ISO 27001 בישראל — מפת דרכים של 6 חודשים להסמכה

הסמכת ISO 27001 הפכה מ"נחמד שיש" ל"חובה" עבור עסקים ישראליים שעובדים עם לקוחות בינלאומיים, משתתפים במכרזים ציבוריים, או נדרשים לעמוד ברגולציה. מדריך זה מפרט ציר זמן מעשי של 6 חודשים — מנקודת האפס עד לביקורת מוצלחת.

למה ISO 27001 חשוב דווקא עכשיו

שלושה זרזים משנים את שוק ההסמכות בישראל:

1. **תיקון 13 לחוק הגנת הפרטיות** — חובות אבטחת מידע חדשות. ISO 27001 מספק מסגרת מוכחת שעונה על רוב הדרישות.
2. **דרישות לקוחות** — חברות בינלאומיות דורשות מספקים ישראליים הסמכה. בלי ISO — אתם מחוץ ל-shortlist.
3. **ביטוח סייבר** — חברות ביטוח מציעות פרמיות נמוכות יותר לארגונים מוסמכים. ההפרש יכול לממן את עלות ההסמכה.

ציר הזמן: 6 חודשים מאפס להסמכה

חודש 1-2: Gap Analysis ובניית בסיס

**שבוע 1-2: ניתוח פערים (Gap Analysis)** השוואה בין המצב הנוכחי לדרישות התקן. מפת דרכים שמראה בדיוק מה חסר.

תוצרים: - דוח Gap Analysis עם ממצאים וסדרי עדיפות - רשימת סיכונים ראשונית - הערכת משאבים נדרשים (כוח אדם, תקציב, זמן)

**שבוע 3-6: הגדרת היקף ומדיניות** - הגדרת ה-Scope: אילו מערכות, אתרים, ותהליכים נכללים בהסמכה - כתיבת מדיניות אבטחת מידע ראשית (Information Security Policy) - הגדרת תפקידים ואחריות — מי ה-ISMS Manager, מי הבעלים של כל סיכון - הקמת ועדת אבטחת מידע (גם אם היא ועדה של 3 אנשים)

**שבוע 7-8: הערכת סיכונים** הלב של ISO 27001. לכל נכס מידע: מה האיומים? מה ההסתברות? מה הנזק? מה עושים?

מתודולוגיה מומלצת: טבלת סיכונים עם דירוג 1-5 להסתברות ולהשפעה. כל סיכון מעל סף מסוים — דורש טיפול (בקרה, העברה, קבלה, או הימנעות).

חודש 3-4: הטמעת בקרות

**Annex A** של ISO 27001:2022 כולל 93 בקרות ב-4 קטגוריות: - **ארגוניות** — מדיניות, תפקידים, ניהול נכסים, סיווג מידע - **משאב אנושי** — סינון, הכשרה, סיום העסקה - **פיזיות** — גישה למתקנים, הגנת ציוד, אזורים מאובטחים - **טכנולוגיות** — הצפנה, בקרת גישה, ניטור, גיבוי

לא כל בקרה רלוונטית לכם. מסמך ה-Statement of Applicability (SoA) מגדיר אילו בקרות מיושמות ואילו לא — ולמה.

**צעדים מעשיים:** - יישום MFA בכל המערכות - הטמעת מערכת ניהול לוגים - הסדרת נוהלי גישה וסיסמאות - עדכון הסכמי ספקים עם סעיפי אבטחת מידע - הכנת נהלי תגובה לאירוע אבטחה (Incident Response)

חודש 5: תיעוד ומבדק פנימי

**תיעוד ISMS** ISO 27001 דורש תיעוד ספציפי: - מדיניות אבטחת מידע - הערכת סיכונים ותוכנית טיפול - Statement of Applicability - נהלי עבודה לכל בקרה רלוונטית - רישומי הכשרות, אירועים, ושינויים

**מבדק פנימי (Internal Audit)** ביקורת עצמית לפני הביקורת החיצונית. מבדק הפנימי חייב להיות עצמאי — מי שכתב את הנהלים לא מבקר אותם. ספק חיצוני יכול לבצע את המבדק, או עובד מחלקה אחרת.

**סקירת הנהלה (Management Review)** ישיבה רשמית עם הנהלה בכירה: מה מצב ה-ISMS, אילו סיכונים פתוחים, מה תוקצב, מה הוחלט. זה לא טקס — הביקורת החיצונית תבדוק שזה קרה.

חודש 6: ביקורת חיצונית

**Stage 1 — Document Review** המבקר בודק את התיעוד: מדיניות, הערכת סיכונים, SoA, נהלים. מזהה פערים לפני שמגיע לשטח. בדרך כלל יום-יומיים.

**Stage 2 — Certification Audit** המבקר מגיע לאתר, מראיין עובדים, בודק ראיות, מוודא שהנהלים חיים ולא רק כתובים. 2-5 ימים, תלוי בגודל הארגון.

תוצאות אפשריות: - **Major Non-Conformity** — הסמכה מותנית בתיקון תוך 90 יום - **Minor Non-Conformity** — לא מונע הסמכה, דורש תיקון - **Observation** — המלצה לשיפור - **הסמכה** — מזל טוב. תקפה ל-3 שנים עם ביקורות מעקב שנתיות.

כמה זה עולה

| רכיב | טווח עלות | |--------|-----------| | יועץ הטמעה | ₪40,000–100,000 | | ביקורת חיצונית | ₪15,000–35,000 | | כלים וטכנולוגיה | ₪10,000–30,000 | | הכשרות | ₪5,000–15,000 | | **סה"כ** | **₪70,000–180,000** |

העלות תלויה בגודל הארגון, מורכבות התשתית, והמצב הנוכחי (ארגון שכבר מנהל אבטחת מידע ישלם פחות).

שגיאות נפוצות שעולות ביוקר

1. **הסמכה בלי תרבות** — ארגון שמשקיע בנהלים בלי לשנות התנהגות. הביקורת תעבור, השנה הבאה תיכשל.
2. **Scope רחב מדי** — מסמכים את כל הארגון כשאפשר להתחיל ממחלקה אחת. גוזל זמן ותקציב מיותרים.
3. **תיעוד יתר** — 500 עמודי נהלים שאף אחד לא קורא. תיעוד יעיל הוא תיעוד שעובדים באמת משתמשים בו.
4. **התעלמות מספקים** — שרשרת האספקה חייבת להיכלל. ספק ענן בלי SLA מתאים = ממצא בביקורת.

איך DLTS מלווה הסמכות ISO 27001

אנחנו לא רק יועצים — אנחנו מנהלים IT. המשמעות: ההטמעה הטכנית (MFA, ניטור, גיבויים, בקרת גישה) קורית בו-זמנית עם הייעוץ. לא שני ספקים שמדברים בשפות שונות. ספק אחד שמבין גם את התקן וגם את השרת.

[תאמו שיחת היכרות לגבי ISO 27001](/contact)

שאלות נפוצות

**האם ISO 27001 רלוונטי לעסקים קטנים?** כן. התקן הוא scalable — הוא לא דורש צוות אבטחה של 20 איש. עסק של 30 עובדים יכול להגיע להסמכה עם ISMS Manager אחד (פנימי או חיצוני) ותמיכת MSP.

**האם ההסמכה תקפה לצמיתות?** לא. ההסמכה תקפה ל-3 שנים. בשנה הראשונה והשנייה — ביקורת מעקב. בשנה השלישית — ביקורת חידוש מלאה (Recertification).

**כמה זמן לוקח אם כבר עומדים ב-SOC 2?** פחות. SOC 2 ו-ISO 27001 חופפים בכ-70-80% מהבקרות. ארגון עם SOC 2 פעיל יכול להגיע להסמכה ISO תוך 2-3 חודשים.

מפת דרכים עדכנית — ISO 27001:2022

גרסת 2022 שינתה את Annex A: במקום 114 Controls ב-14 קטגוריות — 93 Controls ב-4 קטגוריות: Organizational (37), People (8), Physical (14), Technological (34).

11 Controls חדשים שכדאי להכיר

• **Threat Intelligence** — לעקוב אחרי איומים רלוונטיים
• **Cloud Security** — מדיניות שימוש בענן
• **ICT Readiness for BC** — IT מוכן ל-Business Continuity
• **Data Masking** — הסתרת נתונים רגישים
• **DLP** — מניעת דליפת מידע
• **Monitoring** — ניטור פעילויות חריגות
• **Web Filtering** — סינון גלישה
• **Secure Coding** — פיתוח מאובטח

טיפ לעסקים ישראליים

אם אתם מתחילים עכשיו — ישר על 2022. אם יש הסמכה 2013 — צריכים Transition עד אוקטובר 2025 (כבר עבר). ודאו שגוף ההסמכה שלכם עדכן.

קראו גם: [ISO 27001 לעסקים](/blog/iso-27001-la-asakim) | [Gap Analysis](/blog/iso-gap-analysis-la-asakim)