top of page

עידן חדש להגנת הפרטיות – פורסמה גרסתו החדשה של תקן הגנת הפרטיות (ISO 27701)

  • Danny Abramovich
  • 15 באוק׳
  • זמן קריאה 3 דקות

מהו תקן ISO 27701?

התקן מגדיר את הדרישות וההנחיות להקמת מערכת ניהול מידע לפרטיות, או PIMS

(ר"ת של Privacy Information Management System). זוהי מערכת ניהול המתמקדת בהגנה על מידע אישי מזוהה, או PII (ר"ת של Personal Identification Information), ובהוכחת אחריות (Accountability) כלפי רגולטורים, שותפים עסקיים, ולקוחות.

התקן משתייך למשפחת תקני ISO 27000 ומשלים את אבטחת המידע בממשל, סיכונים ובקרות פרטיות –

הן עבור בקרי מידע (Data Controllers) והן עבור מעבדי מידע (Data Processors).


ree

מהם השינויים המהותיים בגרסה החדשה של התקן?


מעמד ופרסום:

המהדורה השנייה (ISO 27701:2025), נמצאת בשלבי פרסום סופיים (אוקטובר 2025) ומחליפה את המהדורה הקודמת משנת 2019.


תקן עצמאי (לא עוד "הרחבה" לתקן ISO 27001):

בעוד שברגסתו הקודמת (2019) התקן הוגדר כהרחבה לתקן ISO 27001, בגרסתו החדשה (2025), התקן הופך להיות תקן עצמאי לחלוטין. המשמעות: ניתן יהיה להסמיך ארגון ישירות ל-PIMS, גם אם אין לו תעודה לתקן ISO 27001, כל עוד קיימת מערכת ניהול אבטחת מידע תומכת.


מבנה מודרני (סעיפים 4-10):

בגרסה החדשה של התקן מאמצת את המבנה האחיד של תקני הניהול (High-Level Structure) – בדומה לתקנים אחרים, כגון ISO 27001, ISO 9001, ISO 42001, - ומכילה דרישות ניהוליות מלאות בסעיפים 4-10.


ניהול סיכוני פרטיות ואבטחת מידע:

הדגש עבר להערכת סיכוני פרטיות וטיפול בהן, כולל חיבור ישיר בין פרטיות לבין אבטחת מידע. נדרש לתעד תוכנית אבטחת מידע תומכת ביעדי הפרטיות.


נספחים מעודכנים – בקרות והנחיות:

  • נספח A – מחולק לבקרות עבור בקרי מידע (A.1), מעבדי מידע (A.2), ובקרות אבטחת מידע (A.3).

  • נספח B – מספק הנחיות יישום לבקרות שנבחרו.

הערה: הרשימה אינה סופית וניתן להוסיף בקרות לפי הצורך.


עדכון שם ומונחים:

כעת שמו המלא של התקן הינו: Information Security, Cybersecurity and Privacy Protection – Privacy Information Management Systems – Requirements and Guidance.

ומונחי התקן עודכנו כדי להתאים לשפת ניהול מודרנית.

תקן נלווה חדש – ISO 27706:

תקן ISO 27706 מגדיר דרישות לגופים המוסמכים לבצע ביקורת והסמכה ל-PIMS. הוא צפוי להתפרסם אף הוא בסוף 2025, כך שתוקם מסגרת הסמכה רשמית.

 

יתרונות למימוש התקן


  • מסלול הסמכה ישיר: אין צורך בתעודת ISO 27001 מוקדמת.

  • שילוב קל יותר עם תקנים אחרים: המבנה האחיד מאפשר ניהול אינטגרטיבי עם מערכות איכות, אבטחה, ובינה מלאכותית.

  • בהירות תפקידים: נספחי A ו-B מחלקים במדוייק בין דרישות בקרי ומעבדי מידע.

  • אמון ועמידה בדרישות רגולטוריות: עמידה בתקן מוכיחה אחריות מול רגולטורים ולקוחות (LGPD, CCPA, GDPR, ועוד).

  • עתידיות וגמישות – התקן המעודכן מתייחס למחשוב ענן, שרשרת אספקה, ולניהול פרטיות בעידן טכנולוגי משתנה.

 

כיצד ניתן לקבל הסמכה לגרסתו החדשה של התקן?


בחירת מסלול ההסמכה

מערכת PIMS עצמאית או משולבת עם תקנים אחרים, כגון ISO 27001 (אבטחת מידע) או ISO 42001  (AI).


הגדרת תחום וסמכויות:

זיהוי סוגי המידע האישי המעובדים, תחומי פעילות, ומעמד הארגון כבקר מידע (Data Controller) או מעבד מידע (Data processor).


הקמת מערכת הניהול (סעיפים 4-10):

  • הקשר של הארגון, מדיניות פרטיות, אחריות הנהלה

  • ניהול סיכונים

  • תפעול, מודעות והדרכות, תיעוד, ניהול ספקים

  • ביקורת פנימית, סקר הנהלה, פעולות מתקנות ושיפור מתמיד


בחירת בקרות ויישומן:

בחירת בקרות רלוונטיות מתוך נספח A, ושילובן בתוכנית העבודה.


מדידה ותיעוד:

הוכחת פעילות באמצעות רשומות: בקשות נושאי מידע, דיווח אירועים, ניהול הסכמים חוצי גבולות, הדרכות וכדומה.


ביקורת פנימית והיערכות להסמכה:

ביצוע ביקורת פנימית מלאה והכנת ראיות לביקורת ההסמכה החיצונית.

תוכנית מעבר מגרסת 2019 לגרסה החדשה של 2025:

ארגונים שכבר מוסמכים לגרסתו הקודמת של התקן, יבצעו מיפוי פערים ויתאימו את התיעוד והבקרות למבנה החדש.

 

אתגרים שצריכים להתחשב בהם


  • היעדר ISMS קיים: יש להוכיח קיומה של תוכנית אבטחת מידע גם ללא תקן ISO 27001.

  • מורכבות תפקידים: שילוב בין בקר מידע למעבד מידע מחייב ניהול מדוייק של התהליכים, הבקרות והתיעוד התומך.

  • ענן והעברת מידע בינלאומית: נדרש מיפוי מלא של זרימת המידע ושרשת האספקה של הפעילות העסקית בארגון.

  • הסמכה ותחזוקה: יש לעקוב אחר הנחיות רשמיות של גופי ההסמכה עם פרסום תקן ISO 27706.

  • עמידה ברגולציות שונות: התאמת בקרות לתקנות פרטיות גלובליות מחייבת עדכונים שוטפים.

 

כיצד TITANS SECURITY יכולים לסייע לארגון שלכם לעמידה בדרישות התקן?


  • אסטרטגיית PIMS והגדרת תיחום הפרויקט: ניתוח הפעילות העסקית של הארגון, זיהוי ומיפוי סוגי מידע אישי ותחומי שיפוט.

  • ניהול סיכוני פרטיות ואפיון בקרות: ביצוע הערכת סיכונים, תוכנית טיפול בסיכונים ובניית בקרות ייעודיות לבקר מידע או מעבד מידע (או משולב).

  • תיעוד וראיות: הכנת מסמכי מדיניות, נהלים, טפסים, תיעוד ROPA/DPIA, והצהרת ישימות לבקרות (SOA).

  • יישום והכנה להסמכה: הדרכת עובדים, ביצוע ביקורת פנימית, וליווי עד לקרבת התעודה.

  • מעבר מהגרסה הישנה: ניתוח פערים ותוכנית מעבר מסודרת לגרסתו החדשה של התקן (ISO 27701:2025).


חברת TITANS SECURITY הינה חלוצה ומובילה בארץ ובעולם בתחום הסייבר והגנת הפרטיות, ומלווה ארגונים רבים משלב התכנון ועד להסמכה, ומסייעת להקים מערכת PIMS יעילה, תואמת GDPR ובעלת ערך עסקי ממשי.


מוזמנים ליצור איתנו קשר, ואנחנו נשמח ללוות אתכם ולהכין אתכן להסמכה.

 
 
 

תגובות

bottom of page