עבור לתוכן
ISMS.online

ISO 27701 – סעיף 6.3 – ארגון אבטחת מידע

ISO 27701 סעיף 6.3 – ארגון אבטחת מידע דן בחשיבות של הקמת מסגרת מובנית לניהול אבטחת מידע בתוך ארגון. זה מכסה ממשל, ניהול סיכונים, הקצאת משאבים ושילוב מדיניות, ומבטיח שאמצעי אבטחה מתאימים לתהליכים עסקיים הכוללים כדי להגן על נתונים רגישים ולשמור על תאימות.

מְחַבֵּר
טובי קיין
עודכן בספטמבר 19, 2025
4/5 כוכבים

הבנת סעיף 6.3: ארגון אבטחת מידע ביעילות

הגנת הפרטיות צריכה להיות מנוהלת בתור א מושג, כמו גם מציאות מבצעית.

ארגונים צריכים לשקול את הגנת הפרטיות לא רק במונחים של המערכות שבהן הם משתמשים כדי להגן על הנתונים, אלא גם באופן שבו הם מנהלים את האנשים שניגשים ל-PII, וכיצד הגנת הפרטיות מטופלת לצד פונקציות עסקיות אחרות, כגון ניהול פרויקטים.

ISO 27701 6.3 מתאר כיצד ארגונים יכולים לנהל את הגנת הפרטיות כתהליך מקצה לקצה, הכולל את הגורמים לעיל.

מה מכוסה בסעיף 27701 של ISO 6.3

ISO 27701 6.3 מכיל שלושה סעיפי משנה הכוללים הנחיה ספציפית להגנת הפרטיות, המותאמים מ- שלושה סעיפים תומכים ב-ISO 27002:

  • ISO 27701 6.3.1.1 - תפקידים ואחריות של אבטחת מידע (References ISO 27002 control 5.2)
  • ISO 27701 6.3.1.2 - הפרדת תפקידים (References ISO 27002 control 5.3)
  • ISO 27701 6.3.1.5 – אבטחת מידע בניהול פרויקטים (References ISO 27002 control 5.8)

הנחיות נוספות ספציפיות ל-PIMS המתייחסות לעיבוד של PII ניתן למצוא בסעיף 6.3.1.1, המקושר גם למאמרים הכלולים בחקיקה של GDPR.

שים לב שהציטוטים של GDPR הם למטרות אינדיקטיביות בלבד. ארגונים צריכים לבחון את החקיקה ולעשות שיקול דעת בעצמם על אילו חלקים בחוק חלים עליהם.



ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

ניהול כל דרישות התאימות, הכל במקום אחד

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך


ISO 27701 סעיף 6.3.1.1 – תפקידים ואחריות של אבטחת מידע

הפניות ISO 27002 בקרה 5.2

ארגונים צריכים להגדיר תפקידים ואחריות שהם ספציפיים לפונקציות בודדות הכלולים במדיניות הגנת הפרטיות שלהם - הן המדיניות הכללית והן המדיניות הספציפית לנושא.

אנשים בעלי אחריות ספציפית צריכים להיות מיומנים מספיק כדי לבצע משימות הקשורות לפרטיות, ויש להציע להם תמיכה מתמשכת השומרת על רמת כשירות מקובלת.

תחומי אחריות צריכים לכלול:

  1. הגנה על PII וכל נכס הקשור לפרטיות.
  2. ביצוע נהלי הגנת הפרטיות.
  3. פעילויות ניהול סיכונים הקשורות ל-PII, כולל פעולות מתקנות.
  4. כל מי שמשתמש במידע ובנתונים של הארגון, לרבות שימוש בנכסי תקשוב.
  5. אנשים עם אחריות ברמה העליונה להגנת הפרטיות מאצילים משימות לאחרים.

ISO מכירה בכך שכל ארגון הוא ייחודי באופן שבו הם מעבדים מידע. תחומי האחריות הנ"ל צריכים להיות מלווים בהנחיות ספציפיות לאתר ולמתקן הלוקחות בחשבון גורמים בעולם האמיתי המשפיעים על פעולת עיבוד PII של הארגון.

יש לתעד בבירור את כל האחריות ואזורי האבטחה לעיל ולהיות זמינים לכל אנשי הצוות הרלוונטיים.

הדרכה ספציפית נוספת ל-PIMS

ארגונים צריכים למנות אדם שלקוחות (ורשויות חיצוניות) יוכלו להשתמש בו כנקודת קשר ייעודית לכל העניינים הקשורים ל-PII (ראה ISO 27701 7.3.2).

בנוסף, ארגונים צריכים להאציל אחריות לאדם אחד או יותר לבניית תוכנית ניהול פרטיות ארגונית שתחזק את הציות לחוקים ולתקנות PII מקומיים ולאומיים.

מאמרי GDPR ישימים

  • סעיף 27 – (1), (2)(א), (2)(ב), (3), (4), (5)
  • סעיף 37 – (1)(א), (1)(ב), (1)(ג), (2), (3), (4), (5), (6), (7)
  • סעיף 38 – (1), (2), (3), (4), (5), (6)
  • סעיף 39 – (1)(א), (1)(ב), (1)(ג), (1)(ד), (1)(ה), (2)

סעיפים תומכים

  • ISO 27701 סעיף 7.3.2

ISO 27701 סעיף 6.3.1.2 – הפרדת תפקידים

הפניות ISO 27002 בקרה 5.3

בארגון עם הרבה תפקידים שונים הקשורים לפרטיות, אחריות וחובות יכולים לעתים קרובות להתנגש אחד עם השני.

אנשים יכולים לעתים קרובות לבצע תפקידים שיש להם פוטנציאל לסכן PII, מתוקף היותם הסמכות הבלעדית או חסרי פיקוח ניהולי.

יש להפריד תחומי אחריות כדי להבטיח פעולה חזקה יותר של הגנה על הפרטיות. דוגמאות לתפקידים שעשויים להכיל התנגשויות כוללות:

  • בקשה, אישור או יישום שינוי ב-PIMS.
  • ביצוע תיקונים לזכויות גישה, כולל RBAC.
  • כתיבה או תיקון קוד, או ביצוע כל סוג של פיתוח אפליקציות.
  • ניצול אפליקציות או מסדי נתונים העוסקים בעיבוד ו/או אחסון PII.
  • ניסוח, אישור ו/או סקירת בקרות הגנת הפרטיות.

יש לפתח בקרות הפרדה תוך התחשבות בגורמים שונים:

  • מניעת קנוניה.
  • זיהוי קונפליקטים.
  • מעקב אחר פעילויות.
  • יצירת מסלולי ביקורת.
  • אוטומציה של תהליך זיהוי קונפליקטים.

ISO מכירה בכך שארגונים קטנים יותר עשויים להתקשות להפריד בין תפקידים, בהתחשב במשאבים המוגבלים שלהם, אך בכל זאת יש להמשיך את כל רעיון ההפרדה ככל שניתן מבחינה מסחרית ותפעולית.



טיפוס

שחררו את עצמכם מהר של גיליונות אלקטרוניים

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך


ISO 27701 סעיף 6.3.1.5 – אבטחת מידע בניהול פרויקטים

הפניות ISO 27002 בקרה 5.8

בנוסף ליצירת הכנסה חוזרת יומיומית, הגנת הפרטיות צריכה להתרחב גם לפעילויות יישום וניהול פרויקטים.

פרויקטים כוללים לרוב הגירה, יצירה ושינוי של כמויות עצומות של PII, וככאלה, יש לתת להם שיקול נאות על מנת שארגונים ישמרו על ציות לחוקים מקומיים ולאומיים הקשורים לפרטיות ולהנחיות רגולטוריות.

"פרויקט" יכול להיות כל פעילות שמשנה דרך עבודה סטנדרטית, או מציגה תהליך ו/או ציוד ויישומים חדשים לארגון.

פעילויות ניהול פרויקטים צריכות להבטיח כי:

  1. סיכונים ודרישות להגנת הפרטיות ניתנים בחשבון בשלב מוקדם של הפרויקט, ונשמרים לאורך כל מחזור החיים של הפרויקט (ראה ISO 27002, סעיפים 5.32 ו-8.26).
  2. הגנת הפרטיות מנוטרת ופועלת באופן שוטף - באמצעות הערכות רשמיות של אנשים מתאימים או גופי ממשל, ומבחנים מובנים.
  3. כל התפקידים הקשורים להגנת פרטיות ספציפית לפרויקט מוגדרים בבירור.
  4. כל מוצר או שירות שיסופקו כחלק מהפרויקט צריכים להיווצר בהתאם לתקני הפרטיות המפורסמים של הארגון.
  5. הגנת הפרטיות מתחזקת באמצעות שיטות כגון מודלים של איומים, סקירות תקריות, ספי פגיעות ותכנון מגירה.

מאמצי הגנת הפרטיות אינם צריכים להיות מוגבלים לפרויקטי ICT. ארגונים צריכים לשקול מגוון גורמים בעת קביעת דרישות ספציפיות הקשורות ל-PII, כולל:

  • משתני המידע הייחודיים, לרבות מה כרוך בנתונים ספציפיים, צרכי האבטחה שלו וההשלכות של הפרה או שימוש לרעה.
  • הבטחות שצריך לחפש במונחים של סודיות, יושרה וזמינות.
  • מתן זכויות גישה ופרוטוקולי הרשאה לאנשי פנים וחוץ (כולל לקוחות).
  • הצבת ציפיות ברורות שיודיעו למשתמשים על חובותיהם.
  • הדרישות של בקרות אבטחה פנימיות אחרות.
  • כל פעולות הקשורות למערכת הנדרשות עקב פעילות תפעולית (למשל, רישום עסקאות).
  • שמירה על עמידה בדרישות משפטיות, רגולטוריות וחוזיות.
  • התחייבויות חוזיות של צד שלישי המתואמות לתקני הפרטיות של הארגון עצמו.

בקרות ISO 27002 רלוונטיות

  • ISO 27002 5.32
  • ISO 27002 8.26

בקרות תומכות מ-ISO 27002 ו-GDPR

מזהה סעיף ISO 27701 שם סעיף ISO 27701 דרישת ISO 27002 מאמרי GDPR משויכים
6.3.1.1 תפקידים ואחריות של אבטחת מידע
5.2 – תפקידים ואחריות של אבטחת מידע עבור ISO 27002
 		מאמרים (27), (37), (38), (39)
6.3.1.2 הפרדת תפקידים
5.3 – הפרדת חובות עבור ISO 27002
 		ללא חתימה
6.3.1.5 אבטחת מידע בניהול פרויקטים
5.8 – אבטחת מידע בניהול פרויקטים עבור ISO 27002
 		ללא חתימה

כיצד ISMS.online עוזר

פתרונות ה-ISMS.online שלנו מקלים על ארגונים להשיג פיקוח על הפרויקט, ומבטיחים שהמדיניות והנהלים של בקר הנתונים והמעבד תואמים לתקן ISO.

המערכת המקוונת שלנו גם מבטיחה שלמיישמי מערכות יש מקום אחד להתייחסות ולשיתוף פעולה.

שיטת התוצאות המובטחות שלנו (ARM) מאפשרת לך להיות בטוח שאתה מסמן את כל התיבות שאתה צריך כדי לעמוד בתקן.

גלה עוד וקבל הדגמה ידיים על ידי הזמנת הדגמה.

טובי קיין

מנהל הצלחת לקוחות שותף

טובי קיין הוא מנהל שותפים בכיר להצלחה ב-ISMS.online. הוא עובד בחברה קרוב ל-4 שנים ומילא מגוון תפקידים, כולל אירוח וובינרים. לפני שעבד ב-SaaS, טובי היה מורה בבית ספר תיכון.

לינקדין

סעיפי ISO 27701

אנחנו מובילים בתחומנו

4/5 כוכבים
משתמשים אוהבים אותנו
לידר - חורף 2026
מנהיג אזורי - חורף 2026 בריטניה
מנהיג אזורי - חורף 2026 האיחוד האירופי
מוביל אזורי - חורף 2026 שוק בינוני האיחוד האירופי
מנהיג אזורי - חורף 2026 EMEA
מוביל אזורי - חורף 2026 שוק בינוני EMEA

"ISMS.Online, כלי יוצא מן הכלל לציות לתקנות"

— ג'ים מ.

"הופך את הביקורת החיצונית לפשוטה ומקשרת את כל ההיבטים של ה-ISMS שלך יחד בצורה חלקה"

— קארן סי.

"פתרון חדשני לניהול ISO והסמכות אחרות"

— בן ה.

צא לסיור וירטואלי

התחל עכשיו את ההדגמה האינטראקטיבית החינמית שלך בת 2 דקות ותראה
ISMS.online בפעולה!

נסה את זה עכשיו
לוח מחוונים של הפלטפורמה במצב חדש לגמרי

מוכן להתחיל?

הזמן הדגמה