# GRC + פרטיות משולב | CISO + DPO as a Service, ISO 27001 ו-ISO 27701

> חבילת Governance, Risk & Compliance + פרטיות לארגונים שצריכים פתרון אחד כולל: ISO 27001 / 27701 readiness, סקרי סיכונים תקופתיים, נהלים, ביקורות פנים, ליווי SOC 2, ומענה למכרזים משולבים CISO+DPO. מתאים לרשויות, בריאות, פיננסים, ו-SaaS עם לקוחות Enterprise.

**Canonical:** https://dpoisrael.com/services/grc-privacy/  
**Locale:** he-IL

---
CISO + DPO. ספק אחד.

חבילה משולבת של **Governance, Risk & Compliance + פרטיות** לארגונים שצריכים פתרון אחד כולל. **CISO + DPO as a Service**, ליווי ISO 27001 / 27701, סקרי סיכונים תקופתיים, נהלים, ביקורות פנים, ליווי SOC 2, ומענה למכרזים משולבים. בדיוק החבילה שדורשים מכרזי רשויות מקומיות, אשכולות, ואקדמיה.

## GRC + פרטיות — מה בחבילה

- **מודל:** CISO + DPO as a Service בספק אחד
- **טווח מחיר:** 15,000-28,000 ₪ לחודש
- **מתאים ל:** מכרזים משולבים, בריאות, פינטק, SaaS Enterprise
- **תקנים:** ISO 27001:2022 + ISO 27701:2019
- **ליווי SOC 2:** Type II readiness לחברות SaaS
- **משך readiness:** 9-18 חודשים לתעודה
- **תוצרים שוטפים:** סקרי סיכונים, נהלים, ביקורות, דוחות הנהלה
- **מענה למכרז:** מסמכי מענה, CVים, SLA, נספחים — מוכנים

## שמונה רכיבים בחבילה

01

### DPO as a Service ליבה

מינוי רשמי של DPO ראשי, מענה לרשות, ייעוץ להנהלה, הדרכת עובדים, מענה לאירועים. בסיס החבילה.

02

### CISO / GRC חלקי

יום-יומיים בחודש של CISO/GRC בכיר. אחראי על מסגרת אבטחת המידע, סקרי סיכונים, ובקרות טכניות.

03

### ISO 27001 readiness

בניית מערכת ניהול אבטחת מידע (ISMS) לפי ISO 27001:2022. תיעוד, סקרי סיכונים, controls, ביקורות פנים.

04

### ISO 27701 readiness

הרחבת ה-ISMS למסגרת ניהול מידע אישי (PIMS). תקן הפרטיות הבינלאומי שמשתלב עם ISO 27001.

05

### סקרי סיכונים תקופתיים

סקר סיכוני אבטחת מידע + פרטיות פעם בשנה, עם מטריצת חומרה x סבירות x מאמץ ותוכנית טיפול.

06

### ליווי SOC 2 Type II

בעיקר לחברות SaaS שמכוונות ללקוחות Enterprise בארה"ב. בניית Controls, תיעוד, ליווי auditor חיצוני.

07

### נהלים ותוכנית מודעות

נהלים מקיפים — אבטחת מידע, פרטיות, אירועים, ספקים, עובדים, נכסים. תוכנית הדרכה שנתית.

08

### ביקורות פנים

ביקורות פנים תקופתיות לפי ISO ולפי דרישות מכרזים. דוחות ביקורת מסודרים לוועדת ביקורת ולהנהלה.

## לאיזה ארגונים זה מתאים

### רשויות מקומיות (מכרזים משולבים)

מכרזי "ממונה אבטחת מידע ושירותי ממונה הגנת פרטיות" (כמו עיריית גני תקווה 2/2026). דרישה לכ"א מקצועי קבוע + שיתופי פעולה.

### מל"ג, אוניברסיטאות ומוסדות אקדמיים

מכרזי "אבטחת מידע, סייבר והגנה על הפרטיות" (כמו המל"ג 03/2025). דורש שני בעלי-תפקיד, CISO ו-DPO, ב-as-a-service.

### אשכולות רשויות מקומיות

מסגרות מדף 36-60 חודשים, התמחרויות משנה, דמי ניהול 4%. דרישה למבנה ספק מסחרי-מכרזי מסודר.

### גופי בריאות

מרפאות פרטיות גדולות, רשתות מרפאות, מעבדות. ISO 27001/27799 (לבריאות), Privacy controls, ניהול ספקי SaaS רפואיים.

### חברות SaaS עם לקוחות Enterprise

שאלון רכש דורש ISO 27001 / SOC 2 / GDPR. החבילה מתאימה גם לחברות B2B שמכוונות ל-EU/US.

### פיננסים ופינטק

בנקים בינוניים, חברות אשראי, פינטק, ניהול השקעות. רגולציה כפולה — תיקון 13 + ניהול תקין של בנק ישראל / רשות שוק ההון.

## מוכנים למכרזים מהיום הראשון

אחת מהיכולות המרכזיות של החבילה: [מענה למכרזי DPO ציבוריים](/services/public-tenders) ולמכרזים משולבים CISO+DPO. שבעה מסמכים שאנחנו מחזיקים מוכנים מראש, ולא מכינים בשלב המכרז.

| מסמך | פירוט |
| --- | --- |
| מסמך מענה מסגרת | מענה גנרי שאפשר להתאים תוך 48 שעות לכל מכרז |
| CVים מובנים | CV של DPO ראשי, CISO, ושותפים בספסל — מעוצבים, עדכניים, ובאנגלית ובעברית |
| נספח SLA | תבנית SLA לבקרה ודיווח תקופתי שמתאימה לרוב המכרזים |
| הצהרת ניגוד עניינים | נספח חתום שמטפל בדרישות עצמאות מקצועית |
| אישורים פיננסיים | אישור ניהול ספרים, מס במקור, ביטוח אחריות מקצועית |
| פוליסת אחריות | פוליסת אחריות מקצועית + סייבר פעילה |
| המלצות מלקוחות | רשימה מסודרת של לקוחות שמוכנים להמליץ |

## שאלות נפוצות על GRC + פרטיות

### מתי לבחור בחבילה הזו ולא רק DPO as a Service?

הבחירה תלויה בארגון: **DPO as a Service** מספיק לרוב הארגונים הבינוניים. **חבילת GRC + פרטיות** נדרשת כאשר: (1) המכרז מבקש משולב CISO+DPO; (2) הלקוח Enterprise דורש SOC 2 / ISO 27001; (3) הענף דורש בקרה טכנית עמוקה (בריאות, פינטק); (4) הארגון מתכנן להשיג ISO 27701.

### אתה ה-CISO?

לא. ה-CISO ב-Bench הוא מקצוען נפרד, עם רקע סייבר וטכנולוגיה עמוק. אני, כ-DPO, מוביל את הצד של פרטיות. אנחנו עובדים בתיאום הדוק — לשני התפקידים יש דריישות ייחודיות והם משלימים. במכרזים אנחנו מציגים את שני האנשים, עם RACI ברור.

### כמה זמן לוקח להשיג ISO 27701?

מתחילים מ-ISO 27001 (אם עוד אין) — 9-12 חודשים. הוספת PIMS ל-27701 על גבי 27001 קיים — 3-5 חודשים נוספים. ארגון שמתחיל מאפס יוכל להשיג שני התקנים יחד תוך 12-18 חודשים, תלוי בגודל ובהיענות פנימית.

### מה בקרות ISO 27701 הקריטיות?

ISO 27701 מוסיף 49 בקרות פרטיות מעל ל-ISO 27001. החשובות: PIMS-specific roles (DPO), תיעוד עיבוד, זכויות נושאי מידע, מתנגדויות במיניםיזציה, Privacy Impact Assessment, ניהול ספקים-עוסקי-מידע. החבילה כוללת בניית כל הבקרות האלה.

### מה לגבי מערכי בקרה טכניים?

ה-CISO ב-Bench מטפל בבקרות טכניות — חלוקת הרשאות, אבטחת רשת, ניהול נכסים, ניטור, גיבויים, וניהול סיכוני סייבר. בדיקות חודרות (penetration testing) ובחינות קוד נעשות על ידי ספקים ייעודיים — אנחנו מנהלים את התהליך אבל לא מבצעים בעצמנו.

### אתם מגישים למכרזים בשם הלקוח?

אנחנו מציעים שני מודלים: (א) הלקוח הוא המגיש העיקרי, ואנחנו נספח כספק; (ב) אנחנו המגישים העיקריים (לקוחות שמחפשים לקוח ציבורי דרכנו). שני המודלים פעילים — תלוי במה הלקוח מחפש.

### כמה זה עולה?

חבילת DPO + GRC Lite — 15,000-28,000 ₪ לחודש. כולל DPO ראשי + ימי CISO/GRC חלקיים + סקרי סיכונים + ליווי ISO. פרויקטים נקודתיים (ליווי ISO certification מלא, ליווי SOC 2, מענה למכרז) מתומחרים נפרדים.

## צריכים פתרון משולב CISO + DPO?

שיחת היכרות של 30 דקות — מבינים את הצרכים, מציעים מודל ספציפי, ומבינים אם זה ההתאמה הנכונה.

[לקבוע שיחה](/contact)