬

‫املرحلة الثانية ‪ :‬الصيانة والدعم الفني‬

‫يجب على مقدم العرض توفير ‪ 12‬أشهر من الصيانة والدعم مع وجود فريق متخصص طيلة هذه املدة في املؤسسة‪.‬‬
‫يجب أن يغطي الدعم جميع الخدمات والصيانة ملكونات النظام كما يجب على مقدم العرض االلتزام بالحد األدنى من املتطلبات‬
‫التالية‪:‬‬
‫‪ -‬توفير الصيانة والدعم في املؤسسة ملدة تبلغ ‪ 12‬أشهر‪ ،‬بعد انتهاء مرحلة االولى‬
‫‪ -‬يجب أن يكون فريق الصيانة والدعم بعد االطالق مخصص للتطورات والعمليات ودعم الصيانة أن يتكون بالحد‬
‫األدنى من الخبراء املتخصصين واملستشارين الوظيفيين‪ ،‬واالستشاريين ‪ /‬املطورين التقنيين‪ ،‬ومديري قواعد البيانات‬
‫وإدارة النظام (حسب جدول الخبرات املطلوبة في الشروط الخاصة)‬
‫‪ -‬توفير فريق العمل في البريد السعودي للقيام بأعمال الدعم الفني وذلك بحسب ماورد (جدول مواصفات فريق‬
‫العمل)‪.‬‬
‫‪ -‬إلزام املورد باشراك منسوبي تقنية املعلومات اثناء القيام بعمليات التنفيذ والتطوير وتقديم التقارير وعند حدوث‬
‫املشاكل واالعطال‬
‫‪ -‬بالضافة إلى ذلك فإن مقدم العرض هو املسؤول عن املهام التالية خالل فترة ‪ 12‬أشهر من التطوير والصيانة ودعم‬
‫العمليات( دون اي كلفة اضافية على البريد السعودي)‬
‫‪ -‬دعم إجراءات العمل الجديدة‪/‬املحدثة‬
‫‪ -‬دعم جميع الوحدات في النظام ضمن نطاق العمل‬
‫‪ -‬تطبيق إصدارات والتحسينات لنظام تخطيط موارد املؤسسة على مؤسسة البريد السعودي ً‬
‫بناء على الجداول‬
‫املحددة م ً‬
‫سبقا املتفق عليها مع املسؤولين عن ذلك من فريق املؤسسة كما يجب اختبار االصدارات وتأكيدها‬

‫‪13‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬

‫في البيئة التجريبية قبل تطبيقها على البيئة التشغيلية‬

‫توثيق جميع تغييرات التطبيق وتحديثها‬ ‫‪-‬‬
‫تقديم الدعم لإلقفال الشهري وإقفال أول سنة مالية‬ ‫‪-‬‬
‫رصد ومراقبة أداء النظام‪.‬‬ ‫‪-‬‬
‫املشاركة في تحديد نطاق العمل للمراحل املستقبلية لتطوير النظام‪.‬‬ ‫‪-‬‬
‫إعداد التقارير ومؤشرات األداء الرئيسية للنظام‪.‬‬ ‫‪-‬‬

‫‪ -‬إدارة املشروع‬
‫يتولي قطاع تقنية املعلومات إدارة املشروع ومن املتوقع أن يتم رصد مستوى التقدم وعقد االجتماعات بشكل دوري‬ ‫‪-‬‬
‫مع املتعاقد‪ ،‬على أن يقوم املتعاقد بتقديم تقرير رسمي ودقيق عن مستوى تقدم املشروع‪.‬‬
‫أن يلتزم املقاول بأتباع املعايير العاملية املعتمدة لدارة املشاريع‪ ،‬وتواجد مدير املشروع طيلة مدة املشروع‪.‬‬ ‫‪-‬‬
‫أن يلتزم املقاول بتقديم مدير مشروع معتمد يمثل نقطة اتصال وحيدة‪ ،‬كما انه يتوجب أرفاق السيرة‪ /‬السير الذاتية‬ ‫‪-‬‬
‫الخاصة بهم‪ ،‬وذلك بحسب املؤهالت املطلوبة‪.‬‬
‫يتوجب على املقاول أعداد خطة لدارة املشروع وتقديمها مع العرض الفني واملالي بحيث تشمل التالي‪:‬‬ ‫‪-‬‬
‫ج‪ -‬نطاق عمل املشروع‪.‬‬ ‫أ‪ -‬الجدول الزمني بصيغة ‪MS Project‬‬
‫ح‪ -‬خطة إدارة الجودة‪.‬‬ ‫ب‪ -‬خطة إدارة املخاطر‪.‬‬
‫خ‪ -‬خطة إدارة التغير‪.‬‬ ‫ت‪-‬خطة إدارة االتصال‪.‬‬
‫ث‪-‬خطة إدارة املوارد البشرية‪.‬‬
‫يتم البدء بتنفيذ املشروع بعد تقديم املستندات التالية‪:‬‬ ‫‪-‬‬
‫‪ .i‬وثيقة تأسيس املشروع‪.‬‬
‫‪ .ii‬خطة إدارة املشروع‬
‫يتوجب على املقاول اعتماد واستخدام نماذج إدارة املشاريع املعتمدة واملستخدمة لدى قطاع تقنية املعلومات‪.‬‬ ‫‪-‬‬
‫يتم اقفال املشروع واستخراج شهادة االنجاز للدفعة األخيرة على اكتمال مرحلة اغالق املشروع (‪)Project Closing‬‬ ‫‪-‬‬
‫ً‬
‫بشكل كامل متضمنا توثيق جميع السلبيات وااليجابيات التي حدثت خالل دورة حياة املشروع‪.‬‬
‫ً‬
‫يجب على مدير املشروع اجادة اللغة العربية واالنجليزية (تحدثا وكتابة)‪ ،‬ويحق للبريد السعودي استبدال مدير‬ ‫‪-‬‬
‫املشروع في حال رؤية عدم كفائته‪.‬‬

‫‪14‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬

‫برنامج تقديم الخدمات‬

‫املدة الزمنية‬ ‫املرحلة الفرعية‬ ‫املرحلة الرئيسية‬
‫‪ -1‬تمكين وتعديل نظام تخطيط موارد املؤسسة‬
‫(‪ )Oracle E-Business Suite‬الحالي لدى مؤسسة البريد‬
‫السعودي من التحول الى أساس االستحقاق من خالل‬
‫اجراء التعديالت الالزمة على النظام وجميع األنظمة‬
‫املرتبطة به‪.‬‬
‫‪ -2‬تطبيق نظام األصول الثابتة وفق مشروع التحول الى‬
‫أساس االستحقاق من خالل تعريف سجل األصول‬
‫الثابتة على نظام األصول الثابتة وبناء عمليات النظام‬
‫املرتبطة به‪.‬‬
‫‪ -3‬دراسة التكامالت الحالية واجراء التعديالت الالزمة‬
‫بما يتوافق مع معطيات التحول الى أساس االستحقاق‬
‫‪ -4‬دراسة (‪ )SLA Customization‬املطبقة حاليا على‬
‫النظام وتعديلها بما يتناسب مع متطلبات التحول الى‬
‫االستحقاق‪.‬‬
‫‪ -5‬إعداد وتنفيذ خطة شاملة للقيام بالتعديالت الالزمة‬
‫على جميع البيانات عند التحول الى أساس االستحقاق‬
‫(البيانات الرئيسية‪ ،‬األرصدة االفتتاحية)‬
‫‪ -6‬دراسة التقارير الصادرة عن النظام واقتراح وتنفيذ‬ ‫املرحلة األولى‬
‫أي إضافات او تعديالت عليها لتتوائم مع التحول الى‬
‫‪ 6‬اشهر ‪ /‬تبدأ من تاريخ محضر استالم االعمال‬ ‫االعداد والتهيئة‬
‫أساس االستحقاق ومتطلبات وزارة املالية ومؤسسة‬
‫البريد السعودي‪.‬‬ ‫والتطوير‬
‫‪ -7‬إعداد خطة شاملة وفعالة لالنتقال الى البيئة‬
‫التشغيلية (‪ )Transition Plan‬لضمان االنتقال الناجح‬
‫الى أساس االستحقاق وبالشكل الذي ال يؤثر على عمل‬
‫املؤسسة اليومي‬
‫‪ -8‬إعداد خطة شاملة وفعالة لإلجراءات االحتياطية في‬
‫حال عدم نجاح التطبيق (‪ )Fail-over Plan‬أو مواجهة‬
‫أي تحديات تعيق االنتقال الى أساس االستحقاق على‬
‫النظام واختبار النسخة املعتمدة منها مع فريق تقنية‬
‫املعلومات لدى املؤسسة‬
‫‪ -9‬إعداد وتنفيذ خطة شاملة وفعالة الختبار النظام‬
‫باستخدام نسخة تجريبية من النظام (‪)Testing Clone‬‬
‫عبر املراحل املختلفة لتطبيق النظام ( ‪Development,‬‬
‫‪ )… UAT‬بحيث تكون مطابقة للنسخة التشغيلية‬
‫(‪ )Production Instance‬وذلك للتأكد من تلبية النظام‬
‫ملتطلبات التحول الى االستحقاق بالشكل األمثل قبل‬
‫االطالق الفعلي للنظام‬

‫‪15‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬
‫‪ -11‬تقديم جميع الوثائق ومخرجات املشروع بناء على‬
‫منهجية أوراكل‬

‫املرحلة الثانية‬
‫ً‬ ‫القيام بأعمال الدعم الفني لنظام تخطيط املوارد‬
‫‪ 12‬شهرا ‪ /‬تبدأ بعد انتهاء تنفيذ اعمال املرحلة األولى‬ ‫القيام بأعمال الدعم‬
‫املؤسسية ()‪ ERP‬ملؤسسة البريد السعودي‬
‫الفني‬
‫مكان تقديم الخدمات‬
‫سوف يتم تقديم جميع الخدمات املشار لها بنطاق عمل املشروع في مقر املؤسسة بمدينة الرياض حسب جدول ومواصفات فريق العمل‬
‫جداول كميات املواد او املعدات (ان وجد)‬
‫سعراإلفرادي السعراالجمالي‬ ‫الوحدة‬ ‫الكمية‬ ‫البند‬ ‫م‬
‫املرحلة األولى‬
‫اعمال تقييم الوضع الراهن واملستقبلي‬
‫تقديم تصميم الحلول لكافة متطلبات وعمليات النظام‪( .‬بحسب‬
‫وثيقة‬ ‫‪1‬‬ ‫‪1‬‬
‫ماورد في نطاق عمل املشروع)‬
‫تطوير نظام تخطيط املوارد املؤسسية )‪ (ERP‬ملؤسسة البريد السعودي‬
‫تطوير وتعديل األنظمة للعمل على أساس االستحقاق وتطبيق معايير املحاسبة الدولية للقطاع العام‬
‫عدد‬ ‫‪1‬‬ ‫األستاذ العام‬ ‫‪2‬‬
‫عدد‬ ‫‪1‬‬ ‫محاسبة اليرادات‬ ‫‪3‬‬
‫عدد‬ ‫‪1‬‬ ‫محاسبة املدفوعات‬ ‫‪4‬‬
‫عدد‬ ‫‪1‬‬ ‫األصول الثابتة‬ ‫‪5‬‬
‫عدد‬ ‫‪1‬‬ ‫نظام الضرائب‬ ‫‪6‬‬
‫عدد‬ ‫‪1‬‬ ‫أنظمة املخازن واملشتريات‬ ‫‪7‬‬
‫عدد‬ ‫‪1‬‬ ‫أنظمة املوارد البشرية والرواتب‬ ‫‪8‬‬
‫عدد‬ ‫اعداد (‪ )30‬تقارير مبنية على أساس االستحقاق تتوائم مع متطلبات‬
‫‪30‬‬ ‫‪9‬‬
‫العمل لدى مؤسسة البريد السعودي‬
‫املرحلة الثانية‬
‫مدة‬ ‫ً‬ ‫القيام اعمال الدعم الفني لنظام تخطيط املوارد املؤسسية)‪(ERP‬‬
‫‪ 12‬شهرا‬ ‫‪1‬‬
‫زمنية‬ ‫ملؤسسة البريد السعودي‬
‫اإلجمالي‬
‫اإلجمالي‪:‬‬
‫القيمة املضافة‪:‬‬
‫ً‬
‫اإلجمالي بعد احتساب القيمة املضافة (رقما)‪:‬‬
‫اإلجمالي بعد احتساب القيمة املضافة (كتابة)‪:‬‬

‫‪16‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬

‫جدول ومواصفات فريق العمل (ان وجد)‬

‫عدد ساعات العمل‬ ‫عدد ساعات العمل‬

‫الخبرات‬ ‫املؤهالت‬ ‫املهنة‬
‫اإلضافية‬ ‫األساسية‪ /‬يوما‬
‫حاصل على شهادات‬
‫خبرة ال تقل عن خمسة‬ ‫اعتماد في نظام تخطيط‬
‫استشاري تطبيقات‬
‫‪0‬‬ ‫‪8‬‬ ‫سنوات في نظام تخطيط‬ ‫املوارد من الشركة االم من‬
‫األنظمة املالية‬
‫املوارد‬ ‫الناحية الوظيفية‬
‫والناحية الفنية‬
‫حاصل على شهادات‬
‫خبرة ال تقل عن خمسة‬ ‫اعتماد في نظام تخطيط‬
‫استشاري تطبيقات‬
‫‪0‬‬ ‫‪8‬‬ ‫سنوات في نظام تخطيط‬ ‫املوارد من الشركة االم من‬
‫األنظمة اللوجستية‬
‫املوارد‬ ‫الناحية الوظيفية‬
‫والناحية الفنية‬
‫حاصل على شهادات‬
‫خبرة ال تقل عن خمسة‬ ‫اعتماد في نظام تخطيط‬
‫استشاري تطبيقات أنظمة‬
‫‪0‬‬ ‫‪8‬‬ ‫سنوات في نظام تخطيط‬ ‫املوارد من الشركة االم من‬
‫املوارد البشرية‬
‫املوارد‬ ‫الناحية الوظيفية‬
‫والناحية الفنية‬
‫حاصل على شهادات‬
‫خبرة ال تقل عن خمسة‬ ‫اعتماد في نظام تخطيط‬
‫استشاري تقني لألنظمة –‬
‫‪0‬‬ ‫‪8‬‬ ‫سنوات في نظام تخطيط‬ ‫املوارد من الشركة االم من‬
‫عن بعد‬
‫املوارد‬ ‫الناحية الوظيفية‬
‫والناحية الفنية‬
‫خبرة ال تقل عن خمسة‬ ‫حاصل على شهادات‬
‫مشرف قواعد بيانات –‬
‫‪0‬‬ ‫‪8‬‬ ‫سنوات في نظام تخطيط‬ ‫اعتماد في نظام تخطيط‬
‫عن بعد‬
‫املوارد‬ ‫املوارد من الشركة االم من‬

‫‪17‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬
‫الناحية الوظيفية‬
‫والناحية الفنية‬
‫خبرة ال تقل عن‬
‫بكالوريوس تقنية‬
‫‪10‬سنوات في إدارة‬
‫معلومات تخصص علوم‬
‫املشاريع‪.‬‬
‫‪0‬‬ ‫‪8‬‬ ‫حاسب آلي أو نظم‬ ‫مدير املشروع – عن بعد‬
‫خبرة ال تقل عن ‪ 3‬سنوات‬
‫معلومات او اي تخصص‬
‫في استخدام برنامج إدارة‬
‫ذات صلة‬
‫املشاريع )‪(EPM‬‬

‫الشروط الخاصة بفريق العمل‬

‫االعداد الواردة في جدول مواصفات فريق العمل باملهن املحددة‪ ،‬يعتبر الحد االدنى املطلوب تواجده من فريق العمل خالل مدة تنفيذ اعمال الدعم‬
‫الفني (املرحلة الثانية)‬

‫الشروط الخاصة باملواد (إن وجد)‬

‫ال ينطبق‬
‫الشروط الخاصة باملعدات (إن وجد)‬

‫ال ينطبق‬

‫مخرجات املشروع‬
‫املدة الزمنية لتنفيذ االعمال‬ ‫املخرج بحسب نطاق العمل‬ ‫‪#‬‬
‫مخرجات املرحلة األولى‬
‫تقديم تصميم الحلول لكافة متطلبات وعمليات النظام‬
‫تقديم تصميم الحلول لكافة متطلبات وعمليات نظام تخطيط املوارد‬
‫‪ 6‬اشهر‬ ‫‪1‬‬
‫املؤسسية)‪ )ERP‬وذلك بحسب ماورد في نطاق عمل املشروع‪.‬‬
‫تطوير نظام تخطيط املوارد املؤسسية) ‪ (ERP‬ملؤسسة البريد السعودي‬

‫‪18‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬
‫متطلبات تعديل األنظمة للعمل على أساس االستحقاق وتطبيق معايير املحاسبة الدولية للقطاع‬
‫العام‬
‫األستاذ العام‬ ‫‪2‬‬
‫محاسبة اليرادات‬ ‫‪3‬‬
‫محاسبة املدفوعات‬ ‫‪4‬‬
‫األصول الثابتة‬ ‫‪5‬‬
‫نظام الضرائب‬ ‫‪6‬‬
‫أنظمة املخازن واملشتريات‬ ‫‪7‬‬
‫أنظمة املوارد البشرية والرواتب‬ ‫‪8‬‬
‫مخرجات املرحلة الثانية‬
‫القيام بأعمال نقل املعرفة‪ ،‬وذلك بحسب ماورد في بند املواصفات التفصيلية للنظام‬ ‫‪1‬‬
‫‪ 12‬شهرا تبدا بعد انتهاء اعمال‬
‫القيام اعمال الدعم الفني والتشغيل لنظام تخطيط املوارد املؤسسية )‪(ERP‬ملؤسسة البريد‬
‫املرحلة تنفيذ املرحلة األولى‬ ‫‪2‬‬
‫السعودي‪.‬‬

‫كيفية تنفيذ األعمال والخدمات‬

‫يلتزم املقاول بتنفيذ األعمال طبقا ملا هو موضح في نطاق العمل واملواصفات الفنية التفصيلية الواردة باملالحق‪.‬‬

‫مواصفات الجودة (إن وجدت)‬

‫يجب على املقاول إخطار البريد السعودي بما يتسبب او قد يتسبب في عدم االمتثال ملتطلبات الجودة لألعمال املقدمة وبأي تغييرات أو‬ ‫•‬
‫تعديالت قد تؤثر على جودة مخرجات األعمال‬
‫يجب أن تتطابق جودة األعمال املنفذة من املقاول مع معايير القياسية والدولية والتصاميم املعتمدة وأسس التصميم واملواصفات‬ ‫•‬
‫والرسومات القياسية ونطاق العمل وغيرها‬
‫يجب أن تغطي خطة ضمان أو ضبط الجودة الخاصة باملقاول جميع األنشطة ذات الصلة بنطاق العمل‪ ،‬وتوضح كيفية توافق األعمال‬ ‫•‬
‫التي سيقوم بها املقاول مع متطلبات نطاق العمل وشروط الجودة املعمول بها‪.‬‬

‫مواصفات السالمة‬
‫يلتزم املتعاقد خالل جميع مراحل التنفيذ بجميع األنظمة والقواعد املطبقة في اململكة بشأن الساملة والصحة والبيئة‪ ،‬وأي أنظمة وقواعد تحددها الجهة‬
‫الحكومية في نطاق عمل املشروع‪ ،‬ويضمن اتخاذ جميع الجراءات واالحتياطات الالزمة لالمتثال لهذه األنظمة والقواعد‪.‬‬

‫‪19‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬

‫متطلبات املحتوى املحلي ان وجد‬

‫ال ينطبق‬

‫الشروط الخاصة‬

‫يجب على املقاول دراسة ة ة ةةة متطلبات املشة ة ة ةةروع من كافة جوانبه وتقديم املقترحات حيال خطوات واحتياجات‬ ‫‪.1‬‬
‫املشروع الالزمة للبدء فيه‪ .‬كما يجب ان تقدم الشركة مستند توضح فيه خطة عمل مفصلة وكيفية التنفيذ‪.‬‬
‫يجب على املقاول تقديم السير الذانية لفريق العمل املقترح لتنفيذ اعمال املشروع‬ ‫‪.2‬‬
‫يجب على املقاول ومن خالل العرض املقدم من جانبه‪ ،‬وضع خطة لكيفية تقييم الوضع الراهن واملستقبلي‬ ‫‪.3‬‬
‫فيما يخص إيجاد الحلول والبدائل املناسبة لإلجراءات والسياسات لجميع األنظمة التقنية النمطية وتقديم‬
‫املقترحات‪ ،‬والبدائل فيما يخص آلية تعديالت وإضافات دليل الحسابات (‪ )Chart of account‬لتلبية‬
‫ً‬
‫احتياجات مؤسسة البريد السعودي واملوضحة في هذه الوثيقة ووفقا للعمل على أساس االستحقاق‪.‬‬
‫يجب على املقاول مراجعة وثائق الحوكمة (السياسات والجراءات) الخاصة بمؤسسة البريد السعودي‬ ‫‪.4‬‬
‫ومطابقتها لألنظمة املنفذة‪ ،‬او تنفيذها بشكل أفضل في حال موافقة مؤسسة البريد السعودي مع تقديم‬
‫الوثائق الخاصة بالجراءات الجديدة‪.‬‬
‫‪ .5‬يجب تقديم األنظمة (الحلول) املطلوبة على ‪ ٣‬بيئات عمل‪ :‬تطويرية (‪ – )Development‬اختبارية (‪)Testing‬‬
‫– إنتاجية (‪.)Production‬‬
‫‪ .6‬يحق للبريد الس ة ةةعودي رفض العرض املقدم من جانب املقاول في حال عدم وزن األس ة ةةعار (حس ة ةةب أس ة ةةعار الس ة ةةوق‬
‫السائدة) لبنود جدول الكميات‪.‬‬
‫‪ .7‬يجب على املقاول تعبئة جدول الكميات واالسعار الواردة بكراسة الشروط واملواصفات‪.‬‬

‫‪20‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬

‫‪ .8‬االلتزام بتقديم جميع خدمات الدعم الفني في املقر الرئيس ي ملؤسسة البريد السعودي اثناء فترة املشروع من‬
‫خالل تواجد فريق عمل املقاول في مقر البريد للموظفين املنصوص عليهم بالعمل في مقر البريد حسب جدول‬
‫ومواصفات فريق العمل‬
‫‪ .9‬يتحمل املقاول جميع االعمال التحضيرية (فنية – اجرائية –وظيفية و‪ ......‬الخ)‪.‬‬
‫‪ .10‬االلتزام بتنفيذ التغييرات التي قد تحدث على االنظمة اثناء فترة تنفيذ املشروع وتشمل اضافة او تعديل‬
‫اجراءات‪.‬‬
‫‪ .11‬يجب على املقاول تقديم) ‪ ) ERP Architecture Design‬وجميع الوثائق الفنية األخرى الالزمة في العرض املقدم‬
‫‪ ،‬طيلة مدة اعمال املشروع‬
‫‪ .12‬يجب على املقاول ضمان تنفيذ االعمال وفق معايير الجودة وتطبيق املعايير القياسية الخاصة بالشركة االم‬
‫اوراكل‪.‬‬
‫‪ .13‬يجب على املقاول تقديم خطط مفصلة لجميع املراحل ( تنفيذ – اختبار – نماذج األرصدة االفتتاحية ‪..‬الخ)‪.‬‬
‫‪ .14‬يجب على املقاول تطوير معايير قبول فحص األنظمة باالتفاق مع مؤسسة البريد السعودي‪.‬‬
‫‪ .15‬يجب على املقاول ارفاق معلومات عن املشاريع السابقة التي تم تنفيذها مع ذكر جهات االتصال‪.‬‬
‫‪ .16‬يجب ان يكون املقاول حاصل على تصانيف الشراكة من قبل الشركة االم اوراكل‪.‬‬
‫‪ .17‬يجب ان يكون املقاول سبق له انجاز مشاريع بشكل ناجح على أنظمة اوراكل(‪ )On-Premise‬املالية واملوارد‬
‫البشرية واملشتريات ومشاريع التحول للعمل على أساس االستحقاق وتم تطبيق النظام في جهتين حكومية او‬
‫شبه حكومية توازي حجم مؤسسة البريد السعودي‪.‬‬
‫‪ .18‬يجب على املقاول استخدام رخص اوراكل الحالية املتوفرة في مؤسسة البريد السعودي‪.‬‬
‫‪ .19‬يجب ان يكون املقاول قد قام بتقديم خدمات الدعم الفني لدى جهات توازي حجم مؤسسة البريد السعودي‬
‫وارفاق ما يثبت ذلك‪.‬‬
‫‪ .20‬يجب ان يكون كامل فريق العمل يعملون لدى نفس املقاول بدوام كامل ولن يقبل بأن يكونوا متعاونين او‬
‫عاملين بصفة مؤقتة‪.‬‬
‫‪ .21‬يجب ان يقدم الدعم الفني من خالل موظفين املقاول فقط وبدون االستعانة بطرف آخر‪.‬‬

‫‪21‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬

‫‪ .22‬يجب ان يكون كامل فريق العمل يتحدثون اللغة العربية والنجليزية‪.‬‬

‫‪ .23‬يجةةب على املقةةاول ومن خالل العرض الفني املقةةدم تحقيق مةةا نس ة ة ة ةةبتةه ( ‪ ) %70‬فمةةا فوق من إجمةةالي املعةةايير‬
‫الفنيةةة املطلوبةةة وذلةةك بحس ة ة ة ةةب بنةةد (معةةايير تقييم العروض) ‪ ،‬وفي حةةال عةةدم تحقيق النس ة ة ة ةبةةة س ة ة ة ةةوف يتم‬
‫استبعاد العرض لعدم املطابقة‪.‬‬
‫‪ .24‬يلتزم املقاول بالحفاظ على سرية املعلومات وتوفير أعلى حد من وسائل الرقابة على املعلومات وعدم السماح‬
‫ألية جهة من االطالع إال على املعلومات املصة ةةرح لهم باسة ةةتخدامها واسة ةةتخدام كافة الوسة ةةائل األمنية لضة ةةمان‬
‫ذلك‪.‬‬
‫‪ .25‬يجةةب على املقةةاول ومن خالل العرض الفني املقةةدم وض ة ة ة ةةع خطةةة زمنيةةة ملةةدة التطوير وتقةةديم آليةةة واض ة ة ة ةحةةة‬
‫لعملية الدعم وحل املشاكل‪.‬‬
‫‪ .26‬يجب ان يكون الحل الفني املقدم من جانب املقاول متوافق بنس ة ة ة ةةبة (‪ )%100‬مع تطبيقات األنظمة والبنية‬
‫التحتية وانظمة التشغيل‪ ،‬املستخدمة لدى ملؤسسة البريد السعودي‪.‬‬
‫‪ .27‬على املقاول ختم جميع أوراق الكراس ة ة ة ةةة وإرفاقها مع العرض املالي والفني املقدم حيث يعتبر ختمه داللة على‬
‫موافقته على كل ما تنص عليه كراسة ة ة ةةة الشة ة ة ةةروط واملواصة ة ة ةةفات مالم تتم الشة ة ة ةةارة ألية تحفظات في العرض‬
‫املقدم‪.‬‬
‫‪ .28‬يجةةب على املقةةاول االلتزام بجميع البنود الواردة في اتفةةاقيةةة مس ة ة ة ةةتوى الخةةدمةةة الواردة في كراس ة ة ة ةةة الش ة ة ة ةةروط‬
‫واملواصفات الفنية‪.‬‬
‫‪ .29‬يتم تقديم العرض املالي بشكل منفصل عن العرض الفني‪.‬‬
‫‪ .30‬يجب على املقاول تنفيذ االعمال التي وردت في نطاق عمل املشروع من خالل تواجد فريق عمل املقاول في مقر‬
‫البريد السعودي للموظفين املنصوص عليهم بالعمل في مقر البريد حسب جدول ومواصفات فريق العمل‬

‫الجزاءات والغرامات‬
‫املدة الزمنية لتنفيذ‬
‫الغرامات‬ ‫املخرج بحسب نطاق العمل‬ ‫‪#‬‬
‫االعمال‬
‫مخرجات املرحلة األولى‬
‫تقديم تصميم الحلول لكافة متطلبات وعمليات النظام‬

‫‪22‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬

‫‪ 300‬ريال عن كل يوم تأخير‬

‫تقديم تصميم الحلول لكافة متطلبات وعمليات نظام‬
‫بحسب الخطة الزمنية‬
‫شهر‬ ‫تخطيط املوارد املؤسسية)‪ )ERP‬وذلك بحسب ماورد في‬ ‫‪1‬‬
‫املعتمدة بين املقاول والبريد‬
‫نطاق عمل املشروع‪.‬‬
‫السعودي‬
‫تطويرنظام تخطيط املوارد املؤسسية)‪ )ERP‬ملؤسسة البريد‬
‫السعودي‬
‫متطلبات تعديل األنظمة للعمل على أساس االستحقاق‬
‫وتطبيق معاييراملحاسبة الدولية للقطاع العام‬
‫‪ 1000‬ريال عن كل يوم تأخير(لكل نظام)‪ ،‬بحسب الخطة‬ ‫األستاذ العام‬ ‫‪2‬‬
‫الزمنية املعتمدة بين املقاول والبريد السعودي‬ ‫محاسبة اليرادات‬ ‫‪3‬‬
‫‪ 5‬أشهر‬ ‫محاسبة املدفوعات‬ ‫‪4‬‬
‫األصول الثابتة‬ ‫‪5‬‬
‫نظام الضرائب‬ ‫‪6‬‬
‫أنظمة املخازن واملشتريات‬ ‫‪7‬‬
‫أنظمة املوارد البشرية والرواتب‬ ‫‪8‬‬
‫مخرجات املرحلة الثانية‬
‫‪ 300‬ريال عن كل يوم تأخير‬
‫بحسب الخطة الزمنية‬ ‫ً‬ ‫القيام بأعمال نقل املعرفة ‪ ،‬وذلك بحسب ماورد في‬
‫‪ 12‬شهرا تبدا بعد انتهاء‬ ‫‪1‬‬
‫املعتمدة بين املقاول والبريد‬ ‫بند املواصفات التفصيلية للنظام‬
‫اعمال املرحلة تنفيذ‬
‫السعودي‬
‫املرحلة االولى‬
‫تطبق الغرامات الواردة في‬ ‫القيام بأعمال الدعم الفني لنظام تخطيط املوارد‬
‫‪2‬‬
‫اتفاقية مستوى اداء الخدمة‬ ‫املؤسسية)‪ )ERP‬ملؤسسة البريد السعودي‪.‬‬
‫اتفاقية خدمة األداء (إن وجدت)‬

‫حيث أن البريد السعودي يرغب بتنفيذ بنود هذه االتفاقية وذلك لضمان قيام املقاول بأعمال الدعم الفني‬
‫ً‬
‫الواردة في كراسة الشروط واملواصفات الفنية ‪،‬وذلك للمرحلة الثانية ‪ ،‬وملدة اجمالية (‪ 12‬شهرا)‪ ،‬على ان تبدأ‬
‫هذه االعمال في التنفيذ من جانب املقاول بعد انتهاء اعمال املرحلة االولى ‪ ،‬وذلك بناء على ما ورد في بنود هذه‬
‫االتفاقية‪.‬‬

‫‪23‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬

‫تعريفات ‪:‬‬
‫ً‬
‫حيثما وردت العبارات التالية بهذا العقد ‪ ,‬سيكون لها املعاني املبينة تاليا‪-:‬‬
‫‪ -‬االتفاقية‪ :‬تعني هذه االتفاقية وكل ملحقاتها والتغييرات الخطية املوقعة من الطرفين‪.‬‬
‫‪ -‬تاريخ بداية االتفاقية‪ :‬تبدأ بنود االتفاقية حيز التنفيذ مباشرة عند بدأ مرحلة الدعم الفني (لكل‬
‫مرحلة)‪.‬‬
‫‪ -‬مدة االتفاقية الخاصة بمستوى الخدمة‪ 12 :‬شهرا‪.‬‬
‫‪ -‬االنظمة والتطبيقات‪ :‬وهي جميع انظمة تخطيط املوارد املؤسسية والخدمات املرتبطة بها‬
‫وملحقاتها والتي وردت في نطاق عمل املشروع‪.‬‬
‫‪ -‬العطل‪ :‬يعني أي مشكلة تظهر وتؤثر على أداء االنظمة والتطبيقات‪.‬‬
‫‪ -‬ساعات العمل‪ :‬تعني ساعات العمل بالبريد السعودي‪.‬‬
‫‪ -‬خدمات الصيانة‪ :‬تعني خدمات الصيانة الوقائية والصيانة العالجية واملساندة‪.‬‬
‫‪ -‬مدة االستجابة‪ :‬تعني الوقت ما بين إعالم املقاول بالعطل واستجابته للبالغ‪.‬‬
‫‪ -‬مدة الصالح‪ :‬املدة الالزمة لإلصالح العطل‪.‬‬
‫‪ -‬الصيانة‪ :‬تعني اعمال صيانة االنظمة والتطبيقات والخوادم التي يقوم بها املقاول كما هو مبين‬
‫بالبنود ادناه‪.‬‬
‫‪ -‬مركز خدمة العمالء‪ :‬تعني من يستلم الشعارات باألعطال من جانب املقاول‪.‬‬
‫‪ -‬تحديث االنظمة والتطبيقات‪ :‬هو التحديث الذي يجريه املقاول على االنظمة والتطبيقات‬
‫والخوادم ملعالجة بعض املشكالت‪.‬‬
‫‪ -‬السنة‪ :‬تعنى السنة امليالدية‪.‬‬

‫في هذه االتفاقية‬

‫‪ -‬الشارة إلى املفرد يعني الشارة إلى الجمع والعكس صحيح‪.‬‬
‫‪ -‬الشارة إلى طرف تعني الشارة إلى مندوبه املفوض ‪.‬‬

‫‪24‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬

‫خدمات الصيانة العادية ‪:‬‬

‫‪ -‬خالل مدة االتفاقية يقوم املقاول بتقديم خدمات الصيانة والدعم الفني التالية ‪:‬‬
‫الصيانة الوقائية واملساندة‪:‬‬
‫‪ -‬يقوم املقاول بالقيام بأعمال الصيانة الوقائية لفحص أداء االنظمة والتطبيقات والخوادم‬
‫وملحقاتها املرتبطة بالخدمة وعمل التعديالت الالزمة لضمان استمرارية عملها‪.‬‬
‫التطورات التقنية ‪:‬‬
‫‪ -‬سيقوم املقاول بإعالم البريد السعودي عن أي تطويرات يجريها على االنظمة والتطبيقات والخوادم‪.‬‬
‫الصيانة العالجية‪:‬‬
‫‪ -‬سيقوم املقاول بتزويد البريد السعودي بطريقة االتصال بمركز خدمة العمالء لإلبالغ عن أي أعطال‬
‫في ساعات الدوام الرسمي وخارجة‪ .‬وبناء على البالغ سيقوم املقاول بعمل الصالح الالزم لضمان عمل‬
‫االنظمة والتطبيقات والخوادم حسب املواصفات‪.‬‬

‫زمن االستجابة وزمن اإلصالح‬

‫يقوم املقاول بالتعامل مع األعطال حسب مستوياتها التالية‪:‬‬
‫املستوى ‪ :1‬األولوية الحرجة‬
‫‪ -‬وذلك بوجود عطل رئيس ي باالنظمة والتطبيقات يترتب عليه توقف االنظمة او التطبيقات بشكل كامل‪.‬‬
‫املستوى ‪ :2‬األولوية العالية‬
‫‪ -‬وذلك بوجود عطل جزئي باالنظمة والتطبيقات والذي يترتب عليه تعطل سير العمل‪.‬‬
‫املستوى ‪ :3‬األولوية املتوسطة‬
‫‪ -‬وذلك بوجود عطل جزئي باالنظمة والتطبيقات‪ ،‬ويتضمن ذلك جميع الصيانات التي سوف يجريها املقاول‬
‫واملشار لها في االتفاقية‪ ،‬وفي حال عدم التزام املقاول بها سوف يتم تصنيفها من املستوى الثالث‪.‬‬

‫املدة الزمنية املحددة إلصالح األعطال‪:‬‬

‫مدة اإلصالح‬ ‫زمن االستجابة‬ ‫األولوية‬ ‫مستوى العطل‬
‫‪ 4‬ساعات‬ ‫ساعتين‬ ‫الوضع الحرج‬ ‫األول‬
‫‪ 8‬ساعات‬ ‫‪ 4‬ساعات‬ ‫األولوية العالية‬ ‫الثاني‬

‫‪25‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬

‫‪ 24‬ساعة‬ ‫‪ 8‬ساعات‬ ‫األولوية املتوسطة‬ ‫الثالث‬

‫إذا لم يتم التجاوب مع البالغ أو تأخر هذا التجاوب يمكن للعميل القيام بعمل الخصومات على املستحقات املالية‬
‫للشركة بحسب الجدول التالي ‪:‬‬
‫مبلغ الخصم‬ ‫مستوى‬
‫مدة اإلصالح‬ ‫زمن االستجابة‬ ‫األولوية‬
‫(للتأخيرللساعة الواحدة)‬ ‫العطل‬
‫‪ 500‬ريال‬
‫‪ 4‬ساعات‬ ‫ساعتين‬ ‫الوضع الحرج‬ ‫األول‬
‫من قيمة الفاتورة الشهرية‬
‫‪ 300‬ريال‬
‫‪ 8‬ساعات‬ ‫‪ 4‬ساعات‬ ‫األولوية العالية‬ ‫الثاني‬
‫من قيمة الفاتورة الشهرية‬
‫‪ 200‬ريال‬
‫‪ 24‬ساعة‬ ‫‪ 8‬ساعات‬ ‫األولوية املتوسطة‬ ‫الثالث‬
‫من قيمة الفاتورة الشهرية‬

‫التقارير‬
‫‪ -‬سيقدم املقاول للبريد السعودي تقريرا شهريا يبين األعطال التي تم التعامل معها ومستوياتها كما يشمل تقرير‬
‫زيارة الصيانة الوقائية وأي اقتراحات يراها املقاول ضرورية للمحافظة على رفع اداء االنظمة والتطبيقات‬
‫وسيقوم البريد السعودي بإبداء مالحظاته حول التقرير خالل أسبوع من استالمه لها‪ ،‬مع العلم ان املقاول‬
‫ملزم بتقديم التقارير املطلوبة في اي وقت حسب الطلب‪.‬‬
‫‪ -‬سوف يقوم املقاول برفع أي تقارير أخرى باألمور العاجلة والتي ال تحتمل التأخير ‪ ،‬وسيقوم البريد السعودي‬
‫بإبداء مالحظاته على هذه التقارير خالل يومين من استالمها‪.‬‬

‫سرية املعلومات‬
‫‪ -‬يتعهد املقاول باملحافظة على سرية كافة املعلومات التي يحصل عليها جراء تنفيذ اعماله وعدم‬
‫استخدامه في اعمال اخرى‪.‬‬

‫الضمانات‬

‫‪26‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬

‫يتعهد املقاول للبريد السعودي بما يلي‪:‬‬

‫‪ -‬أن تتم أعمال الصيانة بواسطة أشخاص مؤهلين ومدربين ولديهم املهارات الالزمة للقيام بالعمل‪.‬‬
‫‪ -‬أن يكون لديه كافة التراخيص القانونية والحق في صيانة االنظمة والتطبيقات موضوع االتفاقية‪.‬‬
‫‪ -‬أن الدخول على األجهزة باستخدام النهايات الطرفية هو بموافقة البريد السعودي ويجب على املقاول‬
‫منع دخول غير ذوي االختصاص أو التسبب بدخول أي فيروسات واملحافظة على سرية وسالمة شبكة‬
‫البريد السعودي‪.‬‬
‫‪ -‬االلتزام بكافة القوانين والنظم العامة املعمول بها في اململكة العربية السعودية‪.‬‬

‫امللحقات‬
‫ملحق (‪ : )1‬متطلبات هيئة األمن السبراني‪:‬‬

‫‪Cyber Security requirements‬‬

‫‪The following points represents the Cyber security requirements:‬‬

‫•‬ ‫)‪Provide all service accounts details (if applicable & If required‬‬

‫•‬ ‫‪Provide HLD and LLD (If required).‬‬

‫•‬ ‫‪A multi-tier architecture has to be applied eg. (Web, App, Data).‬‬

‫•‬ ‫‪Ensure data Encryption at rest and in transit.‬‬

‫•‬ ‫‪Using Multi-Factor Authentication (MFA).‬‬

‫•‬ ‫‪Web application traffic to be through (WAF) as (blocking mode).‬‬

‫•‬ ‫‪Web session timeout after 10 minutes.‬‬

‫•‬ ‫‪Login blocked after 5 failed login attempts.‬‬

‫•‬ ‫‪Compliant with Top 10 OWASP.‬‬

‫•‬ ‫‪Using valid digital certificate.‬‬

‫•‬ ‫‪Using only secure ports only.‬‬

‫‪27‬‬
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬
• Using the most updated, stable and licensed tools and technologies.

• Providing least privilege with least authorization for the right persons.

• Conduct the following before going to production:

o Web Vulnerability assessment.

o Network Vulnerability assessment.

o Source code review.

o penetration testing.

• Having a testing/preproduction environment in order to test any new features/enhancements/bug fixes.

• Ensure install End point monitoring agent on the servers.

• Conducting a cybersecurity risk assessment.

• Reporting cyber vulnerabilities and incidents to the Cyber Security Department through email cyber-security@SPLonline.com.sa.

• Outsourcing and managed services of critical systems must rely on Saudi companies and organizations, in accordance with the relevant

legislative and regulatory requirements.

• Return the assets of the Saudi Post SPL Corporation once the service with the workers is terminated.

• Classification of data prior to hosting on cloud or hosting services and returning data (in a usable format) upon service completion.

• Separation of organization’s environments (specifically virtual servers) from other environments hosted at the cloud service provider.

• Organization’s information hosting and storage must be inside the Kingdom of Saudi Arabia

The cybersecurity requirements in project and assets (information/technology) change management must include at least the

following:

• Vulnerability assessment and remediation.

• Conducting a configurations’ review, secure configuration and hardening and patching before changes or going live for technology

projects.

28
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬
For Critical Systems:

• Conducting a stress test to ensure the capacity of the various components.

• Ensuring the implementation of business continuity requirements.

The cybersecurity requirements related to software and application development projects must include at least the following:

• Using secure coding standards.

• Using trusted and licensed sources for software development tools and libraries.

• Conducting compliance test for software against the defined organizational cybersecurity requirements.

• Secure integration between software components.

• Conducting a configurations’ review, secure configuration and hardening and patching before going live for software products.

For Critical Systems:

• Conducting a security source code review before the critical system release

• Securing the access, storage, documentation and releases of source code.

• Securing the authenticated Application Programming Interface (API).

• Secure and trusted migration of applications from testing environments to production environments, along with deletion of any data,

IDs or passwords related to the testing environment before the migration.

• Conduct a penetration testing per 6 months

• vulnerabilities assessments must be conducted on critical systems’ technical components at least once every month.

• Assessing and remediating vulnerabilities (by installing security updates and patches) on technical components of critical systems at

least once every month for external and internet-connected critical systems, and at least once every three months for internal critical

systems.

• Immediately remediating for critical vulnerabilities, in line with change management processes approved by the organization.

• Secure session management, including session authenticity, session lockout and session timeout.

29
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬
• Hosting of critical systems and any part of their technical components must be inside the organization or within cloud computing

services provided by government organizations or Saudi companies that are in compliance with NCA’s Cloud Cybersecurity Controls

(CCC), taking into account the classification of the hosted data.

The cybersecurity requirements related to cloud computing projects must include at least the following:

• Classification of data prior to hosting on cloud or hosting services and returning data (in a usable format) upon service completion.

• Separation of organization’s environments (specifically virtual servers) from other environments hosted at the cloud service provider.

• Organization’s information hosting and storage must be inside the Kingdom of Saudi Arabia

• Cybersecurity roles and RACI assignment for all stakeholders of the cloud services including Authorizing Official’s roles and responsibilities.

• Cybersecurity risk management methodology as a minimum:

o Defining acceptable risk levels for the cloud services, and clarifying them to the CST if they are related to the CST.

o Considering data and information classification in cybersecurity risk management methodology.

o Developing cybersecurity risk register for cloud services, and monitoring it periodically according to the risks

• Continuous compliance with all laws, regulations, instructions, decisions, regulatory frameworks and controls, and mandates regarding

cybersecurity in KSA.

• Positions of cybersecurity functions in CSP’s data centers within the KSA must be filled with qualified and suitable Saudi nationals.

• Screening or vetting candidates of personnel working inside KSA who have access to Cloud Technology Stack, periodically.

• Cybersecurity policies as a prerequisite to access to Cloud Technology Stack, signed and appropriately approved.

• Assurance that assets owned by the organization (especially those with security exposure) are accounted for and returned upon

termination.

• Cybersecurity requirements for change management within the CSP shall be identified, documented and approved.

• Cybersecurity requirements for change management within the CSP shall be applied.

• Cybersecurity for change management in the CSP shall cover, as a minimum:

30
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬
o Processes and procedures to securely implement changes (planned works) in production systems, with priority given to

cybersecurity observations.

o Process for the implementation of cybersecurity exceptional changes (e.g.: changes during incident restoration).

• Cybersecurity requirements for change management within the CSP shall be applied and reviewed periodically.

• Inventory of all information and technology assets using suitable techniques such as Configuration Management Database (CMDB) or

similar capability containing an inventory of all technical assets.

• Identifying assets owners and involving them in the asset management lifecycle.

• identity and access management of generic accounts credentials for accountability cannot be assigned for a specific individual.

• Secure session management, including session authenticity, session lockout, and session timeout termination

• Multi-factor authentication for privileged users, and candidates of personnel with access to Cloud Technology Stack.

• Formal process to detect and prevent unauthorized access (e.g. unsuccessful login attempt threshold). 2-2-P-1-5 Utilizing secure methods

and algorithms for saving and processing passwords, such as: Secure Hashing functions.

• Secure management of third party personnel’s accounts.

• Access control enforced to management systems, administrative consoles.

• Masking of displayed authentication inputs, especially passwords, to prevent shoulder surfing. 2-2-P-1-9 Getting CST’s approval before

accessing any CST-related asset by the CSP or CSP’s third parties.

• Capability to immediately interrupt a remote access session and prevent any future access for a user.

• Provision to CSTs of Multi-factor authentication services for privileged cloud users.

• Assurance of restricted and controlled access to storage systems and means (such as Storage Area Network (SAN))

• Ensuring that all configurations are applied in accordance to CSP’s cybersecurity standards.

• Assurance of separation and isolation of data, environments and information systems across CSTs, to prevent data commingling.

• Adopting of cybersecurity principles for technical system configurations adhering to the minimum functionality principle.

• Ability of the Cloud Technology Stacks to securely handle input validation, exceptions and failure.

• Full isolation of security functions and applications from other functions and applications in the Cloud Technology Stack.

31
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬
• Notification to CSTs with cybersecurity requirements provided by the CSP that are useable by the CST.

• Detection and prevention of unauthorized changes to softwares, and systems. 2-3-P-1-8 Complete isolation and protection of multiple

guest environments. 2-3-P-1-9 The community cloud services provided to CSTs (government organizations and CNI organizations) shall be

isolated from any other cloud computing provided to organizations outside the scope of work.

• Provide cloud computing services from within the KSA, including systems used for storage, processing, and disaster recovery centers.

• Provide cloud computing services from within the KSA, including systems used for monitoring, and support.

• Modern technologies, such as Endpoint Detection and Response (EDR) technologies, to ensure that the information servers and devices of

CSP’s information processing systems and devices of are ready for rapid response to incidents

• Monitoring of traffic across the external and internal networks to detect anomalies.

• Network isolation and protection of Cloud Technology Stack network from other internal and external networks.

• Protection from denial of service attacks (including Distributed Denial of Service (DDoS)).

• Protection of data transmitted through the network; from and to the Cloud Technology Stack network using cryptography primitives; for

management and administrative access.

• Access control between different network segments.

• Isolation between cloud service delivery network, cloud management network and CSP enterprise network

• Inventory of all end user and mobile devices.

• Centralized mobile device security management.

• Screen locking for end user devices.

• Data sanitation and secure disposal for end-user devices, especially for those with exposure to the Cloud Technology Stack.

• Prohibiting the use of Cloud Technology Stack’s data in any environment other than production environment, except after applying strict

controls for protecting that data, such as: data masking or data scrambling techniques.

• Provision to CSTs of securely data storage processes, procedures, and technologies to comply with related legal and regulatory

requirements.

• Disposal of CST’s data should be performed in a secure manner on termination or expiry of the contract with the CSP.

32
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬
• Commitment to maintain the confidentiality of the CST’s data and information, according to related legal and regulatory requirements.

• Providing CSTs with secure means to export and transfer data and virtual infrastructure

• Technical mechanisms and cryptographic primitives for strong encryption, in according to the advanced level in the National Cryptographic

Standards (NCS-1:2020).

• Certification authority and issuance capability in a secure manner, or usage of certificates from a trusted certification authority.

• Securing access, storage and transfer of CST’s data backups and its mediums, and protecting it against damage, amendment or unauthorized

access.

• Securing access, storage and transfer of Cloud Technology Stack backups and its mediums, and protecting it against damage, amendment or

unauthorized access

• Assessing and remediating vulnerabilities on external components of Cloud Technology Stack at least once every month, and at least once

every three months for internal components of Cloud Technology Stack.

• Notification to CSTs of identified vulnerabilities that may affecting them, and safeguards in place.

• Scope of penetration tests must cover Cloud Technology Stack and must be conducted at least once every six months.

• Activating and protecting event logs and audit trails of Cloud Technology Stack.

• Activating and collecting of login attempts history.

• Activating and protecting all event logs of activities and operations performed by the CSP at the tenant level in order to support forensic

analysis.

• Protecting cybersecurity event logs from alteration, disclosure, destruction and unauthorized access and unauthorized release, in

accordance with regulatory, or law requirements.

• Continuous cybersecurity events monitoring using SIEM technique covering the full Cloud Technology Stack.

• Reviewing cybersecurity event logs and audit trails periodically, covering CSP events in the Cloud Technology Stack.

• Automated monitoring and logging of remote access sessions event logs.

• Secure handling of user-related data found in the audit trails and the cybersecurity event logs.

33
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬
• Subscribing in authorized and specialized organizations and groups to stay up-to-date on cybersecurity threats, common practices and key

know-how. 2-12-P-1-2 Training for employees and third-party personnel to respond to cybersecurity incidents, in line with their roles and

responsibilities.

• Periodically testing the incident response capability.

• Root Cause Analysis of cybersecurity incidents and developing plans to address them.

• Support the CST in cases legal proceedings and forensics, protecting the chain of custody that falls under the management and

responsibility of the CSP, in accordance with the related law and regulatory requirements.

• Real-time reporting to the CST of incidents that may affect CST; if the incident is discovered.

• Support for CSTs to handle security incidents according to the agreement between the CSP and CST.

• Measuring and monitoring cybersecurity incident metrics and monitor compliance with contracts and legislative requirements

• Continual monitoring of access to CSP’s sites and buildings.

• Preventing unauthorized access to devices in the Cloud Technology Stack.

• Disposal of cloud infrastructure hardware, in particular, storage equipment (external or internal), by adopting relevant legislation and best

practices

• Protecting information involved in application service transactions against possible risks (e.g.: incomplete transmission, mis-routing,

unauthorized message alteration, unauthorized disclosure….).

• Cybersecurity requirements for key management process within the CSP shall be identified, documented and approved.

• Cybersecurity requirements for key management process within the CSP shall be applied.

• Ensure well-defined ownership for cryptographic keys.

• A secure cryptographic key retrieval mechanism in case of cryptographic key lost (such as backup of keys and enforcement of trusted key

storage, strictly external to cloud).

• Activating and monitoring of all audit trails of keys.

• Cybersecurity requirements for key management within the CSP shall be reviewed periodically.

• Cybersecurity requirements for system development within the CSP shall be identified, documented and approved.

34
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬
• Cybersecurity requirements for system development within the CSP shall be applied.

• Cybersecurity requirements for system development within the CSP shall include as a minimum the following controls along the

development lifecycle:

o Considering cybersecurity requirements of the Cloud Technology Stack and relevant systems in the design and implementation

of the cloud computing services.

o Protecting system development environments, testing environments (including data used in testing environment), and

integration platforms.

• Cybersecurity requirements for system development within the CSP shall be applied and reviewed periodically.

• Cybersecurity requirements for usage of information and data media within the CSP shall be identified, documented and approved.

• Cybersecurity requirements for usage of information and data media within the CSP shall be applied.

• Cybersecurity requirements for usage of information and data media within the CSP shall cover, at minimum, the following:

o Enforcement of sanitization of media, prior to disposal or reuse.

o Using secure means when disposing of media.

o Provision to maintain confidentiality and integrity of data on removable media.

o Human readable labelling of media, to explain its classification and the sensitivity of the information it contains.

o Controlled and physically secure storage of removable media.

o Restriction and control of usage of portable media inside the Cloud Technology Stack.

• Cybersecurity requirements for usage of information and data media within the CSP shall be applied and reviewed periodically

• Developing and implementing disaster recovery and business continuity procedures in a secure manner.

• Developing and implementing procedures to ensure resilience and continuity of cybersecurity systems dedicated to the protection of Cloud

Technology Stack.

• Ensure that the CSP fulfills NCA's requests to remove software or services, provided by third-party providers that may be considered a

cybersecurity threat to national organizations, from the marketplace provided to CSTs.

• Requirement to provide security documentation for any equipment or services from suppliers and third-party providers.

• Third party providers compliant with law and regulatory requirements relevant to their scope.

35
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬
• Risk management and security governance on third-party providers as part of general cybersecurity risk management and governance.

Data Classification:
▪ Segregation of Duties ,Duties of participants in the classification process should not overlap in terms of classifying data, approving a
classification decision, granting authorization for access or usage of data, accessing data, protecting data, or disposal of data – in a way
that does not lead to overlapping specialization or dissipation of liability.
▪ Need to Know Access to data should be provided only if there is legitimate requirement for usage of the data based on authorization and
access controls and for the least number of people possible.
• Least Privilege Access to and use of data should be limited to the minimal access required to satisfy the needs of the assigned.
• Data classification based on National Data Management office Policiesen.pdf (sdaia.gov.sa)

Disposal:
• “Top Secret”, “Secret” electronically controlled data shall be disposed using electronic media disposal methods.
• All paper-based data shall be disposed of using cross shredder.
• A detailed log of all disposed of data shall be maintained.

Cyber security requirements for E-Commerce Service Provider:

• Use strong passwords that are: 1- Made up of random sequence of letters (both upper case and lower case), numbers, and special
characters (!@#$%^&*). 2- Not common words, simple sequence of numbers (e.g., “123456”) or any personal information, such as
your birthday or child’s name, as these are easy to guess. 3- Long (at least 8 characters long), which makes it harder for attackers to
break it.
• Make sure to change passwords at least every 3 months and never disclose passwords to others.
• Change all default passwords
• using multi-factor authentication
• Keep an up to date list of all the current IT equipment, software, data and any other technology assets you use for e-commerce.
• Grant your e-commerce business employees the lowest level of user rights required to perform their job duties.
• review users’ access periodically and limit the number of users who have remote access to your systems.
• Admin privileges may be given very carefully, and every access to the admin account should be strictly controlled through a more
stringent password/multi-factor authentication and a shorter timeout period.
• Control number of admin accounts.

36
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬

• use and regularly update anti-malware software on every device in your e-commerce business ecosystem (including computers, smart
phones, and tablets).
• set the anti-malware software to automatically check for updates at least daily, and set to run a complete scan on a regular basis.
• Keep all your e-commerce devices and applications (especially operating systems) up to date with security patches and vendor
upgrades.
• Stay up to date with cybersecurity threats
• Avoid using non-secure networks (e.g., public Wi-Fi) for any business transaction.
• using an encryption protocol to secure your e-commerce website.
• Protect against fraudulent clicks on your ads by running your ads on trusted websites which you know are more likely to have actual
customers
• perform backups regularly, at least on a weekly basis and check backup tools effectiveness by validating data on these backups to avoid
data loss.
• Protect the data with encryption
• Follow data minimization principles to reduce the amount and type of consumers’ data you collect and keep. If you choose to store
your customer’s payment data (e.g., credit card details) on your e-commerce platform, make sure to apply strict cybersecurity controls
(e.g., limited access, encryption) on such data to protect your business against a payment data breach.
• make sure to comply with any relevant national or international cybersecurity laws and regulations. For example, if you have customers
outside Saudi Arabia, make sure to learn about any relevant mandatory requirements that your business must comply with (e.g., GDPR
for EU customers). Make sure you report to SAMA and your customers any data breaches a²ecting your customers’ payment data.
• Review and change the default preferences in your web browser and e-commerce apps.
• consider having a dedicated device which is used only for online banking and make sure to disconnect it from the network when it is
not in use
• Enable remote wiping on your mobile devices
• Assign someone to be mainly responsible for your e-commerce social media accounts.
• Get your social media accounts verified
• Disable unnecessary services on systems
• Divide your network into sub-networks to protect sensitive information from µowing within the non-secure parts of your e-commerce
network.
• Use Intrusion Prevention Systems (IPS) in order to defend your network perimeter
• implement a firewall in your network. Make sure to review the access list periodically.
• Conduct penetration tests on your e-commerce systems regularly and anytime you have a major code change or a system upgrade.
• Develop and implement cybersecurity and privacy policies.
• Educate your employees and protect against phishing and social engineering.

37
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬

• Restrict staff from downloading unknown applications

• Train employees to only use software that is necessary for business and to download that from trusted sources (e.g., app stores, vendor’s
official website).
• Train employees to handle incidents and recognize signs of compromise.
• Train employees on reporting cybersecurity incidents immediately.
• Keep backup in a secure location
• Implement spam filter on email exchange.
• Use email activation and captcha for user registration
• Utilize an e-commerce anti-fraud software solution
• Choose a secure e-commerce platform
• If you are going to allow users to register on your website, create a customized form and link.
• Protect against denial of inventory by Reduce the threat of denial of inventory by, for example, applying shopping cart policies, where
you limit the absolute time during which users can hold items or restricting the amount of times they can add the item back to cart.
• Developing cybersecurity awareness program to E-Commerce consumers.

Cybersecurity requirements for ICS\OT:

• Strict physical and virtual segmentation when connecting industrial production networks to other networks within the organization
(e.g., corporate network).
• Strict physical and virtual segmentation when connecting systems and industrial networks with external networks (e.g., Internet,
wireless, remote access).
• Isolation of Safety Instrumental Systems (SIS).
• Strict limitation on the use of external storage media.
• Strict limitation on connecting mobile devices to industrial production networks.
• Periodic review and secure configuration and hardening of industrial, automated, support systems, and devices.
• Vulnerability management for industrial control systems and operational technology (ICS/OT).
• Patch management for industrial control systems and operational technology (ICS/OT).
• Cybersecurity applications management related to the protection of the industrial systems from viruses and malware.
• should periodically check the effectiveness of restoring backups
• Data and information in an industrial control environment must be protected and dealt with based on their classification
• The necessary protection techniques must be provided to protect industrial control systems and devices from viruses and suspicious
and harmful software, and their settings should be adjusted according to the best security standards.
• ICS network settings such as proxy servers, firewalls, and data diodes must be configured to prevent unauthorized data transmission.

38
 ‫اململكة العربية السعودية‬
‫مؤسسة لبريد السعودي‬
‫الدارة العامة لألنظمة والتطبيقات‬

• Connecting external storage media to industrial control systems and devices or their technical components is prohibited without prior
permission from < Cyber Security Dept.
• The settings for the components of web-based industrial control systems should be configured as follows:
• Use the HTTPS protocol for authorized devices only.
• Define and assign a specific list of applications (Whitelisting) to access the web services.
• A Web Application Firewall (WAF) should be used to protect against Web attacks on external ICSs.
• Multi-factor authentication should be used for logins of users with critical and sensitive credentials on industrial control systems and
devices.

Multi-tier architecture should be applied in developing web applications for industrial control systems

39