ISO 27701 — תקן הפרטיות הבינלאומי

Q: אתם מבצעים את ההסמכה עצמה?

לא. ניגוד עניינים. אנחנו בונים את המסגרת (Privacy controls, תיעוד, נהלים, סקרי סיכונים), ומלווים את ה-auditor החיצוני (BSI, SGS, מכון התקנים, ועוד). ה-auditor הוא מי שמנפיק את התעודה.

Q: יש לכם ניסיון ב-ISO 27701?

כן. ב- חבילת GRC + פרטיות אנחנו בונים מסגרת ISO 27001/27701 ללקוחות SaaS, גופי בריאות, וספקי גופים ציבוריים. ה-CISO בספסל שלנו מוביל את 27001, ואני כ-DPO מוביל את 27701.

ISO/IEC 27701:2019 הוא התקן הבינלאומי לניהול מידע אישי (Privacy Information Management System, PIMS). הוא נבנה על גבי ISO 27001 ומוסיף 49 בקרות פרטיות ספציפיות. עבור ארגונים בישראל אחרי תיקון 13 — ISO 27701 הוא הוכחת compliance שדורשים יותר ויותר לקוחות Enterprise בעולם, ושמשפר את היכולת לזכות במכרזים ציבוריים מורכבים.

מה זה ISO 27701

ISO/IEC 27701:2019 הוא תקן בינלאומי שמרחיב את ISO 27001 (אבטחת מידע) לעולם הפרטיות. הוא בונה Privacy Information Management System (PIMS) על גבי ה-ISMS הקיים, ומוסיף 49 בקרות פרטיות ספציפיות. בעיקרון: אם יש לכם ISO 27001, הוספת 27701 היא הרחבה — לא תקן מאפס.

למי זה רלוונטי

שלוש קבוצות מרכזיות: (1) חברות SaaS שמכוונות ל-Enterprise בארה"ב או באירופה — לקוחות גדולים דורשים יותר ויותר את התקן כתחליף או השלמה ל-SOC 2; (2) גופי בריאות שמטפלים במידע רגיש מיוחד בהיקפים נרחבים; (3) ספקי גופים ציבוריים שמסבירים ל-procurement של רשויות שיש להם מסגרת פרטיות מובנית.

מה ההבדל מ-ISO 27001

ISO 27001 = אבטחת מידע (CIA — Confidentiality, Integrity, Availability). ISO 27701 = ניהול מידע אישי (Privacy controls). הם משלימים — לא תחליף. ISO 27701 דורש שיש לכם ISO 27001 פעיל. אי אפשר להסמיך 27701 בלי 27001.

מה ההבדל מ-GDPR / תיקון 13

GDPR ותיקון 13 הם חוקים — חובה לעמוד בהם. ISO 27701 הוא תקן וולונטרי — לא חובה, אבל מהווה הוכחת compliance לחוקים. ארגון עם ISO 27701 בעצם אומר ללקוחות ולרגולטור: "יש לנו מסגרת ניהול פרטיות מתועדת, שאומתה על ידי גוף חיצוני".

מה התקן דורש

ISO 27701 מוסיף ל-ISO 27001 49 בקרות פרטיות שמתחלקות ל-4 קבוצות: (1) הקשר ותפקידים — קביעת DPO, הגדרת קבוצות מידע, ייעוד מטרות; (2) זכויות נושאי מידע — נהלי עיון, תיקון, מחיקה, נוהל הסכמה; (3) שיתוף ושמירה — Sub-processors, העברה חוצת גבולות, מועדי שמירה, מחיקה בטוחה; (4) עקרונות הפרטיות — Privacy by Design, מינימליזציה, הסכמה מדעת, אחריותיות.

כמה זמן לוקח

מתחילים מ-ISO 27001 (אם עוד אין): 9-12 חודשים להסמכה ראשונית. הוספת PIMS ל-27701 על גבי 27001 קיים: 3-5 חודשים נוספים. ארגון שמתחיל מאפס יוכל להשיג שני התקנים יחד תוך 12-18 חודשים, תלוי בגודל, בהיענות פנימית, ובמשאבים שמושקעים. ההסמכה דורשת auditor חיצוני (BSI, SGS, ועוד) — חברה שאני לא מתחזה בה (זה ניגוד עניינים).

מה זה מביא ללקוחות שלכם

בעת מכירה ל-Enterprise — מקצרת את זמן ה-vendor onboarding (במקום שאלון של 80 שאלות, ה-Enterprise מקבל תעודה ומפרט). בעת מכרז ציבורי — נותן אות חזק שיש מסגרת מנוהלת. בעת אירוע — מקטין את ההיקף הצפוי של הביקורת — הרשות וגופי האכיפה נוטים להאמין לארגון מוסמך.

מה ההבדל מ-SOC 2

SOC 2 הוא תקן אמריקאי שמשרת בעיקר את שוק ארה"ב. ISO 27701 בינלאומי. רוב חברות ה-SaaS שמכוונות ל-EU + US — מבצעות שניהם. הרבה לקוחות EU מקבלים ISO 27701 גם בלי SOC 2; לקוחות US מקבלים גם SOC 2 גם בלי ISO.

שאלות נפוצות על ISO 27701

אנחנו לא מוסמכים ISO 27001 — אפשר להתחיל מ-27701?

לא. ISO 27701 בנוי על גבי 27001 — אי אפשר להסמיך אחד בלי השני. נדרש מסלול שמתחיל ב-ISO 27001 ואחריו 27701 (או שניהם במקביל, ככל שמסגרת המשאבים מאפשרת).

כמה זה עולה?

עלויות ההסמכה עצמן (auditor חיצוני) — בערך 30,000-80,000 ₪ לשני התקנים יחד, תלוי בגודל הארגון ובמספר האתרים. עלויות הליווי מקצועי לבניית המסגרת — 80,000-300,000 ₪ לפרויקט שלם, או 15,000-28,000 ₪ לחודש בריטיינר GRC Lite. ראו חבילת GRC + פרטיות.

מה ההבדל מ-PCI DSS?

PCI DSS = תקן ייעודי לעיבוד כרטיסי אשראי. ISO 27701 = תקן רחב לניהול פרטיות כללי. ארגון שמעבד כרטיסי אשראי חייב PCI DSS (אין בחירה). ISO 27701 הוא וולונטרי. ארגון פיננסי שעוסק בשניהם — מבצע את שני התקנים, ולעיתים גם ISO 27001.

אנחנו עמותה — שווה?

בדרך כלל לא, אלא אם יש מימון בינלאומי שדורש זאת. עמותה בינונית בישראל לרוב פטורה מ-ISO 27701 — הוא overhead משמעותי שלא משפיע על השוק שלכם. עמותות גדולות עם מימון אמריקאי/אירופאי — לעיתים מחוייבות לעמוד בתקנים מסוג זה.

אתם מבצעים את ההסמכה עצמה?

לא. ניגוד עניינים. אנחנו בונים את המסגרת (Privacy controls, תיעוד, נהלים, סקרי סיכונים), ומלווים את ה-auditor החיצוני (BSI, SGS, מכון התקנים, ועוד). ה-auditor הוא מי שמנפיק את התעודה.

מה הקשר בין DPO ל-ISO 27701?

ISO 27701 דורש מינוי DPO (או role-holder עם תפקיד DPO) במפורש. ארגון שמתחזק DPO as a Service של DPO Israel — כבר עומד בדרישה זו. ה-DPO הוא חלק מובנה מ-PIMS, ולא תוספת חיצונית.

יש לכם ניסיון ב-ISO 27701?

כן. ב-חבילת GRC + פרטיות אנחנו בונים מסגרת ISO 27001/27701 ללקוחות SaaS, גופי בריאות, וספקי גופים ציבוריים. ה-CISO בספסל שלנו מוביל את 27001, ואני כ-DPO מוביל את 27701.

מכוונים ל-ISO 27701?

חבילת GRC + פרטיות מלווה את כל הדרך — ISO 27001 + 27701 + DPO.

חבילת GRC + Privacy