المرسوم 25-320: تصنيف البيانات في الجزائر

نُشر في يونيو 27, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

ينشئ المرسوم الرئاسي رقم 25-320 المؤرخ في 30 ديسمبر 2025 أول إطار وطني لحوكمة البيانات في الجزائر، يحدد كيفية تصنيف الإدارات العمومية للبيانات وفهرستها وتبادلها بشكل آمن. سيرث المزودون من القطاع الخاص الذين يطورون البرمجيات أو يستضيفون الأنظمة أو يعالجون المعلومات للقطاع العام قواعد التصنيف هذه عبر عقودهم، في بلد صد 70 مليون هجمة سيبرانية في عام 2024.

الخلاصة: ابنِ هذا الفصل مخطط تصنيف بيانات من أربعة مستويات وفهرسًا للبيانات لتجاوز مراجعات أمن الصفقات العمومية بأسرع وقت.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالية
▾

Assessment: عالية. Review the full article for detailed context and recommendations.

الأفق الزمني للعمل
6-12 شهرًا
▾

Assessment: 6-12 شهرًا. Review the full article for detailed context and recommendations.

الأطراف المعنية الرئيسية
مديرو تقنية المعلومات، مسؤولو أمن المعلومات، مسؤولو حماية البيانات، مؤسسو SaaS، مُدمِجو القطاع العام، مزودو الاستضافة
▾

Assessment: مديرو تقنية المعلومات، مسؤولو أمن المعلومات، مسؤولو حماية البيانات، مؤسسو SaaS، مُدمِجو القطاع العام، مزودو الاستضافة. Review the full article for detailed context and recommendations.

نوع القرار
استراتيجي
▾

Assessment: استراتيجي. Review the full article for detailed context and recommendations.

مستوى الأولوية
عالٍ
▾

Assessment: عالٍ. Review the full article for detailed context and recommendations.

خلاصة سريعة: إذا كانت شركتك تبيع البرمجيات أو الاستضافة أو معالجة البيانات لأي وزارة أو بنك عمومي أو مؤسسة عمومية جزائرية، فابنِ هذا الفصل مخطط تصنيف بيانات رباعي المستويات وفهرسًا للبيانات. سيصل إليك المرسوم 25-320 عبر عقودك، والمزودون الذين يصنّفون مبكرًا سيجتازون مراجعات أمن الصفقات العمومية بأسرع وقت.

مرسوم هادئ بعواقب كبيرة على المزودين

في حين ذهبت معظم العناوين الرئيسية حول الأمن السيبراني في الجزائر إلى المرسوم الرئاسي رقم 26-07 — نص يناير 2026 الذي يلزم كل مؤسسة عمومية بإنشاء خلية مخصصة للأمن السيبراني — مرّ نص ثانٍ، لا يقل أهمية، بهدوء أكبر بكثير. يُنشئ المرسوم الرئاسي رقم 25-320 المؤرخ في 30 ديسمبر 2025 إطارًا وطنيًا لحوكمة البيانات يحدد، للمرة الأولى، كيف ستقوم الدولة الجزائرية بـتصنيف بياناتها وفهرستها ونقلها بشكل آمن بين الإدارات، وفقًا لـدليل خبراء CMS حول حماية البيانات في الجزائر.

على الورق، يستهدف المرسوم الإدارات العمومية. أما في الممارسة، فيمتد عميقًا داخل القطاع الخاص. سيرث المُدمِجون ومزودو الاستضافة ومعالجو الأجور ومزودو SaaS الذين يبيعون للوزارات والبنوك العمومية والمؤسسات العمومية قواعد التصنيف هذه عبر عقودهم. فإذا كان على عميل عمومي وضع علامة “مقيّد” على سجلات مواطنيه، فإن المزود الذي يخزّن تلك السجلات أو ينقلها أو ينسخها احتياطيًا عليه احترام العلامة نفسها — مع ضوابط الوصول والتشفير والتسجيل التي تتضمنها.

هذه هي اللحظة المناسبة للتقدم على المنحنى. يُعد تصنيف البيانات من تخصصات الأمن النادرة التي تموّل نفسها بنفسها: فهو يخبرك بدقة عن الأنظمة التي تستحق أقوى دفاعاتك وتلك التي يمكن أن تعمل بإعداد أخف. وبالنسبة لسوق جزائري استوعب أكثر من 13 مليون محاولة تصيّد في عام واحد، وفقًا لـأرقام Kaspersky التي نقلتها L’Algérie Aujourd’hui، فإن معرفة مكان وجود بياناتك الأثمن هي الفرق بين حادثة محتواة وخرق كارثي.

ماذا يتطلب المرسوم 25-320 فعليًا

يندرج المرسوم ضمن مجموعة متماسكة من نصوص أواخر 2025 وأوائل 2026 التي تشكل معًا البنية الحديثة للأمن السيبراني في الجزائر. فالمرسوم رقم 25-321، الموقّع في اليوم نفسه، صادق على الاستراتيجية الوطنية للأمن السيبراني 2025-2029. وأنشأ المرسوم رقم 26-07 المؤرخ في 7 يناير 2026 الخلايا التشغيلية للأمن السيبراني داخل المؤسسات العمومية. أما المرسوم الأقدم رقم 20-05 — الصادر أصلًا في يناير 2020 والمعدّل في 10 نوفمبر 2025 — فيحدد هيئات الحوكمة، مجلس التنسيق الاستراتيجي والوكالة الوطنية لأمن أنظمة المعلومات (ANSSI) التي تعمل تحت إشراف وزارة الدفاع الوطني.

يشكّل المرسوم 25-320 طبقة “البيانات” في هذه البنية. وأفكاره الأساسية بسيطة:

التصنيف. تحصل كل مجموعة بيانات تحتفظ بها إدارة عمومية على علامة حساسية. ورغم أن المستويات الداخلية للمرسوم ذات طابع إداري، إلا أنها تتوافق تمامًا مع المخطط رباعي المستويات الذي يستخدمه بقية العالم بموجب معيار ISO 27001 — عام، داخلي، سري، ومقيّد، كما يصف دليل التصنيف 2026 من Konfirmity. فالبيان الصحفي عام؛ والإجراء الداخلي داخلي؛ وملف الضريبة الخاص بالمواطن سري أو مقيّد.

الفهرسة. يجب على الإدارات الاحتفاظ بجرد لما تحتفظ به من بيانات وأين توجد. فلا يمكن حماية — أو تصنيف — بيانات لم تُجرَد.

التشغيل البيني الآمن. عندما تنتقل البيانات بين الإدارات، يجب أن تنتقل عبر قنوات مُتحكَّم بها ومُصادَق عليها تتناسب مع تصنيفها. فلا يمكن لسجل مقيّد أن يسلك المسار العادي نفسه الذي يسلكه إشعار عام.

والارتباط بالقانون القائم صريح. يربط المرسوم حوكمة البيانات بكل من الأمن السيبراني وحماية البيانات الشخصية بموجب القانون 18-07 المؤرخ في 10 يونيو 2018، الذي شدّده القانون رقم 25-11 المؤرخ في 24 يوليو 2025 بمسؤولي حماية بيانات إلزاميين وسجلات معالجة ومهلة إخطار بالخروقات مدتها خمسة أيام. ويمكن للسلطة الوطنية لحماية المعطيات ذات الطابع الشخصي (ANPDP)، التي تأسست في أغسطس 2022، فرض غرامات وفي الحالات الخطيرة عقوبات قد تصل إلى عقوبات جزائية — لذا فإن مجموعة بيانات شخصية مصنّفة بشكل خاطئ ليست مجرد مشكلة معلوماتية، بل تعرّض قانوني.

لماذا لا يستطيع المزودون الانتظار حتى يُجبرهم العقد

ثلاث قوى تجعل تصنيف البيانات أمرًا ملحًا للمزودين الجزائريين الآن، حتى قبل أن يظهر بند محدد في مناقصة.

أولًا، حجم التهديدات حقيقي ومتصاعد. صدّت الجزائر أكثر من 70 مليون هجمة سيبرانية في عام 2024 وتُصنّف ضمن الدول العشرين الأكثر استهدافًا عالميًا، وفقًا للأرقام التي نقلتها Africa Cybersecurity Mag. فالمهاجمون لا يهدرون جهدهم على الكتيبات العامة؛ بل يطاردون المستويين السري والمقيّد. والمزود الذي لم يفصل بين هذه المستويات يدافع عن كل شيء بالتساوي — أي أنه لا يدافع عن أي شيء جيدًا.

ثانيًا، التصنيف شرط مسبق لكل ضابط آخر تقريبًا. فلا يمكنك تطبيق تشفير أو إدارة وصول أو قواعد احتفاظ متناسبة حتى تعرف حساسية السجل. ويأتي ضابط تصنيف المعلومات في ISO 27001 (الملحق A 5.12) مبكرًا في أي جهد للحصول على الشهادة تحديدًا لأن بقية المعيار يعتمد عليه، كما يوضح دليل التطبيق من Advisera. والشركة الصغيرة والمتوسطة الجزائرية التي تسعى للحصول على شهادة ISO 27001 لكسب عقود أكبر ستصطدم بهذا المتطلب من اليوم الأول.

ثالثًا، أصبح القطاع العام الآن مشتريًا يطرح الأسئلة. فمع إلزام خلايا الأمن السيبراني في كل مؤسسة عمومية بموجب المرسوم 26-07، أصبح لدى من يكتبون المناقصات بشكل متزايد نظير أمني يراجع كيفية تعامل المزودين مع البيانات. والمزود القادر على تقديم مخطط تصنيف نظيف وفهرس بيانات وضوابط وصول متسقة سيجتاز تلك المراجعة بسرعة. أما من يرتجل فلن يجتازها.

ما الذي ينبغي للمزودين الجزائريين فعله الآن

1. بناء مخطط تصنيف رباعي المستويات هذا الفصل

اعتمد نموذجًا بسيطًا وقابلًا للدفاع: عام، داخلي، سري، مقيّد. اكتب سياسة من صفحة واحدة تعرّف كل مستوى بأمثلة جزائرية ملموسة — ملف PDF تسويقي عام، ومذكرة موارد بشرية داخلية داخلية، والسجلات المالية لعميل سرية، وبيانات هوية أو صحة المواطنين مقيّدة. اجعل المخطط بسيطًا بما يكفي ليتمكن موظف غير تقني من تطبيقه بشكل صحيح. تُعد المستويات الأربعة نقطة التوازن الموصى بها عبر ممارسة ISO 27001؛ فالمزيد من المستويات يخلق ارتباكًا، والأقل يترك البيانات الحساسة دون حماية كافية. عيّن مالكًا للبيانات لكل نظام رئيسي يكون مسؤولًا عن قرارات وضع العلامات، واجعل التصنيف حقلًا إلزاميًا عند إنشاء أي مجموعة بيانات جديدة.

2. جرد وفهرسة بياناتك قبل أن تفعل ذلك المناقصة

لا يمكنك تصنيف ما لم تعثر عليه. نفّذ عملية اكتشاف عبر جميع أنظمتك — قواعد بيانات الإنتاج، والنسخ الاحتياطية، والأقراص المشتركة، وأرشيفات البريد الإلكتروني، وأجهزة الحاسوب المحمولة للموظفين الذين يتعاملون مع بيانات العملاء. أنتج فهرسًا يسجّل، لكل مجموعة بيانات، محتواها ومستوى تصنيفها ومكان تخزينها ومن يمكنه الوصول إليها ومدة الاحتفاظ بها. هذا الفهرس هو بالضبط ما يتوقعه المرسوم 25-320 من الإدارات العمومية، والمزود الذي يمتلكه بالفعل يدخل مراجعات الصفقات العمومية وقد أنجز أصعب مُخرَج بالفعل. راجع الفهرس مرة واحدة سنويًا على الأقل وكلما تغيّر نظام.

3. اربط الضوابط بالعلامات، لا بكل نظام بالتساوي

لا قيمة للتصنيف إذا حصلت البيانات السرية على الحماية نفسها التي تحصل عليها صفحة ويب عامة. اربط كل مستوى بخط أساس محدد من الضوابط. يجب أن تتطلب البيانات المقيّدة والسرية التشفير أثناء التخزين والنقل، والمصادقة متعددة العوامل، والوصول القائم على الأدوار المحصور في الموظفين الذين يحتاجونه فعليًا، والتسجيل الكامل لعمليات الوصول. وتحتاج البيانات الداخلية إلى ضابط وصول أساسي ونسخ احتياطية. وتحتاج البيانات العامة إلى حماية للسلامة بحيث لا يمكن العبث بها. يتيح هذا النهج المتناسب لشركة صغيرة ومتوسطة جزائرية محدودة الموارد إنفاق ميزانية الأمن حيث تهم — حماية الـ5% من البيانات التي قد تسبب ضررًا حقيقيًا إذا تسرّبت، بدلًا من المبالغة في حماية كل شيء. كما يُنتج بالضبط الأدلة التي ستطلبها خلية الأمن السيبراني في القطاع العام.

أين يندرج هذا في الصورة السيبرانية الأوسع للجزائر

يُكمل المرسوم 25-320 منطقًا بدأ بالاستراتيجية الوطنية للأمن السيبراني 2025-2029 وخلايا الأمن السيبراني في المرسوم 26-07. حددت الاستراتيجية الاتجاه، وأعطت الخلايا المؤسسات أيدٍ للعمل، وتمنحها حوكمة البيانات خريطة لما تدافع عنه. وبالنسبة للشركات الجزائرية، هذه فرصة حقيقية: فالشركات التي تستوعب تصنيف البيانات الآن ستكون تلك التي يأتمنها العملاء العموميون على أنظمتهم الأكثر حساسية خلال السنوات الخمس المقبلة.

تصنيف البيانات هو الأساس غير اللامع الذي يجعل كل استثمار أمني آخر مُجديًا. فهو منخفض التكلفة عند البدء، ويتوسع مع نمو الشركة، ويتحول مباشرة إلى ميزة في الصفقات العمومية مع تشديد القطاع العام لمتطلباته تجاه المزودين. والمزودون الجزائريون الذين يتعاملون مع المرسوم باعتباره سبقًا — بدلًا من انتظار بند تعاقدي يجبرهم على العمل — سيكونون من يكتبون المراجع التي يسعى المنافسون جاهدين لمجاراتها.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

هل ينطبق المرسوم 25-320 مباشرة على الشركات الخاصة؟

ليس مباشرة — فالمرسوم يحكم الإدارات العمومية. لكن متطلباته تصل إلى المزودين من القطاع الخاص عبر العقود. فعندما تصنّف وزارة أو بنك عمومي بياناته على أنها سرية أو مقيّدة، يجب على المزودين الذين يخزّنون تلك البيانات أو ينقلونها أو يعالجونها احترام التصنيف نفسه وتطبيق ضوابط متسقة. وعمليًا، ينبغي لأي شركة تبيع للقطاع العام الاستعداد للامتثال.

ما الفرق بين تصنيف البيانات وقواعد الإخطار بالخروقات في القانون 25-11؟

يعملان معًا لكنهما يحلّان مشكلتين مختلفتين. يقوم تصنيف البيانات، محور المرسوم 25-320، بفرز البيانات حسب الحساسية حتى تتمكن من حمايتها بشكل متناسب. ويحكم القانون رقم 25-11 المؤرخ في 24 يوليو 2025 ما يحدث بعد الخرق — إذ يتطلب إخطار ANPDP خلال خمسة أيام ويلزم بمسؤولي حماية البيانات وسجلات المعالجة. التصنيف الجيد يقلل من خطر الخرق؛ وتنطبق قواعد الإخطار عند وقوع خرق رغم ذلك.

كم عدد مستويات التصنيف التي ينبغي لشركة صغيرة ومتوسطة جزائرية استخدامها؟

أربعة هي المعيار الموصى به: عام، داخلي، سري، ومقيّد. وهذا يتوافق مع ممارسة ISO 27001 ويوازن بين البساطة والدقة. فالمستويات الأقل تترك البيانات الحساسة دون حماية كافية؛ والمستويات الأكثر تربك الموظفين غير التقنيين الذين يطبّقون العلامات فعليًا يوميًا. ابدأ بأربعة، وعرّف كل منها بأمثلة ملموسة، ولا تعدّل إلا إذا ظهرت حاجة واضحة.