هذا نموذج إرشادي يعرض البنية الكاملة للعرض الفني لمنافسات تقنية المعلومات — لكل بند شرح موجز لما يجب كتابته ولماذا يهتمّ به فاحصو العروض. النموذج مبني على كرّاسة الشروط الموحّدة لتقنية المعلومات الصادرة بقرار وزير المالية، ويغطّي متطلبات الأمن السيبراني (الهيئة الوطنية للأمن السيبراني NCA)، البرمجيات الحكومية مفتوحة المصدر (قرار مجلس الوزراء 14)، والمحتوى المحلي.
1. غلاف العرض الفني
| البند | الإرشاد |
|---|
| اسم المنافسة | اكتب الاسم كاملاً (مثلاً: تطوير منظومة الأمن السيبراني للوزارة، أو توريد وتركيب البنية التحتية). |
| رقم المنافسة | الرقم في صفحة الغلاف من الكرّاسة. |
| الجهة الحكومية + الإدارة | مثل: الهيئة السعودية للبيانات والذكاء الاصطناعي / إدارة تقنية المعلومات. |
| اسم الشركة المتقدّمة | الاسم التجاري + رقم السجل + النشاط (يجب أن يشمل تقنية المعلومات). |
| تاريخ تقديم العرض | هجري + ميلادي. |
| مدّة سريان العرض | 90 يوماً من فتح المظاريف. |
2. الملخّص التنفيذي
إرشاد: 4–6 أسطر تُلخّص: طبيعة الخدمة (تطوير برمجيات / توريد أجهزة / دعم فني / أمن سيبراني)، النهج التقني المقترح، التزام الشركة بمعايير NCA / ECC، والتزامك بالبرمجيات مفتوحة المصدر للأنظمة الحكومية، ونسبة المحتوى المحلي والتوطين المستهدفة.
3. التعريف بالشركة
| البيان | الإرشاد |
|---|
| الاسم التجاري + رقم السجل | يجب أن يشمل النشاط: تقنية المعلومات / تطوير برمجيات / دعم فني. |
| سنة التأسيس + رأس المال | ≥ 5 سنوات في تقنية المعلومات يُعزّز الترتيب. |
| ترخيص هيئة الاتصالات والفضاء والتقنية (CST) | إلزامي لمزوّدي الخدمات الرقمية (Cloud Computing, Data Center). |
| الشهادات | ISO 27001 (أمن المعلومات)، ISO 20000 (إدارة خدمات IT)، ISO 9001 (جودة)، CMMI Level 3+ (نضج العمليات). |
| اعتمادات الشركاء | Microsoft Gold / AWS Advanced / Cisco Premier / Oracle Platinum… الموثّقة بشهادات سارية. |
| عدد الموظفين + نسبة التوطين | اذكر العدد الكلي ونطاقك في برنامج نطاقات. |
4. الخبرات السابقة في مشاريع IT
إرشاد: 3–5 مشاريع مماثلة (تطوير/أمن سيبراني/توريد/دعم) — أرفق شهادات إنجاز رسمية.
| اسم المشروع |
الجهة المالكة |
التقنيات المستخدمة |
قيمة العقد |
سنة التنفيذ |
| مثال: نظام متابعة التدريب الإلكتروني | وزارة التعليم | Angular + Spring Boot + Oracle | 3.5M ر.س | 2024 |
| أضف صفّاً لكل مشروع | — | — | — | — |
5. فهم نطاق العمل
إرشاد: اشرح بدقّة بنود نطاق العمل من الكرّاسة. مشاريع IT تنقسم لخمس فئات رئيسية (يمكن أن يجمع المشروع أكثر من فئة):
| الفئة | أمثلة |
|---|
| تطوير الأنظمة الإلكترونية | أنظمة متابعة، أنظمة إدارة، تطبيقات الجوال، بوّابات إلكترونية. |
| توريد الأجهزة والمعدّات | سيرفرات، شبكات، حواسب، طابعات، أجهزة استقبال شبكي. |
| الأمن السيبراني | تقييم ثغرات، تشفير اتصالات، بناء SOC، استجابة لحوادث. |
| الدعم الفني والصيانة | Help Desk على مدار الساعة، صيانة وقائية، تحديث برمجيات. |
| الاستشارات والتدريب | تأهيل الكوادر، نقل المعرفة، خطط استراتيجية رقمية. |
6. منهجية التنفيذ
إرشاد: هذا أهمّ قسم في تقييم اللجنة الفنية لـ IT. حدّد منهجية محدّدة (Agile, Waterfall, DevOps) وبيّن مراحلها بأرقام واقعية.
6.1 مرحلة التحليل والتصميم
- اجتماعات استكشاف مع أصحاب المصلحة (Stakeholder workshops).
- توثيق المتطلبات الوظيفية (Functional Requirements) وغير الوظيفية (NFR).
- تصميم البنية المعمارية (System Architecture Design).
- تصميم قواعد البيانات (ERD).
- تصميم واجهات المستخدم (UI/UX) — دعم اللغة العربية والإنجليزية إلزامي وفق نطاق العمل بالكرّاسة.
6.2 مرحلة التطوير
| الطبقة | التقنيات المقترحة (تختار حسب متطلبات الكرّاسة) |
|---|
| الواجهة الأمامية (Frontend) | Angular / React / Vue.js — مع دعم RTL. |
| الخدمات الخلفية (Backend) | Java Spring Boot / .NET / Node.js — REST APIs مع OpenAPI Spec. |
| قاعدة البيانات | Oracle / PostgreSQL / SQL Server حسب متطلبات الجهة. |
| إدارة المستخدمين والصلاحيات | RBAC مع تكامل مع نفاذ (الهوية الرقمية الموحّدة). |
| التكامل مع الأنظمة الحكومية | عبر منصّة "اعتماد"، "نفاذ"، "أبشر"، "مدد" — حسب الحاجة. |
6.3 مرحلة الاختبار (QA)
- اختبارات الوحدة (Unit Tests) بتغطية ≥ 80%.
- اختبارات التكامل (Integration Tests).
- اختبارات الأداء (Load Testing / Stress Testing).
- اختبارات قبول المستخدم (UAT) بمشاركة فريق الجهة.
- اختبار اختراق (Penetration Testing) بواسطة جهة معتمدة من NCA.
6.4 مرحلة النشر والتشغيل
- بيئات منفصلة: Development → Staging → Production.
- CI/CD Pipeline (Jenkins / GitLab CI / Azure DevOps).
- استضافة على سحاب وطنية معتمدة (CITC) — مثل: STC Cloud، Mobily Cloud، أو Saudi Cloud.
- HTTPS + شهادات SSL سارية.
- نسخ احتياطي يومي + استرداد كارثي (DR Plan).
7. متطلبات الأمن السيبراني (إلزامي)
إرشاد: الالتزام بضوابط الأمن السيبراني (ECC) الصادرة عن الهيئة الوطنية للأمن السيبراني (NCA) إلزامي لكل المشاريع الحكومية. اللجنة تُقصي العروض غير الملتزمة بـ ECC.
7.1 تقييم الوضع الراهن
- تحليل محاولات الاختراق السابقة وتعطيل المنظومة الرقمية.
- تحديد الثغرات الإلكترونية والثغرات الناتجة عن الأخطاء البشرية.
- تقييم بنية النظم الحالية مقابل ECC-1:2018.
7.2 الخطّة الاستراتيجية
| المحور | الإجراءات |
|---|
| تحديث أنظمة التشغيل والأجهزة | Patch Management Plan + EOL replacement. |
| تحديث الاستضافة وشهادات الأمان | SSL/TLS Renewal + Certificate Pinning. |
| تشفير الاتصالات | HTTPS فقط + مفاتيح تشفير ند لـند (E2E). |
| إدارة كلمات المرور | تقييم استعمال 1Password / KeePass / Vault. |
| الاستضافات السحابية | تحديث خطط استضافة آمنة + Saudi Data Residency. |
| النسخ الاحتياطي | 3-2-1 Backup Rule + Tape encryption. |
| البرمجيات مفتوحة المصدر | تقييم جدوى وكلفة وأمان (وفق قرار مجلس الوزراء 14). |
7.3 تأهيل الكوادر البشرية
- تحليل بيانات الاستخدام والاختراقات للسنتين السابقتين.
- تخطيط دورة "المبادئ الأساسية للأمن السيبراني" لجميع الموظفين.
- تخطيط دورة لتأهيل ضابط أمن إلكتروني متخصّص في كل إدارة.
- تنفيذ تمارين Phishing Simulation الدورية.
8. البرمجيات الحكومية مفتوحة المصدر
إرشاد إلزامي: عند بناء برمجيات للجهات الحكومية، يجب الالتزام بـ قواعد تنظيم البرمجيات الحكومية الحرة ومفتوحة المصدر (قرار مجلس الوزراء رقم 14 وتاريخ 1443/1/2 هـ). البديل المفتوح المصدر مفضّل ويتطلّب مبرّرات قوية لاستخدام برمجيات مغلقة.
| المتطلب | الإجراء |
|---|
| تفضيل البرمجيات مفتوحة المصدر | قائمة مقارنة Open vs. Proprietary لكل مكوّن + مبرّرات الاختيار. |
| نشر الكود المصدري | تسليم المستودع كاملاً للجهة الحكومية + توثيق فنّي. |
| الاحتفاظ بالملكية الفكرية | الجهة الحكومية تملك الكود الناتج بالكامل. |
| التوثيق | دليل المستخدم + دليل المطوّر + دليل العمليات (Operations Manual). |
9. الجدول الزمني (مخطّط جانت)
| المرحلة |
الأسبوع 1 | الأسبوع 2 | الأسبوع 3 | الأسبوع 4 | الأسبوع 5 | الأسبوع 6 |
| التحليل والتصميم | █ | █ | | | | |
| التطوير (Sprint 1-2) | | █ | █ | █ | | |
| الاختبار + UAT | | | | █ | █ | |
| اختبار اختراق + إصلاحات | | | | | █ | |
| النشر + التدريب + التسليم | | | | | | █ |
10. الهيكل التنظيمي للمشروع
| الوظيفة | العدد | المسؤوليات |
|---|
| مدير المشروع (PM) | 1 | إدارة العقد، التواصل مع الجهة، إدارة المخاطر. |
| مهندس بنية حلول (Solution Architect) | 1 | التصميم المعماري + اعتماد التقنيات. |
| قائد الفريق التقني (Tech Lead) | 1–2 | إشراف على التطوير + مراجعة الكود. |
| مطوّرو Frontend | 2–4 | — |
| مطوّرو Backend | 2–4 | — |
| مهندس قواعد بيانات (DBA) | 1 | — |
| مهندس DevOps | 1 | CI/CD + استضافة + مراقبة. |
| مهندس أمن سيبراني (Security Engineer) | 1 | اعتماد ECC + اختبار اختراق. |
| محلل QA | 1–2 | — |
| محلل أعمال (BA) | 1 | توثيق المتطلبات + UAT. |
| أخصائي الدعم الفني | 1–3 | Help Desk بعد الإطلاق. |
11. السير الذاتية + المؤهلات الإلزامية
| الوظيفة | المؤهلات الإلزامية |
|---|
| مدير المشروع | بكالوريوس + PMP/Prince2 + 7 سنوات خبرة في IT. |
| مهندس بنية حلول | بكالوريوس CS/SE + TOGAF أو AWS/Azure Architect + 8 سنوات. |
| مهندس أمن سيبراني | CISSP / CEH / OSCP + خبرة 5 سنوات + شهادة معتمدة من NCA. |
| مهندس DevOps | AWS/Azure/GCP DevOps + Docker/Kubernetes + 4 سنوات. |
| قائد فريق Backend | Java/.NET Senior + 6 سنوات + خبرة في الأنظمة الحكومية. |
12. خطة ضمان الجودة (QA/QC)
- تطبيق ISO 9001 + ISO 25010 (جودة المنتج البرمجي).
- مراجعة الكود الإلزامية (Code Review) قبل أي merge.
- أتمتة الاختبارات (Automated Tests) ≥ 80% تغطية.
- SonarQube لتحليل جودة الكود + الثغرات.
- تقارير أسبوعية عن مؤشّرات الجودة.
13. خطة إدارة المخاطر
| المخاطرة | التخفيف |
|---|
| تأخّر متطلبات الجهة | اجتماعات أسبوعية + اعتماد تدريجي بأقسام. |
| اختراق سيبراني | اختبار اختراق دوري + خطة استجابة (IRP). |
| عدم استقرار الأداء بعد الإطلاق | اختبار حمل قبل النشر + مراقبة 24/7. |
| فقدان الكوادر الفنّية | توثيق تفصيلي + تدريب أكثر من شخص لكل دور. |
14. خطة الاستجابة للحوادث السيبرانية (IRP)
- اكتشاف وتصنيف الحادث (تشغيل SIEM/SOC).
- عزل النظم المتأثّرة فوراً.
- إخطار الهيئة الوطنية للأمن السيبراني (NCA) خلال 72 ساعة.
- تحليل جذور المشكلة (Root Cause Analysis).
- الاستعادة + الدروس المستفادة.
15. خطة التدريب ونقل المعرفة
| البرنامج | الفئة | المدّة |
|---|
| تدريب على رأس العمل (OJT) | فريق الجهة | طوال المشروع |
| دورة استخدام النظام للمستخدمين النهائيين | الموظفون | 3 أيام عمل وفق برنامج العمل بالكرّاسة |
| دورة Admin/DevOps | فريق IT للجهة | 5 أيام |
| دورة Security Awareness | جميع الموظفين | يوم واحد + Phishing Sim |
16. مؤشّرات الأداء (SLAs)
| المؤشّر | المستهدف |
|---|
| توفّر النظام (Uptime) | ≥ 99.5% شهرياً |
| زمن الاستجابة للأعطال الحرجة (P1) | ≤ 15 دقيقة |
| زمن إصلاح P1 | ≤ 4 ساعات |
| زمن الاستجابة لـ P2 | ≤ 60 دقيقة |
| زمن إصلاح P2 | ≤ 24 ساعة |
| عدد الثغرات الحرجة المكتشفة بعد الإطلاق | 0 |
| رضا المستخدمين | ≥ 90% |
17. الالتزام بالمحتوى المحلي
| البند | القيمة |
|---|
| خط الأساس على مستوى المنشأة | … % |
| النسبة المستهدفة في العقد | … % |
| كيف ستحقّقها | توطين فرق التطوير ≥ 50%، استضافة على سحاب وطنية، استخدام أدوات وطنية مثل Tuwaiq/Lean/Sahab |
المنتجات الإلزامية في IT: أجهزة من مصانع وطنية معتمدة + خدمات سحابية محلية + استشارات من شركات وطنية مصنّفة.
18. المرفقات
- السجل التجاري + التراخيص (CITC إن وجد).
- شهادة الزكاة + التأمينات + التوطين.
- شهادات ISO 27001 / ISO 20000 / ISO 9001 / CMMI.
- اعتمادات الشركاء (Microsoft / AWS / Cisco / Oracle).
- شهادات الكوادر (PMP / CISSP / CEH / TOGAF).
- شهادة المحتوى المحلي + خط الأساس.
- شهادات إنجاز مشاريع IT سابقة.
- السير الذاتية الكاملة للكادر الرئيسي.
- خطاب تقديم العرض + نموذج التعهّد بالمحتوى المحلي.