# DPO מול CISO — מה ההבדל וניגוד עניינים | ממונה הגנת פרטיות מול ממונה אבטחת מידע

> מה ההבדל בין DPO (ממונה הגנת פרטיות) לבין CISO (ממונה אבטחת מידע)? האם CISO יכול להיות גם DPO? ניגוד עניינים, חלוקת תפקידים, ותיקון 13 לחוק הגנת הפרטיות. מדריך מעשי עם RACI ודוגמאות.

**Canonical:** https://dpoisrael.com/learn/dpo-vs-ciso/  
**Locale:** he-IL

---
שני התפקידים נשמעים דומה. שניהם "ממונים על מידע". אבל בפועל הם **משני עולמות שונים**: ה-**DPO** (ממונה הגנת פרטיות) מטפל ב_זכויות נושאי המידע_ ובדין הפרטיות; ה-**CISO** (ממונה אבטחת מידע) מטפל ב_הגנת נכסי המידע_ מפני איומי סייבר. מדריך מעשי עם השוואה, RACI, ופתרון לשאלה: _האם אפשר ששני התפקידים יהיו אותו אדם?_

## DPO מול CISO — בקצרה

- **DPO:** תפקיד פרטיותי (תיקון 13)
- **CISO:** תפקיד אבטחתי (תקנות 2017)
- **דיווח DPO:** ישיר להנהלה, עצמאי
- **דיווח CISO:** CTO / מנכ"ל / Audit Committee
- **אותו אדם?:** רק בארגון קטן בלי ניגוד עניינים
- **בארגון בינוני:** שני תפקידים נפרדים
- **במיקור חוץ:** DPOaaS + CISOaaS או GRC משולב
- **בארגון גדול:** שניהם פנימיים

## תשעה מימדים של הבדל

| מימד | DPO | CISO |
| --- | --- | --- |
| תפקיד עיקרי | הגנה על זכויות נושאי מידע ופרטיותם | הגנה על נכסי המידע הארגוניים |
| בסיס משפטי | תיקון 13 לחוק הגנת הפרטיות | תקנות אבטחת מידע 2017, ISO 27001, ניהול תקין |
| דיווח | דיווח ישיר להנהלה, עצמאי | דיווח להנהלה הטכנולוגית / מנכ"ל |
| התמחות | דין פרטיות + עיבוד מידע + רגולציה | סייבר + אבטחה + תשתיות |
| דוגמת משימה יומית | בודק DPA חדש, עונה לפניית עיון | מנתח התרעת חדירה, עורך penetration test |
| דוגמת משימה חודשית | מבצע DPIA לפרויקט חדש | סקר סיכוני סייבר, בקרה על patching |
| נקודת קשר חיצונית | הרשות להגנת הפרטיות | CERT-IL, בנק ישראל (לבנקים), ספקי security |
| דרישת עצמאות | מובנית — לא יכול להיות מי שמקבל החלטות עיבוד | דרושה אך פחות נוקשה |
| מודל בארגון בינוני | במיקור חוץ (DPO as a Service) | פנימי או חיצוני (CISOaaS) |

## מטריצת אחריות (RACI)

מי אחראי על מה? בארגון בינוני עם DPO ו-CISO נפרדים, אלה 12 המשימות הטיפוסיות וחלוקת האחריות. **R** = Responsible (מבצע), **A** = Accountable (אחראי בסופו של דבר), **C** = Consulted (מתייעצים איתו), **I** = Informed (מקבל מידע).

| משימה | DPO | CISO | אחר |
| --- | --- | --- | --- |
| מינוי DPO ופרסומו לרשות | R | \- | מנכ"ל: A |
| מיפוי מאגרי מידע | R/A | C | IT: C |
| תוכנית אבטחת מידע | C | R/A | IT: R |
| הסכמים עם ספקי SaaS (DPA) | R/A | C | יועמ"ש: C |
| אירוע אבטחת מידע — דיווח לרשות | R/A | C | מנכ"ל: A |
| אירוע אבטחת מידע — חקירה טכנית | C | R/A | Forensics: R |
| הדרכת עובדים — פרטיות | R/A | C | HR: C |
| הדרכת עובדים — אבטחת סייבר | C | R/A | HR: C |
| DPIA לפרויקט חדש | R/A | C | PM: C |
| Penetration testing | I | R/A | ספק חיצוני: R |
| מענה לפניית נושא מידע (עיון/תיקון) | R/A | I | IT: C |
| תוכנית עבודה ISO 27001 | C | R/A | Auditor: R |

## שאלת הניגוד — האם אפשר?

### CISO שגם DPO ניגוד אסור?

יש דעות שונות. הרשות להגנת הפרטיות חיוותה דעה ב-2025 שבעקרון **שילוב התפקידים מותר רק בארגון קטן או במצב שבו אין ניגוד עניינים**. בארגון בינוני ומעלה, ה-CISO מקבל החלטות אבטחה שה-DPO אמור לפקח עליהן — וזה ניגוד עניינים מובנה.

### מנכ"ל / יועמ"ש / מנמ"ר כ-DPO

גילוי הדעת של הרשות פוסל מפורשות שילוב כזה ברוב הארגונים. מנכ"ל מקבל את כל ההחלטות שה-DPO צריך לפקח. מנמ"ר אחראי על המערכות שה-DPO מבקר. יועמ"ש לעיתים מייצג עמדות שה-DPO צריך לערער עליהן.

### בארגון קטן — מה כן עובד

ארגון קטן עם 5-20 עובדים בלי מידע רגיש בהיקף — לרוב לא חייב DPO בכלל. אם כן חייב — האפשרויות: (א) שילוב CISO+DPO רק אם בעל התפקיד הוא לא מקבל החלטות תפעוליות; (ב) [DPO as a Service](/services/dpo) חיצוני; (ג) שותף עסקי שעצמאי מעיבודי המידע.

### מודל "ה-DPO החיצוני, CISO הפנימי"

המודל הנפוץ ביותר בארגונים בינוניים. CISO פנימי שמטפל בסייבר ובאבטחת מידע. DPO חיצוני (במיקור חוץ) שמטפל בפרטיות ודין. [חבילת GRC + פרטיות](/services/grc-privacy) מציעה את שני התפקידים מאותו ספק.

## שאלות נפוצות — DPO ו-CISO

### האם CISO יכול להיות DPO?

תיאורטית — כן, בארגון קטן ללא ניגוד עניינים. מעשית — לא מומלץ ברוב הארגונים. הרשות פסלה את השילוב במצב של ניגוד עניינים, ובארגון בינוני זה לרוב המצב. ההמלצה: שני אנשים שונים, או [CISO + DPO as a Service](/services/grc-privacy) משולב כשהם מתואמים מקצועית אבל לא אותו אדם.

### מה ההבדל בעלות בין שני התפקידים?

CISO פנימי בכיר — 45,000-70,000 ₪ לחודש שכר. CISOaaS חלקי — 8,000-25,000 ₪ לחודש. DPO פנימי בכיר — 40,000-60,000 ₪ לחודש שכר. DPO as a Service — 5,000-28,000 ₪ לחודש. בארגון בינוני, שני התפקידים פנימיים בכירים = 90,000-130,000 ₪ לחודש. שני התפקידים במיקור חוץ = 13,000-50,000 ₪ לחודש.

### מי מטפל באירוע אבטחת מידע?

שניהם, בתיאום. **CISO** מטפל בחקירה הטכנית — מה קרה, מהיכן, האם נמשך, איך חוסמים. **DPO** מטפל ברגולטורי — האם נדרש דיווח, איך מנסחים, מי הלקוחות שצריך להודיע, ניהול תקשורת. שני חלקים שלא מתחלפים.

### יש מקצוע שמשלב שניהם?

"GRC Specialist" / "Privacy and Security Consultant" — תפקידים שהפכו פופולריים בחברות SaaS. הם בעצם מבצעים שתי הפונקציות, אבל בארגון שיש בו אחריות ברורה ומסגרת רגולטורית — נדרשים שני תפקידים נפרדים.

### מה לגבי ISO 27001 ו-ISO 27701?

ISO 27001 הוא הסטנדרט של ה-CISO (אבטחת מידע). ISO 27701 הוא הרחבת ISO 27001 לפרטיות (PIMS). שניהם דורשים שתי מערכות תיעוד שמשלימות. בדרך כלל CISO מוביל את 27001, וה-DPO מוביל את 27701.

### יש לכם גם CISO?

אנחנו DPO. ה-CISO ב-Bench שלנו הוא מקצוען נפרד עם רקע סייבר עמוק. כשנדרש שירות משולב — [חבילת GRC + פרטיות](/services/grc-privacy) מציעה את שני התפקידים. אנחנו לא מציעים CISO לבד — כשלקוח רוצה רק CISO, אנחנו ממליצים על שותפים נאמנים.

## לא בטוחים איזה תפקיד אתם צריכים?

שיחה של 30 דקות, מבינים את המצב, ועוזרים לבחור.

[לקבוע שיחה](/contact)