ISO 27701: העידן החדש של ניהול פרטיות

La פרטיות ואבטחת סייבר אלו הפכו לשתיים מכאבי הראש הגדולים ביותר עבור כל ארגון המטפל במידע אישי. בין ה-GDPR, חוקים מקומיים, שירותי ענן, בינה מלאכותית ודרישות ראיות על ידי רואי חשבון, קשה יותר ויותר להוכיח שהדברים נעשים בצורה נכונה ועקבית שנה אחר שנה.

בהקשר זה, תקן ISO/IEC 27701:2025 זה הפך לתקן הבינלאומי לניהול פרטיות מידע. עדכון 2025 מייצג קפיצת מדרגה משמעותית לעומת גרסת 2019: זה כבר לא רק "נספח" לתקן ISO 27001, אלא הפך למערכת ניהול עצמאית לחלוטין, שנועדה לאפשר לכל ארגון לאשר כיצד הוא מגן על הנתונים האישיים שהוא מעבד.

מהו תקן ISO/IEC 27701 ומה תפקידו בפרטיות?

ISO/IEC 27701 הוא תקן בינלאומי המגדיר את הדרישות להקים, ליישם, לתחזק ולשפר באופן מתמיד מערכת לניהול מידע פרטי, המכונה PIMS (מערכת ניהול מידע פרטי). במילים אחרות, מסגרת מובנית המסדירה את כל היבטי עיבוד המידע האישי בתוך ארגון.

תקן זה נועד ל בקרים ומעבדים של מידע המאפשר זיהוי אישי (PII, שווה ערך ל-) נתונים אישיים של GDPRמטרתה היא שגופים אלה יוכלו להוכיח, בעזרת ראיות ניתנות לאימות, שהם מנהלים את הפרטיות באופן התואם את החוק ואת שיטות העבודה הבינלאומיות המומלצות.

בנוסף לדרישות המחייבות, תקן ISO/IEC 27701 כולל הנחיות מעשיות כדי לסייע ביישום ותפעול מערכת הניהול על בסיס יומי. באופן זה, היא מבדילה בבירור בין מה שיבוקר לבין מה שמשמש כמדריך ליישום בקרות ביעילות.

התקן חל על ארגונים מכל גודל ומגזרחברות ציבוריות או פרטיות, מנהלים ציבוריים, ארגונים לא ממשלתיים, ספקי שירותי ענן, סטארט-אפים של בינה מלאכותיתחברות SaaS וכו'. כל עוד מעובדים נתונים אישיים, זה מתאים.

מדוע תקן ISO/IEC 27701 כה חשוב לשנת 2025 והלאה

היום מידע אישי הוא אחד הנכסים הרגישים ביותר מכל ארגון. אזרחים, רגולטורים ושותפים עסקיים אינם מסתפקים עוד בהצהרות על כוונות טובות: הם רוצים לראות ראיות לכך שהפרטיות מנוהלת בצורה רצינית, שיטתית וניתנת לאימות.

תקן ISO/IEC 27701 מספק בדיוק את המסגרת הזו: א. מערכת ניהול פרטיות מוכרת ברחבי העולם זה עוזר לנהל סיכונים, להגדיר אחריות ולהפגין אחריות פרואקטיבית. זה תואם במיוחד את ה-GDPR, אשר במדינות כמו ספרד תואמת היטב את ה-LOPDGDD, ובמסגרות ציבוריות, את המסגרת הביטחונית הלאומית.

בין היתרונות העיקריים של יישום והסמכה של PIMS לפי ISO/IEC 27701, בולטים היתרונות הברורים הבאים: לחזק את יכולות הגנת המידע, להקל על הדגמת תאימות רגולטורית, לטעת אמון בלקוחות, במשתפי פעולה וברגולטורים, וליצור בסיס איתן לשילוב פרטיות בתרבות הארגונית.

עדכון 2025 מגיע גם בתקופה שבה ה- שירותי אנליטיקה ושירותי ענן מתקדמים הם שינו באופן קיצוני את אופן איסוף, עיבוד ושיתוף מידע. התקן מסתגל למערכת האקולוגית הטכנולוגית והרגולטורית החדשה הזו, ומשלב התייחסויות מפורשות לבינה מלאכותית, סביבות מרובות עננים, קבלת החלטות אוטומטית ועיבוד נתונים חוצה גבולות.

בקיצור, ISO/IEC 27701:2025 הופך את הפרטיות ל המרכיב האסטרטגי של העסקולא רק כחובה חוקית או טכנית. זה משמש כסימן לבגרות ואמינות מול לקוחות, שותפים, משקיעים ורשויות.

מהרחבת ISO 27001 לתקן עצמאי

אחד השינויים הקיצוניים ביותר בגרסה החדשה הוא ש זה מפסיק להיות רק הרחבה של ISO/IEC 27001. מהדורת 2019 דרשה תחילה הסמכת מערכת ניהול אבטחת מידע (ISMS) תחת ISO 27001 ולאחר מכן הוספת שכבת הפרטיות של ISO 27701.

תוכנית זו יצרה חסם כניסה משמעותי עבור ארגונים המתמקדים בפרטיות ולא היו זקוקים או לא יכלו ליישם מערכת ניהול מידע (ISMS) מלאה. חברות המתמקדות מאוד בהגנה על נתונים, גופים במגזר ציבורי עם משאבים מוגבלים, או עסקים מונעי נתונים שכבר מכוסים על ידי מסגרות אבטחה אחרות כמו SOC 2, נאלצו לאמץ את תקן ISO 27001.

החל משנת 2025, ISO/IEC 27701 הופך לתקן תקן מערכת ניהול עצמאיתעם מבנה ברמה גבוהה משלו (סעיפים 4 עד 10) בסגנון תקני ISO אחרים. משמעות הדבר היא שניתן לאשר PIMS ללא הסמכה מוקדמת של ISO 27001, אם כי שני התקנים נותרים תואמים לחלוטין.

שינוי זה פותח דלת למספר תרחישים מעניינים מאוד: ארגונים שרוצים רק הסמכת פרטיות, חברות SaaS המשלבות SOC 2 לאבטחה ו-ISO 27701 לפרטיות, ארגונים לא ממשלתיים או מנהלים ציבוריים עם כמות גדולה של נתונים אישיים אך מעט משאבים לפריסת מערכת ניהול מידע (ISMS) מלאה, או חברות שמעדיפות... לשלב פרטיות ואבטחה תחת שני כללים שמתקשרים זה עם זה אך ניתנים לניהול עם היקפים שונים.

לצד זאת, מופיע תקן ISO/IEC 27706:2025, תקן משלים אשר זה קובע את כללי המשחק עבור גופי הסמכה. אשר מבצעים ביקורת על מערכות PIMS, מחליפות את התקן הקודם ISO TS 27006-2:2021 ומעדכנות את תשתית ההסמכה סביב ISO 27701.

מבנה ועקרונות גרסת 2025

תקן ISO/IEC 27701:2025 מאמץ את מבנה ברמה גבוהה (HLS) אשר כבר נמצא בשימוש בתקני מערכות ניהול אחרים כגון ISO 27001, ISO 9001 או ISO 37301. זה מקל מאוד על האינטגרציה כאשר לארגון יש מספר מערכות מוסמכות בו זמנית.

הסעיפים העיקריים מכסים היבטים המוכרים היטב לכל מי שמכיר את משפחת ה-ISO: החל מ- ההקשר של הארגון ובעלי עניין, החל מהנהלה, תכנון מבוסס סיכונים, משאבים, תפעול, הערכת ביצועים ושיפור מתמיד. כל זה חל באופן ספציפי על ניהול פרטיות.

בפירוט, התקן מתייחס, בין היתר, לחלקים הבאים: ניתוח ההקשר והדרישות המשפטיות והחוזיות בנוגע לנתונים אישיים; מחויבות של ההנהלה הבכירהמדיניות פרטיות והקצאת תפקידים; הערכת סיכוני פרטיות וקביעת יעדים; משאבים ומיומנויות; בקרות תפעוליות על עיבוד; ביקורות, אינדיקטורים ודוחות ניהול ומנגנוני שיפור מתמיד.

היבט מרכזי בגרסת 2025 הוא ש מסדר מחדש ומעשיר הנספחים. נספח א' שומר על הבקרות החלות על בקרי ומעבדי מידע אישי, אך עם ניסוח ברור יותר והפניות לסביבות עכשוויות כגון ענן, בינה מלאכותית ועיבוד חוצה גבולות. נספח ב' הופך למדריך יישום מעשי יותר, עם המלצות המותאמות למגזרים שונים ולגדלים ארגוניים שונים.

רשימת ההפניות הנורמטיביות גם היא פשוטה יותר. מהדורת 2025 משתמשת ב-ISO/IEC 29100, מסגרת הפרטיות של ISO, כמקור ההתייחסות העיקרי שלה ואינה מסתמכת עוד ישירות על ISO 27001 או ISO 27002 כמו בעבר, ובכך מדגישה את... עצמאות כסטנדרט מבלי לאבד את הקוהרנטיות עם המערכת האקולוגית של אבטחת המידע.

בסביבות בהן אבטחה טכנית היא המפתח, מומלץ להשלים את בקרות הפרטיות עם אמצעים מעשיים להגנה על נכסים ונקודות קצה; לדוגמה, אסטרטגיות מפתח להגנה על המכשירים שלך הם מסייעים בהפחתת הסיכון התפעולי התומך ב-PIMS.

השינויים הרלוונטיים ביותר בהשוואה ל-ISO/IEC 27701:2019

מעבר לקפיצה לתקן עצמאי, ISO/IEC 27701:2025 מציג סדרה של התאמות עמוקות במבנה ובפרטים של דרישותיו ונספחיו, מבלי להפר את מה שכבר היה קיים עבור ארגונים שהוסמכו בשנת 2019.

ראשית, משולבים הדברים הבאים: סעיפי ניהול 4.1 עד 10.2 בהתאם למסגרת ISO 27001: הקשר הארגון, מנהיגות, תכנון, תמיכה, תפעול, הערכת ביצועים ושיפור. בנוסף, נוסף סעיף ספציפי בנושא הערכת ביצועים (ניטור, מדידה, ביקורת פנימית וביקורת הנהלה) וסעיף נוסף המוקדש לשיפור מתמיד של מערכת ה-PIMS.

הסעיפים הקודמים המתארים דרישות ספציפיות של PIMS ביחס ל-ISO 27001 ו-ISO 27002 מוחלפים במבנה תואם לחלוטין ל-ISO, שבו סעיף 4 עוסק בהקשר, סעיף 5 מנהיגות, סעיף 6 תכנון, סעיף 7 תמיכה, סעיף 8 תפעול, סעיף 9 ביצועים וסעיף 10 שיפור. סעיף נוסף אף נכלל המספק מידע להבנה טובה יותר של ה... נספחים ג', ד', ה' ו-ו', שם מורחב המדריך על בקרות ומיפויים.

נספחי הפרטיות עברו שינוי שם ואורגנו מחדש, תוך איחוד הבקרות עבור בקרי ומעבדי מידע מזהה אישי (שהופרדו בעבר לטבלאות שונות) לנספח א' יחיד. למרות שהארגון משתנה, ה- דרישות הפרטיות נותרו כמעט ללא שינויזה מקל על החיים עבור אלו שכבר היו בעלי PIMS מוסמך.

החדשות הגדולות טמונות בקבוצה של 29 בקרות אבטחת מידע חדשות משולבים בטבלה A.3, המשלימים בקרות פרטיות עם רכיבי אבטחה חיוניים: מדיניות אבטחה, סיווג מידע, ניהול זהויותבקרות אלו כוללות זכויות גישה, אבטחה בהסכמים עם ספקים, מודעות והדרכות אבטחה וניהול אירועים, בין היתר. הן מחליפות את סעיף 6 הקודם של ISO 27701:2019 ומותאמות ישירות לדרישות של ISO 27001:2022.

גישה מבוססת סיכונים ומחזור חיים של נתונים

ליבו של תקן ISO/IEC 27701:2025 הוא גישת ניהול סיכוני פרטיות מוגדר בבירור. התקן דורש זיהוי, ניתוח והערכת הסיכונים שעיבוד נתונים אישיים עלול ליצור בנוגע לזכויותיהם וחירויותיהם של אנשים.

ניתוח זה משולב עם ניהול סיכוני אבטחת מידע, ויוצר ראייה דו-מפלסית: אחד ארגוני (השפעה על הישות, המשכיות עסקית, מוניטין, סנקציות וכו') ואחר המתמקד בבעלי עניין (השפעה על אנשים, אפליה, אובדן שליטה על הנתונים שלהם, נזק כלכלי או רגשי וכו').

בהתבסס על ניתוח זה, נפרסות בקרות מתאימות, משאבים מתעדפים ונקבעות תוכניות פעולה, הן למניעה והן לתגובה לאירועים. כל זאת בהתאם למחזור PDCA (תכנון-ביצוע-בדיקה-פעולה) הנפוץ בתקני ISO, אשר מניע את שיפור מתמיד והתאמה כאשר סיכונים טכנולוגיים או רגולטוריים משתנים.

מהדורת 2025 עושה צעד נוסף על ידי אימוץ מפורש של גישת מחזור חיי הנתוניםזה כולל הכל, החל מאיסוף מידע אישי אישי ועד למחיקתו, אנונימיזציה או פסאודו-נימיזציה שלו. זה מבטיח שפרטיות משולבת בכל שלבי העיבוד, בהתאם לעקרונות כגון פרטיות מעוצבת ופרטיות כברירת מחדל.

בסביבות בהן שירותי בינה מלאכותית, האינטרנט של הדברים, בלוקצ'יין או מולטי-ענן כבר נפוצים, התקן מציג הנחיות ספציפיות לניהול סיכונים הנובעים מ... קבלת החלטות אוטומטיתפרופילינג או שילוב של כמויות גדולות של נתונים, כולל הפניות צולבות עם תקן ISO/IEC 42001 העתידי בנושא ניהול בינה מלאכותית.

אינטגרציה עם מערכות ניהול ומסגרות תאימות אחרות

אחת מיתרונותיה הגדולים ביותר של תקן ISO/IEC 27701:2025 היא יכולתו להשתלב במערכת אקולוגית ניהולית משולבתהודות למבנה HLS, ניתן לשלב אותו עם ISO/IEC 27001 (אבטחת מידע), ISO 31000 (ניהול סיכונים), ISO 37301 (תאימות), ISO 9001 (איכות) או תקן ISO/IEC 42001 (בינה מלאכותית) העתידי, תוך שיתוף תהליכים משותפים כגון ניהול מסמכים, סקירות הנהלה וביקורות פנימיות.

עבור ארגונים שכבר יש להם מערכת ניהול מידע (ISMS) בוגרת, העדכון מקל על התחזוקה ISMS ו-PIMS משולביםזה מייעל את המאמצים ומפחית כפילויות של ראיות. אלו שמעדיפים לעשות זאת לבד יכולים גם לפרוס מערכת PIMS עצמאית, דבר שימושי במיוחד עבור ארגונים שהכאב העיקרי שלהם הוא GDPR וחוקי הגנת מידע אחרים.

התקן תואם היטב את המסגרות הרגולטוריות הגלובליות: באיחוד האירופי, הוא משמש כ בסיס ראייתי מוצק לעקרון האחריות הפרואקטיבית של ה-GDPR; בטריטוריות אחרות, זה מסייע להדגים עמידה במסגרות כגון CCPA, LGPD או תקנות פרטיות אחרות. יתר על כן, ניתן להשלים זאת עם דוחות SOC 2, תוכניות ביטחון לאומיות או תוכניות הסמכה ספציפיות למגזר.

בפועל, יישום תקן ISO/IEC 27701:2025 מאפשר הגדרה ברורה של ניהול הפרטיות (מי מחליט מה, מי נושא בסיכונים, אילו תפקידים יש ל-DPO, כיצד מתואמים התחומים המשפטיים, האבטחה, ה-IT והעסקיים), להציג מסגרת להערכת סיכונים מתמשכת ולחזק את השקיפות עם בעלי העניין באמצעות מדיניות ברורה, הודעות ומנגנונים למימוש זכויות.

גישה אינטגרטיבית זו מניעה את המעבר למודל של פרטיות כתרבותכאשר לא מדובר רק על סדר במסמכים, אלא על הבטחה שהצוות מבין את תפקידו, מקבל הכשרה, משתתף בזיהוי סיכונים ומאמצ את הפרטיות כחלק בלתי נפרד מאיכות השירות.

השפעה ספציפית על קציני הגנת מידע וקציני ציות

עבור קציני הגנת מידע (DPO) וצוותי תאימות, ISO/IEC 27701:2025 הופך לתקן מפת דרכים ספציפית מאוד כיצד להוכיח כי ה-GDPR מיושמת ביעילות. התקנה משלבת את נספח D, אשר ממפה בקרות ודרישות לסעיפים בתקנה, מה שמקל על קישור כל חובה חוקית עם ראיות תפעוליות.

לדוגמה, במקרה של סקירה של הסוכנות הספרדית להגנת מידע (AEPD) על ניהול זכויות נושאי המידע, בקרות A.1.3.7 ו-A.1.3.10 מאפשרות להדגים את קיומם של נהלים מתועדים לקבל, לרשום, לעבד ולהגיב לבקשות גישה, תיקון, מחיקה, התנגדות או ניידות, עם מועדים מוגדרים, צדדים אחראיים ויכולת מעקב.

החדשות הטובות הן שהבקרות הספציפיות עבור בקרי נתונים (טבלה א'.1) ועבור מעבדי נתונים (טבלה א'.2) נותרו כמעט ללא שינוי מאז 2019. משמעות הדבר היא שעבור ארגונים שכבר מוסמכים, ה- המעבר אינו דורש בנייה מחדש של המערכת כולהאלא להתאים את המבנה, לחזק את רכיב סיכון הפרטיות ולתעד טוב יותר את תוכנית אבטחת המידע התומכת ב-PIMS.

בסביבות מורכבות בהן קיימות מספר ישויות במקביל (בקרים משותפים, מנהלי משנה, ספקי ענן, מעבדים במדינות שלישיות), הגרסה החדשה מסייעת לחדד חוזים, מטריצות אחריות ומנגנוני ניטור, תוך צמצום נקודות מתות ואי-בהירויות שלעתים קרובות גורמות לבעיות בביקורת.

בפועל, התקן הופך לבעל ברית במעבר מ"אני מציית בתיאוריה" ל"יש לי ראיות אובייקטיביות וניתנות לביקורת שאני ממלא", מה שמפחית פחדים במקרה של בדיקות, תביעות או פרצות אבטחה רלוונטיות המחייבות הודעה לרשויות ולאלו שנפגעו.

מעבר מ-ISO/IEC 27701:2019: מועדים אחרונים, שלבים וטעויות נפוצות

ארגונים שכבר קיבלו הסמכה לפי תקן ISO/IEC 27701:2019 תקופת מעבר של שלוש שנים מפרסום גרסה 2025, כלומר עד אוקטובר 2028, להתאים את מערכות הניהול שלהם ולהשלים את ביקורת המעבר עם גוף ההסמכה שלהם.

אין צורך להתחיל מאפס: עיקר העבודה שכבר נעשתה נותרה בתוקף. המפתח הוא להתאים את המערכת למבנה החדש, תוך שילוב בקרות אבטחת המידע החדשות, לחזק את ניהול סיכוני הפרטיות ולסקור את תיעוד הממשל, התפקידים והתהליכים התפעוליים כדי לוודא שהם תואמים את הסעיפים המעודכנים.

צעדים סבירים למעבר מסודר כוללים בדרך כלל ניתוח פערים המשווה את PIMS הנוכחי לגרסת 2025, עדכון הצהרת התחולה כדי לשקף את הנספחים שעברו ארגון מחדש, סקירת מטריצת סיכוני הפרטיות (כולל תרחישי בינה מלאכותית, ענן ותזרים בינלאומי), התאמת מדיניות, רשומות ותוכניות ביקורת פנימית, הכשרת אנשי מפתח ותכנון ביקורת המעבר עם גוף ההסמכה.

בין הטעויות הנפוצות ביותר במעבר הזה, שלוש בולטות: המתנה עד הרגע האחרון תוך אמון ש"יש מספיק זמן"; הגבל את עצמך לעדכון מסמכים מבלי לוודא שהפרקטיקה בפועל הותאמה (מבקרים מבקשים ראיות, לא רק קבצי PDF); ומתעלמים מהרלוונטיות של עיבוד אוטומטי ועיבוד מבוסס בינה מלאכותית, שכבר אינו נושא שולי אלא מוקד ספציפי של הערכה.

עבור ארגונים שכבר מפעילים את תקן ISO 27001:2022 בשילוב עם ISO 27701:2019, השינוי אמור להיות פשוט יחסית, שכן רבים מהמושגים המבניים של תקן 27701:2025 החדש מבוססים על אלמנטים שתקן 27001:2022 הציג בגרסה שלו: דגש רב יותר על הקשר, גישה מבוססת סיכונים, מנהיגות ושיפור מתמיד.

ISO/IEC 27701 ככלי אמין ויתרון תחרותי

מעבר לעמידה בתקנות, התרומה העיקרית של ISO/IEC 27701:2025 היא יכולתו לבנות ולשמר אמון בנוגע לעיבוד מידע אישי. בסביבה שבה דליפות, שימושים אטומים בבינה מלאכותית ושערוריות הכרוכות בשימוש לרעה במידע הם דבר שבשגרה, היכולת להוכיח מערכת ניהול בוגרת עושה את כל ההבדל.

מערכת PIMS מיושנת היטב מאפשרת לכם להראות ללקוחות, לשותפים ולרשויות שהארגון מתייחס לפרטיות ברצינות: יש מדיניות ברורה, תפקידים ואחריות ידועים, סיכונים מוערכים מעת לעת, קיימים רישומי עיבוד עדכניים, מדדים מנוטרים, ביקורות פנימיות מתבצעות וננקטות פעולות כאשר מתגלות חריגות.

יש לכך השפעה ישירה על ממשל תאגידי, ציות, ניהול סיכונים ותרבות פנימיתהתקן מעודד את נושא הפרטיות לעבור מעבר להיותו אך ורק נושא של "DPO" ולהפוך אותו לעניין חוצה תחומי המשפיע על שיווק, IT, פיתוח מוצרים, משאבי אנוש, רכש, שירות לקוחות וניהול כללי.

עבור ארגונים רבים, במיוחד במגזרים עתירי נתונים (פיננסים, שירותי בריאות, טכנולוגיה, מינהל ציבורי, חינוך מקוון וכו'), הסמכת ISO/IEC 27701:2025 כבר הופכת ל... דרישה או גורם מבדיל בעת סגירת חוזים, השתתפות במכרזים או מעבר תהליכי בדיקת נאותות על ידי משקיעים.

אימוץ תקן זה אינו רק עניין של "הגנה על מידע", אלא של ניהול אמון כנכס אסטרטגי: הצעת ערבויות מוצקות לכך שנתונים אישיים נמצאים תחת שליטה, שהחלטות אוטומטיות מתקבלות תוך כיבוד זכויותיהם של אנשים, ושהארגון מוכן להגיב ביעילות אם משהו משתבש.