עבור לתוכן
ISMS.online

ISO 27701 – סעיף 6.2 – מדיניות אבטחת מידע

ISO 27701 סעיף 6.2 מדגיש את הצורך בהקמת, תחזוקה ובדיקה קבועה של מדיניות אבטחת מידע כדי להגן על מידע אישי מזהה (PII), תוך הבטחת התאמה עם האסטרטגיה העסקית ותאימות עם ISO 27002 בקרה 5.1.

מְחַבֵּר
טובי קיין
עודכן בספטמבר 19, 2025
4/5 כוכבים

מרכיבי מפתח של סעיף 6.2: מסגרת מדיניות להגנה על PII

מדיניות הגנת הפרטיות מספקת מסגרת תפעולית לארגונים להתנהל כבקר נתונים אחראי, ולחנך את הצוות על החובות היומיומיות שלהם בכל הנוגע ל-PII.

יש לאשר את תיעוד המדיניות על ידי ההנהלה הבכירה ולהעביר אותו לצוות כך שכולם בארגון יעבדו לפי אותה מערכת של עקרונות מנחים הקשורים ל-PII.

מה מכוסה בסעיף 27701 של ISO 6.2

ISO 27701 6.2 מכיל שני סעיפי משנה המספקים הנחיות ספציפיות להגנת הפרטיות:

  • ISO 27701 6.2.1.1 - מדיניות לאבטחת מידע (References ISO 27002 Control 5.1)
  • ISO 27701 6.2.1.2 - סקירת מדיניות אבטחת מידע (References ISO 27002 Control 5.1)

כמו בסעיפים אחרים בתקן, ISO 27701 סעיף 6.2 מתייחס חזרה ל-ISO 27002 כאשר מתארים כיצד ארגונים צריכים לטפל במידע הקשור ל-PII ו-PIMS.

הנוסח של ISO 27701 6.2 מכיל הפניות ל-ISO 27002:2013, אך תקן זה הוחלף כעת בגרסה עדכנית יותר – ISO 27002:2022. כאשר יש הפניות לסעיפים בתוך ISO 27002:2013, הצלבנו ציטוטים עם הגרסאות המעודכנות שלהם ב-ISO 27002:2022.

לשם כך, ISO 27701 6.2 מקושר לשני תקנים מ-ISO 27002:2013 (5.1.1 ו-5.1.2) אשר מוזגו לתקן אחד בתוך ISO 27002:2022 (5.1).



ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

יתרון של 81% מהיום הראשון

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן


ISO 27701 סעיף 6.2.1.1 – מדיניות לאבטחת מידע

הפניות ISO 27002 בקרה 5.1

ISO דוגל בגישה דו-חזיתית להגנה על פרטיות ארגונית הכוללת:

  • מדיניות הגנת הפרטיות הכללית.
  • מדיניות הגנת פרטיות ספציפית לנושא.

ניתן לשלב את שני סוגי המדיניות למסמך אחד, או להפריד לפי הארגון.

יש להפיץ את המדיניות לכל אנשי הצוות הרלוונטיים (ולאנשי חוץ, אם יש צורך בכך), כדי להבטיח עמידה מתמשכת בדרישות הגנת הפרטיות הפנימיות והחיצוניות.

יש לבקש מכל מי שמקבל פוליסה לאשר, רצוי בכתב, כי שניהם מבינים מה מבקשים ממנו, ומוכנים להיענות.

יש לבדוק את המדיניות כאשר מתבצעים שינויים ב:

  1. אסטרטגיה עסקית.
  2. שיטות תפעול/סביבות טכניות.
  3. כל חוק (כולל GDPR), תניות רגולטוריות או הנחיות כלליות הקשורות ל-PII שלארגון מוטלת האחריות לציית אליהם.
  4. רמות הסיכון להגנת הפרטיות ונוף האיומים הרווח/הצפוי.

מדיניות ספציפית לנושא

גישה ספציפית לנושא להגנת הפרטיות מעניקה לארגון את החופש להתמודד עם מרכיבים בודדים של פעולת עיבוד הנתונים/אבטחת המידע שלהם על בסיס נושא-נושא, עם מדיניות נפרדת לכל אחד מהם.

תחומים ספציפיים לנושא יכולים לכלול פונקציות ICT כגון בקרת גישה, אבטחת רשת, תכנון BUDR ותהליכי הצפנה.

כל מדיניות ספציפית לנושא צריכה להיווצר בהתאם למדיניות הגנת הפרטיות הכוללת של הארגון, ולהיות מנוסחת על ידי יחידים מחלקים (לאו דווקא ההנהלה הבכירה) המחזיקים ברמת המומחיות והיכולת הרלוונטית בתחום לשיקול.

מדיניות הגנת הפרטיות הכללית

ההנהלה הבכירה צריכה לקבוע מדיניות הגנת הפרטיות ברמה העליונה המתארת ​​בבירור את התהליכים והצעדים המעשיים שיינקטו על מנת להגן על PII. מדיניות הגנת הפרטיות הארגונית צריכה להכיל מידע מ- ולהישאר רלוונטי ל:

  • האסטרטגיה העסקית הכוללת.
  • כל דרישות רגולטוריות, משפטיות או חוזיות רווחות.
  • כל סיכוני הגנת הפרטיות ברורים ונוכחים.

מדיניות הגנת הפרטיות צריכה להגדיר את:

  1. הגדרה אופרטיבית של הגנת הפרטיות.
  2. יעדי הגנת הפרטיות המוצהרים.
  3. מערכת רחבה יותר של עקרונות שליטה הנוגעים להגנה על PII.
  4. מחויבות לעמידה ביעדים הקשורים ל-PII שלהם, ושיפורם על בסיס מתמשך.
  5. גישה להאצלת אחריות על מדיניות הגנת הפרטיות כולה או חלק ממנה לסוגי התפקידים הרלוונטיים.
  6. גישה לטיפול בחריגים בפוליסה.
  7. מתכנן להנהלה הבכירה לבדוק ולאשר שינויים.

הנחיה נוספת ספציפית ל-PII

ארגונים צריכים ליישם מדיניות ונהלים העוסקים ספציפית בכל חקיקה רווחת הקשורה ל-PII, הנחיות רגולטוריות או הסכמים חוזיים. כאשר מעורבים ארגוני צד שלישי, המדיניות צריכה לתאר בבירור את האחריות לזיהוי אישי של שני הצדדים.

מאמרי GDPR ישימים

  • סעיף 24 – (24)(2)


טיפוס

שחררו את עצמכם מהר של גיליונות אלקטרוניים

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך


ISO 27701 סעיף 6.2.1.2 - סקירת המדיניות לאבטחת מידע

הפניות ISO 27002 בקרה 5.1

ISO 27701 סעיף 6.2.1.2 מכיל בדיוק את אותה הנחיה כמו ISO 27701 סעיף 6.2.1.1, ללא דרישות נוספות הקשורות ל-PII.

בקרות תומכות מ-ISO 27002 ו-GDPR

מזהה סעיף ISO 27701 שם סעיף ISO 27701 דרישת ISO 27002 מאמרי GDPR משויכים
6.2.1.1 מדיניות אבטחת מידע
5.1 – מדיניות לאבטחת מידע עבור ISO 27002
 		סעיף (24)
6.2.1.2 סקירת המדיניות לאבטחת מידע
5.1 – מדיניות לאבטחת מידע עבור ISO 27002
 		ללא חתימה

כיצד ISMS.online עוזר

זה יכול להיות קשה לדעת מאיפה להתחיל עם ISO 27701, במיוחד אם מעולם לא נאלצת לעשות דבר כזה בעבר. זה המקום שבו ISMS.online נכנס לתמונה!

פתרונות ה-ISO 27701 שלנו מספקים מסגרות המאפשרות לארגון שלך להפגין תאימות ל-ISO 27701.

מומחי אבטחת המידע שלנו יכולים לעבוד איתך כדי להבטיח שאתה מפתח תהליך יישום לוגי המתאים למסגרת התיעוד המקוונת.

גלה עוד וקבל הדגמה ידיים על ידי הזמנת הדגמה.

טובי קיין

מנהל הצלחת לקוחות שותף

טובי קיין הוא מנהל שותפים בכיר להצלחה ב-ISMS.online. הוא עובד בחברה קרוב ל-4 שנים ומילא מגוון תפקידים, כולל אירוח וובינרים. לפני שעבד ב-SaaS, טובי היה מורה בבית ספר תיכון.

לינקדין

סעיפי ISO 27701

אנחנו מובילים בתחומנו

4/5 כוכבים
משתמשים אוהבים אותנו
לידר - חורף 2026
מנהיג אזורי - חורף 2026 בריטניה
מנהיג אזורי - חורף 2026 האיחוד האירופי
מוביל אזורי - חורף 2026 שוק בינוני האיחוד האירופי
מנהיג אזורי - חורף 2026 EMEA
מוביל אזורי - חורף 2026 שוק בינוני EMEA

"ISMS.Online, כלי יוצא מן הכלל לציות לתקנות"

— ג'ים מ.

"הופך את הביקורת החיצונית לפשוטה ומקשרת את כל ההיבטים של ה-ISMS שלך יחד בצורה חלקה"

— קארן סי.

"פתרון חדשני לניהול ISO והסמכות אחרות"

— בן ה.

צא לסיור וירטואלי

התחל עכשיו את ההדגמה האינטראקטיבית החינמית שלך בת 2 דקות ותראה
ISMS.online בפעולה!

נסה את זה עכשיו
לוח מחוונים של הפלטפורמה במצב חדש לגמרי

מוכן להתחיל?

הזמן הדגמה