הסמכה לתקן ISO 27701: הסטנדרט העולמי להגנה על פרטיות המידע



בעידן שבו מידע אישי הוא הנכס היקר ביותר – וגם הסיכון הגדול ביותר – ניהול נכון של פרטיות הוא כבר לא רשות, הוא חובה. תקן ISO 27701 הוא הרחבה של תקן ISO 27001 המפורסם, והוא מגדיר את הדרישות להקמה ותחזוקה של מערכת לניהול מידע פרטי (PIMS).

אם הארגון שלכם מחזיק במידע על לקוחות, עובדים או ספקים, תקן ISO 27701 הוא הדרך שלכם להוכיח לעולם שאתם שומרים על הפרטיות שלהם ברמה הגבוהה ביותר.


איך תקן ISO 27701 עוזר לעסק שלך?


  • עמידה ברגולציות בינלאומיות (GDPR): התקן תוכנן כך שהוא תואם במידה רבה לדרישות ה-GDPR האירופי ותקנות הגנת הפרטיות הישראליות.

  • הפחתת סיכוני תביעות: הטמעת התקן מצמצמת את הסיכוי לדליפת מידע אישי ומספקת הגנה משפטית במקרה של ביקורת רגולטורית.

  • פתיחת דלתות לשווקים גלובליים: חברות רב-לאומיות רבות דורשות כיום מהספקים שלהן הסמכה ל-ISO 27701 כשינאי סף לשיתוף פעולה.

  • בניית אמון לקוחות: לקוחות מרגישים בטוחים יותר למסור מידע לעסק שמציג הסמכה רשמית על ניהול פרטיות.


במה הוא שונה מ-ISO 27001 ואיך הם משתלבים?


קיימת נטייה להתבלבל ביניהם, אך חשוב להבין את ההבדל:

  • ISO 27001 (אבטחת מידע): מתמקד ב"קירות" – איך להגן על המידע מפני פריצות, גניבות או אובדן. הוא עוסק בסודיות, שלמות וזמינות המידע.

  • ISO 27701 (פרטיות המידע): מתמקד ב"תוכן" ובזכויות – איך אנחנו משתמשים במידע האישי, האם קיבלנו הסכמה, לאילו מטרות המידע משמש, ולכמה זמן אנחנו שומרים אותו.

השילוב ביניהם: אי אפשר לקבל הסמכה ל-ISO 27701 בלי להיות מוסמכים (או לעבור הסמכה במקביל) ל-ISO 27001. הם פועלים יחד כמערכת אחת אחודה שנותנת מעטפת הגנה מלאה – גם טכנולוגית וגם חוקית/אתית.






השורה התחתונה: ISO 27701 משתמש בבקרות של 27001 ומוסיף להן "שכבת פרטיות". לדוגמה: בבקרת גישה לשרתים (27001), התקן החדש (27701) ידרוש לוודא שרק מי שחייב לראות מידע אישי ספציפי לצורך עבודתו יוכל לגשת אליו.

ניהול התפקידים בארגון: Controller vs Processor

אחד החידושים המרכזיים בתקן הוא החלוקה לבקרות שונות בהתאם לתפקיד הארגון:

  • בקר מידע (PIMS Controller): הארגון שקובע למה ואיך מעבדים את המידע (למשל: חברה שמנהלת את פרטי לקוחותיה).

  • מעבד מידע (PIMS Processor): ארגון שמעבד מידע עבור אחרים (למשל: חברת ענן או ספק שירותי שכר). OLBIZ תסייע לכם להגדיר את התפקיד שלכם ולהטמיע את הבקרות הרלוונטיות לכל תרחיש.

למה לבחור ב-OLBIZ להובלת תהליך ההסמכה?

תהליך הסמכה לפרטיות הוא לא רק טכני, הוא דורש הבנה תהליכית עמוקה. ב-OLBIZ, אנחנו מביאים ערך מוסף ייחודי:

  • שימוש במתודולוגיית "פרטיות לפי תכנון" (Privacy by Design): אנחנו עוזרים לכם להטמיע את הפרטיות כבר בשלבי הפיתוח של המוצר, מה שחוסך שינויים יקרים בעתיד.

  • ניסיון רב-תחומי: הצוות שלנו מורכב ממומחי אבטחת מידע, אנשי תפעול ומומחי רגולציה המדברים את השפה של הסוקרים ממכוני ההתעדה השונים.

  • מיקוד ביעילות: המטרה שלנו היא לא רק לעבור את המבדק, אלא ליצור מערכת שעובדת עבורכם, לא מערכת שאתם עובדים בשבילה.

  • ליווי מלא במבדקי ההתעדה: אנחנו נמצאים איתכם בחדר בזמן שהסוקר בודק את המערכות, מספקים תשובות מקצועיות ומבטיחים שהתהליך יסתיים בציון עובר.

5 הצעדים הראשונים בדרך להסמכת ISO 27701

לפני שצוללים לתהליך ההתעדה הרשמי, אלו הפעולות שמומלץ לבצע כדי להכין את הקרקע:

  1. מיפוי נכסי מידע (Data Mapping): אתרו היכן נשמר מידע אישי (PII) בארגון – בבסיסי נתונים, בענן, במיילים ואפילו בניירת פיזית. הגדירו מהו סוג המידע (שמות, כתובות IP, מידע רפואי וכו').

  2. הגדרת תפקיד הארגון (Controller/Processor): קבעו האם הארגון שלכם הוא זה שמחליט על מטרות העיבוד (בקר) או רק מבצע עיבוד עבור אחרים (מעבד). זהו שלב קריטי כי דרישות התקן משתנות בהתאם לתפקיד.

  3. ביצוע סקר פערים (Gap Analysis): השוו את המצב הקיים בארגון לדרישות התקן. זה השלב שבו אנחנו ב-OLBIZ מזהים מה חסר ומגדירים את "מפת הדרכים" להסמכה.

  4. עדכון מדיניות והסכמים: ודאו שמדיניות הפרטיות שלכם עדכנית, ושקיימים נספחי אבטחה ופרטיות (DPA) חתומים מול ספקי משנה שיש להם גישה למידע.

  5. הדרכת מודעות: הגנת פרטיות מתחילה בעובדים. ודאו שהצוות מבין מהו מידע אישי, איך לשמור עליו ומה לעשות במקרה של חשד לדליפת מידע.

    אנחנו לא רק מביאים אתכם ל -V בבדיקה של הסוקר. אנחנו בונים לכם מערכת ניהול חכמה שמתממשקת עם הפעילות העסקית, חוסכת זמן בטווח הארוך ומעניקה לכם תעודת יושר דיגיטלית מול העולם כולו.


שאלות ותשובות (FAQ)

  • האם הסמכה ל-ISO 27701 מעניקה חסינות מפני קנסות GDPR? 
    אף הסמכה לא מעניקה חסינות מוחלטת, אך הרשויות באירופה ובארץ רואות בחיוב ארגונים המוסמכים לתקן. במקרה של דליפת מידע, העובדה שהייתם מוסמכים ל-ISO 27701 מהווה ראיה חזקה לכך שפעלתם לפי הסטנדרטים המחמירים ביותר, מה שעשוי להפחית משמעותית את גובה הקנס.

  • אנחנו חברת SaaS קטנה, האם זה לא גדול עלינו?  
    להיפך. עבור חברות SaaS, הפרטיות היא המוצר. לקוחות Enterprise לא יסתכלו עליכם בלי הוכחות להגנת פרטיות. אנחנו ב-OLBIZ יודעים להתאים את רמת המורכבות של ה-PIMS לגודל הארגון שלכם.

  • האם ניתן לעבור מבדק משולב ל-27001 ו-27701 יחד?
    בהחלט. זהו המסלול המומלץ והחסכוני ביותר. המבדק המשולב חוסך זמן, משאבים ועלויות של גוף ההתעדה, ומאפשר לנו לבנות עבורכם תשתית אבטחה ופרטיות אחת חזקה.

  • מה קורה אם אנחנו מעבירים מידע מחוץ לישראל? תקן ISO 27701 כולל בקרות ספציפיות להעברת מידע בין-גבולית (Cross-border data transfers), מה שמסייע לכם להסדיר את ההיבטים המשפטיים של עבודה עם שרתים בחו"ל או ספקים גלובליים.

  • האם התקן חובה לעסקים קטנים?
     התקן אינו חובה לפי חוק, אך הוא הופך לסטנדרט בשוק. אם העסק שלך עובד מול אירופה או מנהל נתונים רגישים של משתמשים, ההסמכה תחסוך לך המון שאלונים ובירוקרטיה מול לקוחות פוטנציאליים.

  • כמה זמן לוקח התהליך? 
    תלוי ארגון, ואם יש כבר תקן מקדים או לא, אחד המומחים שלנו ישמח לענות כל מקרה לגופו.
     
  • מה קורה אם כבר יש לנו מדיניות פרטיות באתר? מדיניות פרטיות היא רק מסמך אחד מתוך מערכת שלמה. התקן דורש ניהול סיכונים ספציפי לפרטיות, ניהול זכויות נושאי מידע (כמו הזכות להישכח), ובקרות על ספקי משנה שחשופים למידע שלכם.

  • האם התקן עוזר בהתמודדות עם חוק הגנת הפרטיות הישראלי? בהחלט. עמידה ב-ISO 27701 מהווה הוכחה חזקה לכך שהארגון נוקט ב"אמצעים סבירים" להגנה על הפרטיות, כפי שנדרש בחוק הישראלי ובתקנותיו.


רוצים להפוך את הפרטיות ליתרון תחרותי? צרו קשר עם המומחים של OLBIZ עוד היום ונתחיל בתהליך ההסמכה שלכם.



logo בניית אתרים