בלוג

ISO 27001 בשנת 2026 – כל העדכונים והשינויים

2026 היא שנה משמעותית מאוד מבחינת היישום, הביקורות והתקנים המשלימים. ISO 27001 צריך לשקף את הארגון כפי שהוא היום: מערכות, ספקים, ענן, AI וסיכונים עדכניים. זה הזמן לבדוק אם סקר הסיכונים, ה־SoA והבקרות עדיין רלוונטיים.

ISO 27001 בשנת 2026: אין מהדורה חדשה, אבל כללי המשחק כבר השתנו

נכון ליולי 2026, לא פורסמה מהדורה חדשה בשם ISO/IEC 27001:2026. התקן העדכני שעליו מבוססות מערכות ניהול אבטחת מידע והסמכות ארגוניות נותר ISO/IEC 27001:2022, בצירוף התיקון שפורסם בשנת 2024 בנושא שינויי אקלים.

עם זאת, המסקנה ש“לא השתנה דבר” תהיה שגויה.

שנת 2026 מסמנת מעבר ברור מתקופת ההיערכות לגרסת 2022 לתקופה שבה ארגונים נדרשים להציג יישום מלא, עקבי ואפקטיבי. במקביל, תקנים משלימים בתחומי הפרטיות, הענן וההמשכיות העסקית עודכנו או נמצאים לקראת פרסום.

עבור מנהלי אבטחת מידע, פרטיות, סיכונים, תשתיות ו־IT, המשמעות היא שמערכת ISMS שנראתה מספקת לפני מספר שנים עלולה שלא לעמוד עוד בציפיות הביקורת ובסיכונים העסקיים הנוכחיים.

אין ISO 27001 חדש – המהדורה המחייבת נשארה גרסת 2022, אבל..

ISO מציג את ISO/IEC 27001:2022 כמהדורה הנוכחית של התקן לניהול מערכות אבטחת מידע. בשנת 2024 צורף אליה התיקון הרשמי:

ISO/IEC 27001:2022/Amd 1:2024 – Climate action changes

התיקון אינו יוצר מהדורה חדשה של ISO 27001 ואינו משנה את מבנה בקרות Annex A. הוא מוסיף התייחסות לשינויי אקלים במסגרת ניתוח ההקשר הארגוני ובחינת דרישות בעלי העניין.

לכן, כאשר גוף מציג בשנת 2026 את הביטוי “ISO 27001:2026”, חשוב לבדוק האם מדובר בטעות, בכותרת שיווקית או בהתייחסות כללית לדרישות הרלוונטיות בשנת 2026, ולא למהדורה רשמית חדשה.

המעבר מ-ISO 27001:2013 הסתיים

תקופת המעבר הבינלאומית מ-ISO/IEC 27001:2013 לגרסת 2022 הסתיימה ב-31 באוקטובר 2025. מועד זה נקבע במסגרת דרישות המעבר של International Accreditation Forum – IAF.

המשמעות המעשית היא שבמהלך 2026:

  • הסמכות מוכרות אמורות להתבסס על ISO/IEC 27001:2022.
  • מבדקי הסמכה, חידוש ומעקב נערכים מול דרישות גרסת 2022.
  • אין להתייחס לעדכון מגרסת 2013 כאל פרויקט עתידי.
  • ארגון שעדיין משתמש ב-SoA, במיפוי בקרות או במתודולוגיית סיכונים המבוססים על גרסת 2013 נמצא בפער מהותי.

מעבר פורמלי בלבד אינו מספיק.
שינוי כותרת המסמך או החלפת רשימת הבקרות בלי התאמת תהליך ניהול הסיכונים, המדדים, התיעוד והבקרות בפועל עלולים להיחשף במהירות במהלך ביקורת.

צרו איתנו קשר להסמכה או חידוש תקן ISO 27001

תיקון האקלים הופך לחלק שגרתי מהמבדק

תיקון האקלים משנת 2024 מחייב את הארגון לבחון במסגרת סעיף 4.1 האם שינויי אקלים הם נושא רלוונטי להקשר שבו הוא פועל. בסעיף 4.2 נוספה הערה שלפיה לבעלי עניין רלוונטיים עשויות להיות דרישות הקשורות לשינויי אקלים.

אין פירוש הדבר שכל ארגון חייב להקים תוכנית סביבתית או להוסיף סיכוני אקלים באופן מלאכותי לסקר הסיכונים. הארגון כן נדרש להראות כי הנושא נבחן באופן ענייני וכי ההחלטה תועדה.

בהקשר של אבטחת מידע והמשכיות עסקית, הבדיקה עשויה לכלול השפעות כגון:

  • פגיעה בזמינות של מרכזי נתונים ותשתיות תקשורת.
  • הפסקות חשמל ממושכות או עומסי חום.
  • שיבושים אצל ספקים ונותני שירותים חיצוניים.
  • תלות גיאוגרפית בשירותי ענן ובתשתיות קריטיות.
  • השפעה על אתרי גיבוי, שרשרת האספקה ויכולת ההתאוששות.
  • דרישות חוזיות של לקוחות או בעלי עניין.

בשנת 2026 סביר שמבקרים יצפו לראות את הבחינה כחלק טבעי מניתוח ההקשר הארגוני- ולא כהערה כללית שנוספה למסמך ללא חיבור לסיכונים ולתהליכים.

הביקורות עשויות להיות עקביות ומעמיקות יותר

בשנת 2024 פורסם ISO/IEC 27006-1:2024, המגדיר דרישות לגופים המבצעים ביקורת והסמכה של מערכות ISMS לפי ISO 27001. התקן מיועד בעיקר לגופי הסמכה ולגופי אקרדיטציה, אך הוא משפיע בעקיפין על הארגונים הנבדקים. מטרתו לחזק את הכשירות, העקביות והאמינות של תהליכי ההסמכה.

ארגונים עשויים להיתקל בדגש מוגבר על:

  • התאמת משך והיקף הביקורת לגודל ולמורכבות הארגון.
  • בחינה מדויקת של גבולות ה-ISMS.
  • הכללת אתרים, שירותי ענן ותהליכים במיקור חוץ.
  • כשירות בעלי תפקידים ומבקרים פנימיים.
  • ראיות לאפקטיביות הבקרות ולא רק לקיום נהלים.
  • התאמה בין סקר הסיכונים, תוכנית הטיפול בסיכונים וה-Statement of Applicability.
  • מעקב אחר מדדים, אירועים, חריגות ופעולות מתקנות.

אין מדובר בשינוי ישיר בדרישות ISO 27001, אלא בחיזוק האחידות והעומק שבהם גופי הסמכה בוחנים אותן.

ISO/IEC 27701:2025: שינוי משמעותי בניהול הפרטיות

אחד העדכונים החשובים ביותר בסביבת התקנים הוא המהדורה השנייה של ISO/IEC 27701:2025, העוסקת במערכת לניהול מידע פרטיות – Privacy Information Management System, או PIMS.

במהדורת 2019 הוגדר התקן כהרחבה של ISO/IEC 27001 ושל ISO/IEC 27002. מהדורת 2025 מגדירה דרישות למערכת ניהול פרטיות עצמאית, תוך שמירה על האפשרות לשלב אותה במערכת ISMS קיימת.

לצדה פורסם ISO/IEC 27706:2025, המגדיר את הדרישות מגופים המבצעים ביקורת והסמכה של מערכות PIMS לפי ISO/IEC 27701. התקן מחליף את המפרט הטכני ISO/IEC TS 27006-2:2021 ומחזק את התשתית להסמכות פרטיות עקביות ועצמאיות יותר.

ההתפתחות רלוונטית במיוחד לארגונים המעוניינים להסדיר ולהוכיח ניהול שיטתי של:

  • מידע אישי ומאגרי מידע.
  • תפקידי בעל שליטה ומעבד מידע.
  • מיפוי פעולות עיבוד.
  • זכויות נושאי מידע.
  • Privacy by Design.
  • ניהול ספקים וקבלני משנה.
  • אירועי פרטיות ודליפת מידע אישי.
  • דרישות חוזיות ורגולטוריות במספר תחומי שיפוט.

עבור ארגונים בישראל, התקן אינו מחליף את דרישות הדין המקומי, אך הוא יכול לספק מסגרת ניהולית סדורה לתרגום חובות פרטיות לתהליכים, אחריות, בקרות וראיות.

ISO/IEC 27017:2026: עדכון קרוב לאבטחת שירותי ענן

נכון ל-1 ביולי 2026, המהדורה השנייה של ISO/IEC 27017 נמצאת בשלב הפרסום הסופי וצפויה להתפרסם במהלך יולי 2026. כל עוד הליך הפרסום לא הושלם, מהדורת 2015 נותרת המהדורה המפורסמת והתקפה.

המהדורה החדשה צפויה להחליף את ISO/IEC 27017:2015 ולהתאים את הנחיות אבטחת הענן לבקרות ISO/IEC 27002:2022. לפי ISO, היא כוללת:

  • הנחיות נוספות ליישום בקרות ISO/IEC 27002:2022 בשירותי ענן.
  • בקרות ייעודיות הקשורות לשירותי ענן.
  • התייחסות הן ללקוחות שירותי ענן והן לספקי השירות.
  • תחולה על מודלים שונים של פריסת ענן, לרבות ענן פרטי.
  • חיזוק ההבחנה בין אחריות הספק לאחריות הלקוח.

ארגון המשתמש כיום ב-ISO/IEC 27017:2015 יכול להתחיל במיפוי ראשוני ובהיערכות, אך לא נכון להניח שקיימת כבר חובת מעבר מיידית לפני הפרסום הסופי ולפני שיתבררו הסדרי המעבר הרלוונטיים.

ISO/IEC 27018:2025: הגנת מידע אישי בענן ציבורי

ISO/IEC 27018:2025 מספק הנחיות להגנת מידע המאפשר זיהוי אישי בשירותי ענן ציבורי, כאשר ספק שירותי הענן פועל כמעבד המידע. המהדורה עודכנה כך שתתאים ל-ISO/IEC 27002:2022, ונוסף לה נספח הכולל הנחיות יישום מורחבות.

בשנת 2026 התקן עשוי לשמש ארגונים במסגרת בדיקות נאותות של ספקי ענן ובחינת שאלות כגון:

  • היכן נשמר ומעובד המידע האישי.
  • מי הם קבלני המשנה וספקי המשנה.
  • כיצד מתבצעים מחיקה, החזרה או העברה של מידע.
  • מהי רמת השקיפות של ספק הענן.
  • האם נעשה במידע שימוש החורג ממטרות השירות.
  • אילו מנגנוני דיווח והסלמה מופעלים במקרה של אירוע.
  • כיצד ניתן לבקר את יישום ההתחייבויות בפועל.

התקן חשוב במיוחד לארגונים שמסתמכים על שירותי SaaS ומעבירים לספקים חיצוניים מידע של לקוחות, עובדים, מועמדים או שותפים עסקיים.

ISO/IEC 27031:2025: מעבר ממסמך התאוששות לחוסן טכנולוגי

המהדורה השנייה של ISO/IEC 27031:2025 עוסקת במוכנות טכנולוגיות מידע ותקשורת לתמיכה בהמשכיות עסקית. היא החליפה את מהדורת 2011 ומחברת בין ניהול אבטחת מידע, המשכיות עסקית וחוסן טכנולוגי.

התקן מדגיש את הצורך להבטיח ששירותי ICT יוכלו לתמוך בפעילות הקריטית ולהתאושש בתוך פרקי הזמן שהארגון הגדיר. הוא משלים את ISO/IEC 27001 ותומך ביישום יעדי המשכיות עסקית לפי ISO 22301.

היישום עשוי לכלול:

  • הגדרה ואימות של RTO ו־RPO.
  • מיפוי תלויות בין תהליכים עסקיים למערכות מידע.
  • בדיקת תלות בשירותי ענן ובספקים חיצוניים.
  • תכנון יתירות וגיבוי.
  • תרגילי Disaster Recovery.
  • בדיקת יכולת שחזור לאחר מתקפת כופרה.
  • אימות גיבויים והפרדתם מסביבת הייצור.
  • בחינת תפקוד הצוותים בזמן אירוע מתמשך.

המסר המרכזי הוא שקיום מסמך DRP אינו מוכיח יכולת התאוששות. ארגון צריך להציג תרגול, מדידה, הפקת לקחים ושיפור מתמשך.

מה צריך ארגון מוסמך ISO 27001 לעשות במהלך 2026?

1. לוודא שכל מערכת ה־ISMS מבוססת על גרסת 2022

יש לבדוק שהתעודה, היקף ההסמכה, המדיניות, מתודולוגיית הסיכונים, תוכנית הטיפול וה־SoA מתייחסים ל־ISO/IEC 27001:2022.

2. לבדוק את מיפוי 93 הבקרות

Annex A בגרסת 2022 כולל 93 בקרות. יש לוודא שה־SoA מתייחס לכל הבקרות, כולל הצדקה להכללה או להחרגה, סטטוס יישום והפניה לראיות רלוונטיות.

3. לעדכן את ניתוח ההקשר הארגוני

יש לתעד בחינה של שינויי אקלים ולהחליט אם קיימת השפעה על זמינות, ספקים, תשתיות, שירותים קריטיים או המשכיות עסקית.

4. לחזק את הקשר בין סיכונים לבקרות

סקר הסיכונים אינו צריך לעמוד בפני עצמו. יש ליצור עקיבות ברורה בין הנכס או התהליך, תרחיש הסיכון, רמת הסיכון, החלטת הטיפול, הבקרה, האחראי, המדד והראיות ליישום.

5. לבחון מחדש את היקף ה־ISMS

שירותי SaaS, תשתיות ענן, עבודה מרחוק, חברות קשורות, תהליכים במיקור חוץ וספקים קריטיים עלולים להישאר מחוץ להיקף למרות השפעתם המהותית על הסיכון.

6. לשפר את איכות הביקורת הפנימית

ביקורת פנימית אפקטיבית צריכה לבחון יישום ותוצאות — לא רק אם קיים מסמך. יש לבדוק דגימות, הרשאות, אירועים, חריגים, ספקים, שחזורים, הדרכות ומדדי אפקטיביות.

7. לבחון את ISO/IEC 27701:2025

ארגונים המעבדים מידע אישי משמעותי צריכים לבחון האם נכון להקים PIMS עצמאי או לשלב את ניהול הפרטיות בתוך מערכת ה־ISMS.

8. להיערך למהדורה החדשה של ISO/IEC 27017

ארגונים מבוססי ענן יכולים להתחיל למפות אחריות משותפת, תצורות, חוזים, ניטור, ניהול הרשאות וסיכוני ספק לקראת הפרסום הסופי של המהדורה השנייה.

9. לעדכן את תוכניות ההמשכיות וההתאוששות

יש לבחון האם יעדי RTO ו־RPO נתמכים ביכולת טכנולוגית מוכחת, והאם התרגילים כוללים תרחישים רלוונטיים כגון כופרה, פגיעה בספק ענן או אובדן תשתית מרכזית.

10. לשלב סיכונים מתפתחים

גם כאשר ISO 27001 אינו מזכיר טכנולוגיה מסוימת בשמה, מערכת ניהול הסיכונים צריכה לכלול סיכונים מהותיים כגון שימוש ב־AI, Shadow AI, שרשרת אספקת תוכנה, תלות בענן, זהויות והרשאות, העברת קבצים ודליפת מידע.

המשמעות לארגונים בישראל

עבור ארגונים ישראליים, שנת 2026 אינה רק שנת “תחזוקת תעודה”. המציאות המקומית כוללת תלות גבוהה בשירותי ענן, שימוש נרחב בספקים חיצוניים, איומי כופרה ופישינג, עבודה בסביבה של אי־ודאות תפעולית ודרישות מתרחבות בתחומי פרטיות, ניהול סיכונים והמשכיות עסקית.

ארגונים במגזרים פיננסיים, רפואיים, טכנולוגיים, ציבוריים ובעלי תשתיות קריטיות צריכים לבחון במיוחד:

  • האם ה־ISMS משקף את סביבת הסיכון בפועל.
  • האם היקף ההסמכה תואם לפעילות הארגונית.
  • האם ספקים וענן נכללים בניהול הסיכונים.
  • האם קיימות ראיות לאפקטיביות הבקרות.
  • האם מערכי הפרטיות וההמשכיות מחוברים למערכת הניהול.
  • האם הנהלה ובעלי תפקידים מבינים את אחריותם ולא מסתמכים רק על מנהל אבטחת המידע.

כיצד אנחנו באינפוגארד משתלבים?

אינפוגארד מסייעת לארגונים בהקמה, התאמה ושיפור של מערכות ניהול אבטחת מידע ופרטיות, לרבות:

  • ביצוע Gap Assessment מול ISO/IEC 27001:2022.
  • עדכון סקר הסיכונים ותוכנית הטיפול.
  • בנייה ועדכון של Statement of Applicability.
  • הכנה למבדקי הסמכה, חידוש ומעקב.
  • ביצוע ביקורות פנימיות ובדיקות אפקטיביות.
  • שילוב שינויי האקלים בניתוח ההקשר הארגוני.
  • יישום מערכות ניהול פרטיות בהתאם ל־ISO/IEC 27701.
  • בחינת סיכוני ענן, ספקים ומיקור חוץ.
  • עדכון תוכניות BCP ו־DR ובחינת מוכנות להתאוששות.
  • חיבור בין דרישות תקן, רגולציה, פרטיות וסיכונים עסקיים.

היערכות נכונה ל-2027 מתחילה בבחינה מפוכחת של הפער בין המסמכים הקיימים לבין אופן הפעילות בפועל.

השורה התחתונה

אין תקן חדש בשם ISO/IEC 27001:2026. התקן העדכני נותר ISO/IEC 27001:2022, בצירוף תיקון האקלים משנת 2024.

השינוי החשוב בשנת 2026 אינו מספר המהדורה, אלא רמת הבשלות המצופה מהארגון: המעבר מגרסת 2013 הסתיים, תיקון האקלים הפך לחלק מניתוח ההקשר, ביקורות ההסמכה נשענות על מסגרת מעודכנת, ותקנים משלימים בתחומי פרטיות, ענן והמשכיות עסקית משנים את סביבת היישום.

ארגון שרוצה להגיע לביקורת מוכן אינו צריך להסתפק בעדכון מסמכים. עליו לוודא שמערכת ניהול אבטחת המידע משקפת את הסיכונים, התלויות והשירותים האמיתיים שלו — ושניתן להוכיח כי הבקרות פועלות באופן עקבי ואפקטיבי.

דברו עם צוות המומחים שלנו על אבטחת מידע, איומי סייבר והסמכה לתקן ISO 27001.

עודכן ב-1 ביולי 2026
ISO/IEC 27017 עדיין נמצא בשלב הפרסום הסופי ומעמדו צפוי להשתנות במהלך החודש – עדכונים בהמשך.

מידע נוסף במאמרים הבאים:

Annex A בתקן ISO 27001: מהו ולמה הוא חשוב?

Statement of Applicability או SoA, בתקן ISO 27001: מהו ולמה הוא חשוב?

המידע המוצג במאמר זה נועד למטרות מידע והעשרה בלבד ואינו מהווה ייעוץ מקצועי, רגולטורי, משפטי או טכנולוגי. כל ארגון נדרש לבחון את צרכיו, הסיכונים והדרישות החלות עליו באמצעות אנשי מקצוע מתאימים.
המאמר נכתב בשיתוף מומחי אבטחת המידע והסייבר של Infoguard מקבוצת IDOR, ונערך על ידי ROY KISCH, חובב אבטחת מידע, סייבר ומנהל השיווק של קבוצת חברות עידור (Messagent, Infoguard, Idornext).

/ 5.

בלוג

הישארו תמיד צעד קדימה

בעולם דיגיטלי שמשתנה בקצב מהיר, ידע הוא שכבת ההגנה הראשונה. בבלוג של Infoguard תמצאו ניתוחים עדכניים, מדריכים פרקטיים ותובנות מקצועיות – כדי לעזור לכם ולארגון שלכם להיערך, להגן ולהוביל בבטחה.

5 דק׳ קריאה

Statement of Applicability או SoA, בתקן ISO 27001: מהו ולמה הוא חשוב?

ה-Statement of Applicability, או בקיצור SoA, הוא אחד המסמכים המרכזיים במערכת ניהול אבטחת מידע לפי ISO/IEC 27001:2022. SoA - מסמך ניהולי ולא רק דרישת תיעוד. המשך קריאה

5 דק׳ קריאה

Annex A בתקן ISO 27001: מהו ולמה הוא חשוב?

הכירו את 93 הבקרות של Annex A בתקן ISO 27001. תקנות אבטחת מידע ליישום בארגונים בהתאם למפת הסיכונים. להמשך קריאה

5 דק׳ קריאה

ISO 27001 בשנת 2026 – כל העדכונים והשינויים

2026 היא שנה משמעותית מאוד מבחינת היישום, הביקורות והתקנים המשלימים. ISO 27001 צריך לשקף את הארגון כפי שהוא היום: מערכות, ספקים, ענן, AI וסיכונים עדכניים. זה הזמן לבדוק אם סקר

לקבלת ייעוץ מקצועי, השאירו פרטים
ומומחי הסייבר שלנו יצרו איתכם קשר

ביטחון המידע שלכם מתחיל בשיחה אחת. אנחנו כאן כדי לתת מענה מקצועי, מהיר ואישי לכל שאלה, ייעוץ או פרויקט. משירותי CISO במיקור חוץ, דרך ניהול סיכונים ותקינה, ועד הדרכות עובדים ומבדקי חדירה. אנחנו מגיעים עם גישה פרואקטיבית של שותפים ונכנסים לעומק הארגון והמערכות, מבינים את האתגרים והרגולציה הרלוונטית, ובונים יחד תהליך הגנה שנותנים שליטה, מאפשרים שקיפות ויוצרים סביבה בטוחה יותר לאורך זמן.

אנו זמינים עבורכם לייעוץ מקצועי

לקבלת ייעוץ מקצועי, השאירו פרטים
ומומחי הסייבר שלנו יצרו איתכם קשר

דברו איתנו

077-9011117

בקרו אותנו

השחם 1 פתח תקווה, 4951701 ת.ד 11058 בסר סיטי בניין C קומה 11

תכתבו לנו

sales@infoguard.co.il