ייעוץ וליווי להסמכה לתקן ISO 27701 – ניהול פרטיות מידע (PIMS)

להפוך דרישות פרטיות לניהול סיכונים אמיתי

בעידן שבו מידע אישי הוא נכס עסקי רגיש, ארגונים כבר לא יכולים להסתפק באבטחת מידע בלבד.
תקן ISO 27701 מרחיב את ISO 27001 ומוסיף שכבת ניהול פרטיות מלאה – כזו שמחברת בין רגולציה, תהליכים ובקרה בפועל.

אנחנו באינפוגארד מלווים ארגונים בתרגום דרישות פרטיות למנגנון ניהולי ישים – כזה שמייצר שליטה, שקיפות ויכולת עמידה בביקורות לאורך זמן.

מה זה ISO 27701 ולמה הוא חשוב

ISO 27701 הוא תקן בינלאומי לניהול פרטיות מידע (PIMS – Privacy Information Management System), המהווה הרחבה ל־ISO 27001 ו־ISO 27002.

התקן מאפשר לארגון:

• לנהל מידע אישי בצורה מבוקרת ושקופה
• להגדיר אחריות ברורה על מידע אישי
• לעמוד בדרישות רגולטוריות כמו GDPR וחוק הגנת הפרטיות
• להוכיח ציות (Accountability) מול לקוחות, רגולטורים וספקים

בעולם שבו פרטיות היא דרישת סף עסקית, זה כבר לא Nice to Have, אלא תנאי לפעילות.

מה הערך שלו לארגון

כל ארגון מעבד מידע המאפשר זיהוי אישי (PII) – של לקוחות, עובדים או שותפים. תקן ISO 27701 מהווה הרחבה ל־ISO 27001 ומוסיף שכבת ניהול פרטיות (PIMS), הכוללת דרישות להקמה, יישום ושיפור מתמיד של ניהול מידע אישי כחלק ממערכת אבטחת המידע הארגונית.

הסמכה לתקן מעידה כי הארגון לא רק מאבטח מידע – אלא מנהל את פרטיותו בצורה מבוקרת ובהתאם לרגולציות.

הערך המוסף:
שליטה בזרימת מידע, זמינות, מניעת שימוש לא מורשה, הגבלת גישה לגורמים מורשים בלבד ועמידה בדרישות חוק ורגולציה.

איך הכל מתחבר: ISMS + PIMS + PII

כדי להבין את הערך של ISO 27701, חשוב לראות את התמונה המלאה:

ISMS (Information Security Management System) הוא הבסיס:
מערכת לניהול אבטחת מידע שמגינה על כלל נכסי המידע בארגון ומבטיחה סודיות, שלמות וזמינות.

בתוך עולם זה קיים PII (Personally Identifiable Information):
מידע אישי המאפשר זיהוי אדם, כמו שם, אימייל, טלפון או נתוני זיהוי אחרים, הדורש הגנה מחמירה יותר.

על גבי זה מתווסף PIMS (Privacy Information Management System):
מערכת לניהול פרטיות, שמרחיבה את ה־ISMS ומגדירה כיצד אוספים, משתמשים, מנהלים ומגנים על מידע אישי.

במילים פשוטות:
ISO 27001 מנהל אבטחת מידע
ISO 27701 מוסיף שיכבת התייחסות לניהול הגנת הפרטיות על מידע אישי

השילוב בין שלושת המרכיבים מאפשר לארגון לנהל מידע בצורה בטוחה, רגולטורית ומבוקרת, ולהוכיח זאת בפועל.

מעבר מ־ISO 27001 ל־ISO 27701 – הרחבת ההגנה לניהול פרטיות

ארגונים שכבר מחזיקים בתקן ISO 27001 נהנים מנקודת פתיחה מצוינת להרחבה ל־ISO 27701. התשתית של ניהול אבטחת מידע כבר קיימת, ולכן המעבר מתמקד בהוספת שכבת פרטיות: מיפוי מידע אישי (PII), הגדרת אחריות (Controller / Processor), התאמת נהלים לזכויות נושאי מידע והטמעת בקרות ייעודיות לניהול פרטיות.

הערך המרכזי במהלך הוא מעבר מאבטחת מידע בלבד לניהול כולל של מידע ופרטיות. זה מאפשר עמידה בדרישות רגולטוריות כמו GDPR וחוק הגנת הפרטיות, חיזוק אמון מול לקוחות ושותפים, והצגת יכולת ציות מבוססת (Accountability). עבור ארגונים רבים, זהו לא רק שדרוג תקני – אלא מהלך אסטרטגי שמפחית סיכונים ומאפשר צמיחה עסקית בטוחה.

האתגר הארגוני: שמירה על פרטיות היא לא רק מדיניות

ארגונים רבים מחזיקים במדיניות פרטיות, אך בפועל:

• אין מיפוי מלא של מידע אישי
• אין הבנה מי ניגש למה ולמה
• אין תהליכים לניהול זכויות נושאי מידע (Data Subjects)
• אין Evidence מסודר לביקורות
• אין חיבור בין IT, משפטי והנהלה

התוצאה: חשיפה רגולטורית, סיכונים עסקיים ופגיעה באמון ובמוניטין.

מה אנחנו עושים בפועל

1. מיפוי מידע אישי (Data Mapping)

זיהוי סוגי מידע, מקורות, מערכות, משתמשים וזרימות מידע בארגון

2. הגדרת תפקידים ואחריות

חלוקת אחריות בין גורמים בארגון (DPO, IT, משפטי, הנהלה)

3. סקר פערים (Gap Analysis)

השוואה בין מצב קיים לדרישות ISO 27701 והרגולציות הרלוונטיות

4. בניית מדיניות ונהלים

כתיבה והתאמה של מסמכי פרטיות, נהלים ותהליכים

5. הטמעה ובקרה

יישום תהליכים בשטח, חיבור למערכות קיימות ובניית מנגנוני בקרה

6. ניהול ראיות (Evidence)

יצירת תיעוד מסודר שמאפשר מעבר ביקורות ללא לחץ

7. מוכנות להסמכה

ליווי מלא עד שלב המבדק ותיקון ממצאים

מה אתם מקבלים בסוף התהליך

• מערכת ניהול פרטיות מידע (PIMS) מלאה
• מיפוי מידע אישי עדכני ומבוקר
• נהלים ומדיניות מותאמים לארגון
• תהליכים לניהול זכויות נושאי מידע
• Evidence מוכן לביקורת
• מוכנות להסמכה לתקן ISO 27701

הקשר בין ISO 27701 ל־ISO 27001

ISO 27701 לא עומד לבד – הוא נשען על ISO 27001.

המשמעות:

• אם יש לכם ISO 27001 – ניתן להרחיב ל־27701
• אם אין – נדרש לבנות בסיס של ISMS
• התקן מחבר בין אבטחת מידע לבין פרטיות

זהו המעבר מ־Security בלבד ל-Privacy + Governance מלא

למי זה מתאים

• ארגונים שמנהלים מידע אישי רגיש
• חברות שעובדות עם לקוחות באירופה (GDPR)
• ארגונים עם דרישות פרטיות מחמירות (ביטוח, פיננסים, בריאות)
• חברות SaaS וטכנולוגיה
• ארגונים שעוברים ביקורות ספקים

למה לעבוד איתנו

• לא רק תקן – תהליך ניהולי שמחזיק לאורך זמן
• שילוב בין פרטיות, אבטחת מידע ורגולציה
• ניסיון בליווי תקני ISO ורגולציות מורכבות
• התאמה מדויקת לארגון (Tailor-Made)
• שיתוף ידע ובניית יכולת פנימית
• שותפות אמיתית – לא רק ייעוץ

כחלק מקבוצת IDOR Group אנו יודעים לחבר גם לטכנולוגיות משלימות (Messagenet) או לכוח אדם מקצועי (IdorNext) כשצריך – תוך שמירה על אחריות מלאה של אינפוגארד על התהליך

שאלות נפוצות

האם חובה ISO 27001 כדי ליישם ISO 27701?

כן, התקן מבוסס עליו ולכן נדרש בסיס של ISMS.

האם התקן מחליף GDPR?

לא. הוא כלי ליישום דרישות GDPR בצורה מתודולוגית.

כמה זמן לוקח התהליך?

תלוי בגודל ומורכבות הארגון – לרוב מספר חודשים.

האם זה מתאים גם לארגונים קטנים?

כן, ניתן לבצע התאמה מדויקת לפי היקף הפעילות.

ISO 27701 הוא לא רק תקן, הוא דרך לנהל פרטיות בצורה אחראית, שקופה ועסקית.
הוא מחזק אמון, מצמצם סיכונים ומאפשר לארגון לפעול בביטחון בעולם רגולטורי מורכב.