כל מה שצריך לדעת על עדכון תקן ISO 27701:2025

מאת כריסטי ריי • 26 נובמבר 2025

ארגון התקינה הבינלאומי (ISO) פרסם את העדכון תקן ISO/IEC 27701 לניהול מידע פרטיות באוקטובר 2025. בעבר הרחבה ל ISO 27001 ו-ISO 27002, עדכון ISO 27701:2025 קובע ISO 27701 כסטנדרט עצמאי.

בבלוג זה, נחקור את ההבדלים בין תקן ISO 27701:2025 לגרסה משנת 2019 ונדון במשמעותם עבור העסק שלך.

מה השתנה בתקן ISO 27701:2025?

השינוי של תקן ISO 27701 מהרחבה לתקן בפני עצמו מגיע עם כותרת חדשה; אבטחת מידע, אבטחת סייבר והגנה על פרטיות – מערכות ניהול מידע פרטיות, המשקף את מעמדו החדש. זה מחליף את הכותרת הקודמת, טכניקות אבטחה - הרחבה ל-ISO/IEC 27001 ו-ISO/IEC 27002 לניהול מידע פרטי.

שינויים ברמה העליונה כוללים:

ISO 27701 הוא כעת תקן ולא הרחבה של ISO 27001.
סעיפי ניהול 4.1 עד 10.2 נוספו
נספחים שינו את שמם ומספרם
בקרות הפרטיות נשארות זהות, עם אותן דרישות
נוסף נספח חדש המכיל 29 בקרות אבטחת מידע
בקרות אבטחת מידע חדשות מחליפות את סעיף 6 בתקן ISO 27701:2019.

נבחן את השינויים הללו לעומק רב יותר.

שינוי מבנה הסעיפים מ-ISO 27701:2019 עד ISO 27701:2025

התקן עבר ארגון מחדש, כאשר סעיפי הניהול 4.1 עד 10.2 הוצגו בהתאם ל-ISO 27001 ו-ISO 27002.

הגרסה הקודמת של התקן, ISO 27701:2019, כללה סעיפים המפרטים דרישות ספציפיות ל-PIMS (מערכת ניהול מידע פרטי) ביחס ל-ISO 27001, דרישות ספציפיות ל-PIMS ביחס ל-ISO 27002, הנחיות נוספות לבקרי מידע אישי מזהה (PII) והנחיות נוספות למעבדי PII.

סעיף 1, היקף, מתייחס כעת לדרישות להקמה, יישום, תחזוקה ושיפור מתמיד של מערכת ניהול מידע פרטיות (PIMS) עצמאית במקום לבנות PIMS כהרחבה ל-ISO 27001 ו-ISO 27002.

סעיף 2, הפניות נורמטיביות, מכיל רשימה קצרה יותר של מקורות, עקב קיומו של תקן ISO 27701 כתקן ולא כהרחבה. עדכון 2025 מתייחס רק לתקן ISO/IEC 29100. טכנולוגיית מידע - טכניקות אבטחה - מסגרת פרטיות.

ההפניות שהוסרו ממהדורת 2019 כוללות:

ISO/IEC 27000, טכנולוגיית מידע - טכניקות אבטחה - מערכות ניהול אבטחת מידע - סקירה כללית ומילון מונחים
ISO/IEC 27001:2013, טכנולוגיית מידע - טכניקות אבטחה - מערכות ניהול אבטחת מידע - דרישות
ISO/IEC 27002:2013, טכנולוגיית מידע - טכניקות אבטחה - קוד נוהג לבקרות אבטחת מידע.

סעיף 3, מונחים, הגדרות וקיצורים, הורחב עקב היקף התקן הרחב יותר, וכעת כולל התייחסויות למטרות, צדדים מעוניינים וכו', בהתאם לתקני ISO אחרים.

סעיף 4 עכשיו בהקשר של הארגון. סעיף זה דורש מארגונים לקבוע סוגיות פנימיות וחיצוניות הרלוונטיות ליכולתם להשיג את התוצאות הרצויות של מערכות ה-PIMS שלהם. עליהם גם לקבוע את הצרכים והציפיות של הצדדים המעוניינים, לקבוע את היקף מערכות ה-PIMS שלהם, ולאחר מכן להקים, ליישם, לתחזק ולשפר אותן.

סעיף 5 עכשיו מַנהִיגוּת, המחליף את הדרישות הספציפיות ל-PIMS הקשורות ל-ISO 27001 מתקן 2019. סעיף זה נועד להבטיח שההנהלה הבכירה תדגים מנהיגות ומחויבות בנוגע ל-PIMS שלה, תקבע מדיניות פרטיות מתאימה ותאציל תפקידים, אחריות וסמכויות כראוי.

סעיף 6 עכשיו תִכנוּן, החלפת הדרישות הספציפיות ל-PIMS הקשורות ל-ISO 27002 מתקן 2019. סעיף זה מתמקד בפעולות לטיפול בסיכונים והזדמנויות, כולל הערכת סיכוני פרטיות וטיפול בהם. ארגונים חייבים גם לקבוע יעדי פרטיות ולתכנן כיצד להשיגם, ולתכנן שינויים ב-PIMS.

סעיף 7 עכשיו תְמִיכָה, מחליף את ההנחיות הנוספות של תקן ISO 27002 לבקרי PII. סעיף זה דורש מארגונים להבטיח כי משאבים, יכולת, מודעות, תקשורת ומידע מתועד מתאימים זמינים להקמה, יישום, תחזוקה ושיפור מתמיד של מערכת ה-PIMS.

סעיף 8 עכשיו מבצע, המחליף את ההנחיות הנוספות של תקן ISO 27002 למעבדי מידע מזהה אישי. הסעיף מחייב ארגונים לתכנן, ליישם ולשלוט בתהליכים הנדרשים כדי לעמוד בדרישות התאימות. כמו כן, הוא מחייב ארגונים לבצע הערכות סיכוני פרטיות וליישם טיפולים בסיכוני פרטיות.

סעיף 9, הערכת ביצועים הינה תוספת חדשה לתקן. סעיף זה מתמקד בניטור, מדידה, ניתוח והערכה, כולל ביקורות פנימיות וסקירות הנהלה.

סעיף 10, שיפור, גם היא תוספת חדשה לתקן. היא דורשת מארגונים לנקוט בפעולות לשיפור מתמיד של מערכת ה-PIMS שלהם.

סעיף 11, מידע נוסף על נספחים, היא תוספת חדשה ומספקת מידע על נספחים ג', ד', ה' ו-ו'.

שינויים בנספחים

נספחי התקן ISO 27701 שינו את שמם ומספרם, אך בקרות הפרטיות נותרו זהות ומכילות את אותן דרישות. נספח A מאוחד לאחד, במקום בו היה בעבר שני נספחים נפרדים עבור מעבדי PII ובקרי PII.

עם זאת, נוספו בקרות אבטחת מידע חדשות.

בקרות אבטחת מידע חדשות

29 בקרות אבטחת המידע החדשות ממוקמות בטבלה A.3 – יעדי בקרה ובקרות עבור בקרי PII ומעבדי PII. הבקרות כוללות:

מדיניות לאבטחת מידע
סיווג מידע
ניהול זהות
זכויות גישה
טיפול באבטחת מידע במסגרת הסכמי ספקים
מודעות, חינוך והדרכה לאבטחת מידע

ועוד.

אני כבר מוסמך/ת לתקן ISO 27701, מה זה אומר עבורי?

המועד האחרון למעבר לתקן ISO 27701 החדש הוא אוקטובר 2028. עם זאת, רבות מבקרות אבטחת המידע בעדכון החדש של ISO 27701:2025 תואמות ישירות לדרישות עבור ISO 27001. כתוצאה מכך, ארגונים שכבר מוסמכים לתקן ISO 27701 כהרחבה של ISO 27001 אמורים למצוא את המעבר לתקן ISO 27701:2025 כתקן נפרד בצורה חלקה יחסית.

חזקו את עמדת פרטיות הנתונים שלכם עוד היום

פרטיות נתונים היא מרכיב מרכזי בלולאת התאימות של IO: אבטחת מידע, פרטיות נתונים וממשל בינה מלאכותית, כולם תומכים בחוסן הארגוני. ארגונים המטמיעים חוסן סייבר מתגלים במהירות כמובילים בתעשייה שלהם ומשיגים יתרון תחרותי. תקן ISO 27701 המעודכן תומך בבניית מערכת ניהול מידע לפרטיות ובשיפור נוהלי פרטיות נתונים באופן הוליסטי.

פלטפורמת ה-IO והכלים מוכנים לתמוך בכם כעת, החל מסיוע בהבנת השינויים, בדיקת ההשפעה על יעדי פרטיות הנתונים של הארגון שלכם, הנחיות יישום ומעבר להסמכה שלכם. נצלו את יתרון התאימות שלכם עוד היום – הזמינו את ההדגמה שלכם!

כריסטי ריי

כריסטי היא מומחית לשיווק תוכן ב-ISMS.online. עם ניסיון של למעלה משבע שנים, היא שואפת לכתוב תוכן אינפורמטיבי ומרתק ועבדה במגוון תעשיות כולל אבטחת סייבר, תוכנה כשירות, טכנולוגיה ותרופות.