DPO DPO Israel
פתח כ-Markdown

מיפוי מאגרי מידע
הבסיס לכל השאר.

מיפוי מאגרי מידע מקצועי: איתור כל המאגרים בארגון, תיעוד שדות ומערכות, מסמך הגדרות מאגר לפי תקנות אבטחת מידע 2017, טבלת RoPA לפי GDPR Article 30, סיווג רגישות, ורישוי ספקים. בלי מיפוי — אין סקר פערים אמיתי, אין רישום ברשות, אין מענה לבקשת עיון, ואין מסגרת לאבטחת מידע. עם מיפוי טוב — הכל אפשרי.

תהליך

שישה שלבים, מאגר אחד — או מאתיים

01

Discovery

ראיונות עם כל מחלקה. איסוף רשימת מערכות, ספקים, טפסים, אקסלים. גילוי "מאגרי הצללים" (Shadow IT, Excel ב-OneDrive).

02

תיעוד RoPA

טבלת Records of Processing Activities לפי GDPR Article 30 — מטרת עיבוד, בסיס משפטי, סוגי מידע, נושאי מידע, נמענים, מועדי שמירה, אבטחה.

03

מסמך הגדרות מאגר

לכל מאגר רלוונטי — מסמך לפי תקנות אבטחת מידע 2017. כולל: בעל המאגר, אחראי האבטחה, רמת אבטחה (בסיסית/בינונית/גבוהה), הרשאות.

04

סיווג רגישות

מידע בסיסי, מידע רגיש (סעיף 7), מידע רפואי, מידע על קטינים. כל סיווג גורר רמת אבטחה מתאימה.

05

מיפוי תזרים מידע

מי מקבל את המידע? לאן הוא זורם? אילו ספקים נוגעים בו? יש Cross-border transfer? כל זה בדיאגרמת זרימה.

06

אינטגרציה לרישום מאגרים

אם נדרש רישום ברישום מאגרים של הרשות — אנחנו מבצעים את הרישום, כולל אגרת רישום (על חשבון הארגון).

תוצרים

מה נשאר אצלכם בסוף

טבלת RoPA

Excel/Sheets עם 12-15 עמודות לכל מאגר. הסטנדרט שעובד גם לתיקון 13 וגם ל-GDPR.

מסמך הגדרות מאגר

מסמך נפרד לכל מאגר רלוונטי, לפי תקנות אבטחת מידע 2017. נדרש לבעל המאגר ולממונה אבטחת מידע.

דיאגרמת תזרים מידע

מי מקבל מה, ממי, בכמה זמן. ויזואלית — שגם הנהלה לא טכנית מבינה.

מטריצת ספקים

כל ספק והמאגרים שהוא נוגע בהם. בסיס לבקרת ספקים.

מטריצת זכויות נושאי מידע

איפה לחפש מידע על נושא מידע כשמגיעה בקשת עיון/תיקון/מחיקה. חוסכת שעות בכל פנייה.

רשימת חוסרים

מאגרים שגילינו שאין עליהם מסמך, או שדה חשוב שלא נשמר. נכנסת לסקר פערים.

מה ממפים

המאגרים הטיפוסיים שאנחנו מגלים

כל ארגון חושב שיש לו 3-5 מאגרים. בפועל יש 25-100. כאן עשר קטגוריות חוזרות — ובכל אחת מגלים בדרך כלל מאגר אחד שהארגון לא ידע שיש לו.

קטגוריה דוגמאות
HR ושכר תיק עובד, שכר, היעדרויות, הערכות, תיקי מועמדים, סקרי שביעות רצון
לקוחות ושיווק CRM, מערכות דיוור, leads, פניות שירות לקוחות, התנהגות באתר (Cookies/GA)
פיננסי וחשבונאות הנהלת חשבונות, חשבוניות, פרטי תשלום, נתוני אשראי, מאגר ספקים
מערכות תפעוליות מערכת ליבה ענפית (POS, ERP, מערכת תיקים, מערכות SaaS עסקיות)
אבטחה ומעקב מערכות גישה, מצלמות אבטחה, לוגים של מערכות מידע, מערכות ניטור עובדים
בריאות ורווחה תיקים רפואיים, סיוע אישי, רישומי בריאות עובדים, ביטוחי בריאות
משפטיים וביטוח תיקי תביעות, חוזים, ביטוחים, ייצוג משפטי, מסמכי אכיפה
גיבויים וארכיון מאגרי גיבוי, ארכיון פיזי / דיגיטלי, מסמכים שמשמשים לארכיון רגולטורי

שאלות נפוצות על מיפוי מאגרי מידע

כמה זמן לוקח מיפוי?
תלוי בגודל. ארגון קטן עם 5-10 מערכות — 3-4 שבועות. ארגון בינוני (20-50 מערכות) — 6-8 שבועות. ארגון גדול עם 100+ מערכות, או רשות מקומית — 10-14 שבועות.

מה ההבדל בין מיפוי לסקר פערים?
מיפוי הוא תיאור מה יש — אילו מאגרים, אילו שדות, מי משתמש. סקר פערים הוא בחינה מול דרישות החוק. מיפוי הוא הבסיס שעליו עומד הסקר. אי אפשר לעשות סקר פערים אמיתי בלי מיפוי.

מה אם יש לנו כבר רישום מאגרים ברשות?
מצוין — זה אינדיקציה שיש מודעות. אבל בדרך כלל הרישום מוגבל (3-5 מאגרים) ולא משקף את כל הארגון. אנחנו ננפק מיפוי מלא יותר, ונעדכן את הרישום ברשות אם נדרש (גם אם זה אומר להוסיף מאגרים שלא היו רשומים).

האם המיפוי כולל ניתוח שדות פרטניים?
כן. לכל מאגר אנחנו מתעדים את השדות הרגישים ביותר — תעודות זהות, מספרי כרטיסי אשראי, מידע רפואי, מידע על קטינים. השדות האלה משפיעים על רמת האבטחה הנדרשת ועל קביעת ה-DPO אם נדרשת.

מי אצלנו צריך לעבוד עם המיפוי?
בכל מחלקה אדם אחד — מנהל/ת, מזכיר/ה, או "מי שיודע הכי הרבה על המערכות". אנחנו מובילים, מראיינים, ומתעדים. לא מצפים מהארגון לכתוב את ה-RoPA — זו עבודתנו.

מתי כדאי לעשות מיפוי?
אם אין לכם מסמך הגדרות מאגר מעודכן — עכשיו. אם יש מסמך מ-2019 או לפני — עכשיו (תיקון 13 שינה דברים). אם הארגון עבר שינוי מבני, רכישה, או מערכת חדשה ב-12 החודשים האחרונים — עכשיו.

יש קישור למסמכי הגנת פרטיות מהרשות?
הרשות פרסמה תבנית מסמך הגדרות מאגר, וטופס רישום מאגר. אנחנו עובדים עם התבניות האלה, אבל מרחיבים אותן לפי המבנה הספציפי של הארגון. ב-מדריך מסמך הגדרות מאגר יש פירוט.

מוכנים לדעת מה באמת יש לכם?

מיפוי מקצועי, מתועד, ושלכם להישאר. שיחת היכרות של 30 דקות.

לקבוע שיחה