אבטחת מידע וסייבר כבר אינם רק נושא טכנולוגי אלא חלק בלתי נפרד מניהול סיכונים, רגולציה, עמידה בדרישות לקוחות, הגנה על מידע רגיש, רציפות עסקית ואמון שוק.
ארגונים נדרשים היום להוכיח לא רק שיש להם אמצעי הגנה, אלא שהם פועלים באופן שיטתי, מתועד, מבוקר ומותאם לדרישות התקנים, הרגולציה והלקוחות שלהם.
אנו מספקים מעטפת שירותים מקצועית בתחום אבטחת המידע והסייבר, המאפשרת לארגונים לצמצם חשיפה, לחזק את מערך ההגנה, לעמוד בדרישות תקנים ולקוחות, ולהתקדם בצורה פרקטית ומבוקרת.
ליווי ארגונים בהיערכות, בהטמעה ובהבשלה לעמידה בדרישות תקנים ורגולציות בתחום אבטחת המידע והבריאות.
השירות מתאים לארגונים שרוצים לבנות או לחזק מערכת ניהול אבטחת מידע, להסדיר בקרות, נהלים וניהול סיכונים, ולהיערך לעמידה בדרישות מוכרות בארץ ובעולם. ISO 27001 מגדיר את הדרישות למערכת ניהול אבטחת מידע, ISO 27799 מספק הנחיות ייעודיות לארגוני בריאות, ו־HIPAA Security Rule מחייב אמצעי הגנה מנהליים, פיזיים וטכניים למידע רפואי אלקטרוני.
למידע נוסף על תקני אבטחת מידע ISO 27001, ISO 27799, HIPAA
ליווי לארגונים המשתמשים בשירותי ענן או מספקים שירותי ענן, לצורך יישום בקרות ייעודיות לסביבת ענן.
ISO 27017 מספק הנחיות ובקרות נוספות הרלוונטיות לספקי ענן וללקוחות ענן, מעבר למסגרת הכללית של ISO/IEC 27002.
למידע נוסף על 27017 ISO לניהול אבטחת מידע בענן
שירות המיועד לארגונים המעבדים מידע אישי בסביבת ענן, ומעוניינים ליישם בקרות ייעודיות להגנה על PII.
ISO 27018 מספק הנחיות להגנה על מידע אישי בשירותי ענן ציבורי, במיוחד כאשר ספק הענן פועל כמעבד מידע אישי.
למידע נוסף על ISO 27018 לניהול אבטחת מידע אישי בענן
שירות ממוקד לזיהוי חולשות, פערים, איומים ונקודות תורפה במערכות, בתהליכים ובסביבות העבודה של הארגון.
השירות מסייע לארגון להבין את רמת החשיפה בפועל, לתעדף סיכונים, ולבנות תכנית טיפול ממוקדת.
למידע נוסף על סקר סיכוני אבטחת מידע / ביצוע מבדק חדירה
שירות המיועד לארגונים שזקוקים להובלה מקצועית של תחום אבטחת המידע והסייבר, ללא העסקת CISO במשרה מלאה.
השירות כולל ליווי הנהלה, מדיניות, תכניות עבודה, ניהול סיכונים, עמידה בדרישות לקוחות ורגולציה, והכוונה מקצועית שוטפת.
למידע נוסף על אבטחת מידע וסייבר במיקור חוץ – CISO כשירות
שירות לארגונים שזיהו חולשות משמעותיות, חוו אירוע אבטחה, או קיבלו ממצאים קריטיים בבדיקת סיכונים או במבדק חדירה.
המטרה היא לא רק “לתקן ממצא”, אלא לחזק את החוסן הארגוני, לשפר בקרות, להסדיר תהליכים ולהחזיר שליטה.
למידע נוסף על שיקום חוסן מערכת אבטחת המידע לאחר בעקבות פריצה או סקר סיכונים
ליווי ארגונים, ובעיקר חברות טכנולוגיה ושירותים, בהיערכות ל־SOC 2.
SOC 2 הוא מסגרת דיווח על בקרות הקשורות לאבטחה, זמינות, שלמות עיבוד, סודיות ופרטיות, המבוססת על Trust Services Criteria של AICPA.
למידע נוסף על הכנת ארגונים לעמידה בדרישות SOC2
שירות לארגונים המעבדים, שומרים או מעבירים נתוני כרטיסי אשראי, וצריכים להיערך לעמידה בדרישות PCI DSS.
PCI DSS מגדיר דרישות טכניות ותפעוליות בסיסיות להגנה על נתוני תשלום לאורך מחזור החיים שלהם.
למידע נוסף על הסמכה לתקן PCI DSS לאבטחת קנייה עם כרטיסי אשראי
שירות שמטרתו לבדוק את רמת המודעות והעמידות של הארגון מול מתקפות דיוג, לזהות מוקדי חולשה התנהגותיים, ולחזק את מערך ההדרכה והמודעות הארגוני.
למידע נוסף על ביצוע תרגיל Phishing
ליווי ארגונים בהיערכות לדרישות רלוונטיות של מערך הסייבר הלאומי, לרבות שאלוני ספקים והגדרת רמת ההגנה הנדרשת לפי צורכי הלקוח או הגוף המזמין.
מערך הסייבר הלאומי מפעיל מסגרת להנגשת שאלון רמת ההגנה לספקים ולתהליכי התאמה לפי מתודה לאומית.
למידע נוסף על עמידה בדרישות מערך הסייבר הלאומי (שאלון יוב"ל)
שירות המיועד לארגונים שמפתחים תוכנה, מוצרים דיגיטליים, מערכות או אפליקציות, ורוצים לשלב אבטחה כחלק אינטגרלי ממחזור החיים של הפיתוח.
NIST Secure Software Development Framework מתאר פרקטיקות יסוד לפיתוח תוכנה מאובטח, ו־OWASP מספקת עקרונות מעשיים להטמעת קידוד מאובטח.
למידע נוסף על ייעוץ לפיתוח מאובטח
שירות לארגונים שעובדים מול לקוחות אמריקאיים, קבלנים ראשיים או שרשראות אספקה שדורשות עמידה ב־NIST SP 800-171.
הפרסום של NIST נועד להגן על CUI בסביבות של ארגונים לא-פדרליים, והוא דרישה שכיחה עבור ספקים העובדים מול גופים אמריקאיים.
למידע נוסף על תקן NIST SP 800-171 לספקי חברות אמריקאיות
ליווי ארגונים, בעיקר בשרשרת האספקה של תעשיית הרכב, בהיערכות לדרישות TISAX.
TISAX הוא מנגנון הערכה והחלפת תוצאות בתחום אבטחת המידע, שנועד לאפשר הכרה הדדית של תוצאות הערכה בין משתתפים בקהילה.
למידע נוסף על עמידה סדרישות TISAX
אבטחת מידע וסייבר אינם רק אוסף של בקרות טכניות.
כדי לעמוד באמת בדרישות, להפחית סיכונים ולחזק את החוסן הארגוני, נדרשת הסתכלות רחבה: רגולציה, תהליכים, ניהול סיכונים, פרטיות, טכנולוגיה, ספקים, הדרכות והטמעה.
המשמעות עבורכם ברורה: במקום לעבוד מול מספר ספקים נפרדים, אתם נהנים מליווי של חברת ייעוץ אחת, שמבינה לעומק את החיבור בין פרטיות, טכנולוגיה, אבטחת מידע, ניהול סיכונים וציות ומעמידה לרשותכם צוות מומחים בכל אחד מהתחומים הללו.
לא כל ארגון צריך את אותו מסלול.
יש ארגונים שצריכים תקן, אחרים צריכים סקר סיכונים, חלק זקוקים ל־CISO כשירות, ואחרים צריכים היערכות ללקוח גדול, רגולציה או אירוע אבטחה.
נשמח לסייע לכם להבין מהו השירות המתאים ביותר לארגון שלכם ולבנות מסלול עבודה נכון, מעשי ומותאם לצרכים שלכם.
הארגון שלכם מחזיק מידע אישי על עובדים, לקוחות, מועמדים, ספקים, מטופלים או משתמשים?
אם אין לכם ודאות שהארגון עומד בדרישות חוק הגנת הפרטיות, זה הזמן לעצור ולבדוק.
תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף ב-14 באוגוסט 2025, חיזק את מסגרת האכיפה, הרחיב את סמכויות הרשות להגנת הפרטיות והגדיל את החשיפה של ארגונים שלא נערכו נכון.
פרויקט הציות שלנו נועד לעזור לארגונים מכל סוג לזהות פערים, להסדיר את הנדרש, לבנות תשתית ציות מסודרת ולהפחית חשיפה לעיצומים כספיים, קנסות וסיכון רגולטורי.
לתיאום פגישת היכרות בנושא ציות לחוק הגנת הפרטיות, השאירו פרטים כאן
ברוב המקרים, הסיבה פשוטה מאוד:
הם רוצים להימנע מקנסות, מעיצומים כספיים ומחשיפה רגולטורית מיותרת.
הרבה ארגונים יודעים שיש אצלם מידע אישי, אבל לא בטוחים אם:
במצב כזה, הארגון נשאר חשוף.
לא תמיד רואים את הבעיה ביום-יום, אבל היא עלולה להתגלות ברגע הכי לא נכון: ביקורת, תלונה, אירוע אבטחה, דרישת מידע או בדיקה רגולטורית.
הפרויקט מתאים לארגונים מכל סוג ובכל גודל, במגזר הפרטי, הציבורי והשלישי, שמחזיקים או מעבדים מידע אישי.
הוא מתאים במיוחד כאשר:
מטרת הפרויקט היא להביא את הארגון למצב מסודר, מבוקר ומוכן יותר לדרישות החוק.
בפועל, זה אומר:
זהו פרויקט שמחבר בין דרישות החוק לבין אופן העבודה בפועל בארגון.
הפרויקט מותאם לפעילות הארגון, סוגי המידע, רמת החשיפה והמערכות הקיימות, וכולל לפי הצורך:
מיפוי המצב הקיים
בחינה של סוגי המידע האישי בארגון, מטרות העיבוד, המערכות, הספקים, ההרשאות והממשקים הרלוונטיים.
זיהוי פערי ציות
איתור פערים בין המצב בפועל לבין הדרישות החלות על הארגון.
תכנית פעולה מעשית
בניית תכנית עבודה מסודרת לפי סדרי עדיפויות: מה דחוף, מה חובה, ומה נכון להשלים בהמשך.
כתיבה והסדרה של מסמכים ונהלים
הכנה, עדכון או התאמה של מסמכי ליבה, מדיניות, נהלים ותבניות עבודה.
ליווי הנהלה ובעלי תפקידים
הצגת הפערים, הסיכונים והצעדים הנדרשים באופן ברור, מעשי וניהולי.
הכנה להמשך
בסיום הפרויקט ניתן להחליט אם הארגון צריך תחזוקה פנימית, ליווי נקודתי או שירות המשך.
בסיום הפרויקט, הארגון יקבל תוצרים פרקטיים ומסודרים, שנועדו לתמוך בעמידה בדרישות החוק, להפחית חשיפה לעיצומים כספיים ולקנסות, ולייצר בסיס עבודה ברור בתחום הפרטיות.
התוצרים מותאמים למאפייני הארגון ולהיקף הפרויקט, ויכולים לכלול:
המטרה היא שהארגון יסיים את הפרויקט עם מסמכי ליבה, נהלים, מיפוי פערים ותכנית פעולה מעשית.
אנו יודעים לקחת דרישות חוק ולהפוך אותן לתהליך עבודה ישים ומותאם לארגון.
הייחוד שלנו הוא בהיותנו חברה מולטי-דיסציפלינרית, המשלבת בין:
המשמעות עבור הלקוח היא רחבה:
לא רק פרויקט ציות ממוקד, אלא גם יכולת להסתכל על מוקדי החשיפה באופן כולל ולתת מענה משלים כשצריך.
בנוסף לפרויקט הציות, אנו יכולים לספק גם מעטפת שירותים משלימה, לרבות:
כך הארגון מקבל שותפים מקצועיים שמבינה רגולציה, תהליכים, סיכונים ואבטחת מידע.
השלב הראשון הוא פגישת היכרות.
בפגישה נבין:
לאחר מכן נוכל להציע מסלול עבודה מותאם לארגון שלכם.
תפקיד מנהל האיכות בארגון משתנה בצורה דרמטית.
בעולם שבו תהליכים היו ליניאריים, ניהול האיכות עסק בהגדרת תהליכי העבודה, סיוע ביישום, בקרה על היישום ווידוא עמידה בדרישות. כניסת AI משנה את כללי המשחק משום שההחלטות כבר לא מתקבלות רק על ידי אנשים. הן מתקבלות גם על ידי מערכות.
זו נקודה קריטית.
עד היום, מנהל האיכות שאל: האם התהליך מוגדר? האם עובדים לפי התהליך שהוגדר? האם יש בקרה?
היום הוא צריך לשאול: איך מתקבלות החלטות ומי באמת מקבל אותן?
תהליך קלאסי הינו: מוגדר, יציב, ניתן לבקרה.
מערכת AI – לומדת, משתנה ומושפעת מנתונים.
לכן ניהול האיכות כבר לא עוסק רק בתהליך אלא בהתנהגות של מערכת.
זה שינוי תפיסתי עמוק.
עד כה בדקנו אם ביצעו נכון את התהליך שהוגדר. היום צריך לבדוק אם התקבלה החלטה נכונה. מדובר בתהליך הרבה יותר מורכב, כיוון שאין תמיד תשובה אחת נכונה, אין תמיד שקיפות ואין תמיד הסבר.
יהיו שיגידו שחלק מהתפקידים המתוארים להלן אמורים להיות בהגדרת התפקיד הנוכחית של מנהל איכות, ללא קשר ל-AI. מסכימה עם טענה זו לחלוטין. בארגונים רבים אכן הגדרת מנהל האיכות היא הגדרה רחבה. כיום ראייה רחבה היא תנאי בסיס ולא יתרון למצטיינים.
הדגש עובר מ-"איך עושים” אל "מה עלול להשתבש”.
מנהל האיכות הופך למנהל סיכונים של שימוש ב-AI.
הוספת תחום בקרה נוסף לתחום ניהול איכות בסביבה רוויית בינה מלאכותית. צריך להגדיר מראש ולא בדיעבד: מי אחראי, איך מאשרים שימושים, איך מנהלים חריגות.
ניהול איכות הופך להיות תפקיד חוצה ארגוני. מנהל האיכות נדרש לעבוד עם כל מחלקה שעובדת עם AI – הנהלה, מחלקה משפטית, סייבר, תפעול ועוד. זה תפקיד אסטרטגי.
כאן השינוי הגדול ביותר: לא מספיק לדעת ולהבין מה קרה, צריך להבין איך ולמה התקבלה החלטה.
ברוב הארגונים: AI מנוהל “בצד”, ניהול איכות לא מעורב, אין בקרה אמיתית. כתוצאה מכך מגיעים: סיכונים, טעויות, הפתעות. זהו פער ניהולי ולא כשל טכנולוגי.
מנהל איכות שלא ייכנס לעולם ה-AI – יאבד רלוונטיות! לעומתו, מנהל איכות שכן יכנס לתחום – יהפוך לדמות מפתח בארגון.
42001 ISO נותן מסגרת ברורה: איך להגדיר אחריות, איך לנהל סיכונים, איך לבקר החלטות, איך לשלוט בתהליך. לא מדובר בניהול טכנולוגיה אלא הרחבה של תחום ניהול ובקרת איכות על תהליכים בארגון.
מנהל האיכות לא אמור להפוך למהנדס אלא להבין איפה AI נכנס לתהליכי העבודה בארגון, איפה הסיכון ואיפה אין שליטה. AI כמובן לא מחליף את מנהל האיכות. הוא מגדיר אותו מחדש. הקריאה למנהלי האיכות – היו פרואקטיביים והובילו את השינוי !
אם גם בארגון שלכם נעשה כיום שימוש ב-AI, עכשיו הזמן לעצור ולבחון: היכן אתם נהנים מערך והיכן אתם חשופים לסיכון.
אנו בחברת OK יועצים לניהול מלווים הנהלות בזיהוי שימושי AI, במיפוי סיכונים ובהערכת פערים ניהוליים, לצורך בניית שליטה ארגונית אפקטיבית לפי עקרונות תקן ISO 42001.
מוזמנים לפנות אליי לשיחה מקצועית בנושא.
אורנה קמין, 0537739018, orna.kamin@gmail.com
הבינה המלאכותית כבר הפכה לחלק מהפעילות הארגונית השוטפת. היא משפיעה על תהליכים, על קבלת החלטות, על שירות, על תפעול ועל ניהול ידע. אלא שבארגונים רבים השימוש ב-AI מתקדם מהר יותר מהניהול שלו. כאשר אין מסגרת ברורה של אחריות, בקרה וניהול סיכונים, הטכנולוגיה אינה רק יוצרת הזדמנות – היא גם מעצימה חשיפות קיימות.
מנהלים רבים שואלים: האם ה- AI עובד? אבל השאלה הנכונה היא: מה קורה כשהוא טועה?
בנקודה זו נכנס לתמונה תקן 42001 ISO לניהול מערכות בינה מלאכותית. מטרתו אינה לשפר את האלגוריתם עצמו, אלא לסייע לארגון לנהל את השימוש ב-AI באופן אחראי, מבוקר ושיטתי. הכתוב להלן נדרש ליישום גם לארגונים שאינם מעוניינים בתהליך הסמכה.
מערכות AI מקבלות החלטות בביטחון רב. לפעמים התוצאה נכונה. לפעמים לא. בארגונים רבים אין יכולת להסביר כיצד ההחלטה התקבלה. זוהי בעיה ניהולית: אם אי אפשר להסביר – אי אפשר לשלוט. כאשר אי אפשר לשלוט – אי אפשר לקחת אחריות.
ניהול על פי עקרונות תקן 42001 ISO מאפשר: שקיפות, תיעוד ויכולת בקרה.
AI לומד מנתונים. כאשר הנתונים מוטים גם ההחלטות עלולות להיות מוטות. לעיתים מדובר בהמלצה לא מדויקת או בדירוג לא הוגן.
אך במקרים אחרים, המשמעות עלולה להיות חמורה הרבה יותר: אפליה, פגיעה במוניטין וחשיפה משפטית.
ניהול על פי עקרונות תקן 42001 ISO מחייב: זיהוי סיכונים, ניטור ובקרה מתמשכת.
ה-AI לא נכנס דרך ההנהלה בלבד. פעמים רבות הוא נכנס דרך עובדים: בניסוח מיילים, בהפקת תכנים, ניתוחים ואף תמיכה בקבלת החלטות. כאשר אין מדיניות ברורה, כל עובד משתמש בכלי אחרת. התוצאה היא חוסר אחידות, טעויות וסיכונים תפעוליים. יישום עקרונות 42001 ISO מסייע להגדיר: גבולות שימוש, הנחיות ברורות ואחריות.
AI לא מייצר ידע אלא מעבד מידע קיים. כאשר המידע אינו מדויק, או לא אמין – גם התוצאה תהיה בהתאם. הסיכון גדול במיוחד כאשר ההחלטות העסקיות מתקבלות על סמך הפלט, או כאשר מתבצעת אוטומציה של תהליכים.
42001 ISO שם דגש על איכות נתונים, מקורות מידע ובקרות מתאימות.
השאלה הפשוטה והחשובה ביותר: מי אחראי על AI בארגון?
בפועל, במקרים רבים האחריות נופלת בין הכיסאות: מחלקת IT סבורה שהנושא לא בתחום אחריותה, הנהלה אינה מעורבת מספיק ומחלקות האיכות או הרגולציה אינן מחוברות לתהליך. התוצאה היא מצב מסוכן שבו אף אחד אינו אחראי באמת. זהו אולי הסיכון הגדול ביותר.
42001 ISO מחייב: הגדרת אחריות, ממשל (Governance), הפרדה בין שימוש לבקרה.
המשותף לכל הסיכונים הללו הוא שהם אינם נובעים רק מהטכנולוגיה עצמה, אלא בעיקר מניהול חסר. לכן נכון לומר: AI אינו יוצר בהכרח סיכון חדש; הוא בעיקר מעצים סיכונים קיימים.
ארגונים לא נכשלים בגלל AI. הם נכשלים בגלל חוסר שליטה בו.
כאן בדיוק עובר הגבול בין: שימוש ב-AI לבין ניהול AI.
לא עוצרים את הפעילות הקשורה ב-AI, אבל גם לא מטמיעים ללא חשיבה.
השלב הראשון הוא להבין: היכן ה-AI כבר משפיע על הארגון, אילו סיכונים נוצרים והיכן אין כיום שליטה מספקת.
אם גם בארגון שלכם נעשה כיום שימוש ב-AI, עכשיו הזמן לעצור ולבחון: היכן אתם נהנים מערך והיכן אתם חשופים לסיכון.
אנו בחברת OK יועצים לניהול מלווים הנהלות בזיהוי שימושי AI, במיפוי סיכונים ובהערכת פערים ניהוליים, לצורך בניית שליטה ארגונית אפקטיבית לפי עקרונות ISO 42001.
מוזמנים לפנות אליי לשיחה מקצועית בנושא.
אורנה קמין, 0537739018, orna.kamin@gmail.com
יותר ויותר ארגונים עושים שימוש בבינה מלאכותית, לעיתים באופן מודע, ולעיתים כחלק משימוש בכלים קיימים.
אבל השאלה האמיתית אינה האם אתם משתמשים ב-AI.
השאלה היא האם אתם מנהלים אותו.
תקן ISO 42001 נועד בדיוק לכך – להגדיר מסגרת שיטתית לניהול מערכות בינה מלאכותית, כולל סיכונים, אחריות, שקיפות ובקרה.
ועדיין, ברוב הארגונים אין כיום מסגרת ניהולית סדורה בתחום זה.
המאמר שלהלן מתבסס על עקרונות התקן ומציע יישום פרקטי שלהם בארגון.
מומלץ להתחיל ליישם עקרונות אלו כבר כעת, גם אם אין תכנית מיידית לגשת להסמכה פורמלית.
ארגונים שמתחילים מוקדם, מייצרים לעצמם יתרון ברור ביום שבו הדרישות יהפכו למחייבות.
מוכנות ל-AI אינה שאלה טכנולוגית אלא שאלה ניהולית.
השאלה עוסקת ביכולת של הארגון:
במילים פשוטות:
השאלה היא לא אם הארגון משתמש ב-AI אלא האם הארגון שולט בו.
זאת בדיוק הנקודה שעימה מתמודד תקן ISO 42001 – מעבר משימוש ב-AI לניהול AI.
בדקו את עצמכם:
אם חלק מהשאלות הללו נשארות ללא תשובה – אתם לא לבד.
ברוב הארגונים, השימוש ב-AI מקדים את הניהול שלו.
הצ'קליסט שלהלן מבצע מיפוי מצב קיים המאפשר לזהות בתוך זמן קצר מה מנוהל ומה לא.
לשירותכם, צ'קליסט לבחינת קיום תשתיות תהליכיות לניהול AI. מטרת הצ'קליסט אינה שתענו "כן" על כל הרשימה אלא לעזור לכם לזהות היכן הפערים.
האם ההנהלה הגדירה איפה נכון להשתמש ב-AI ואיפה לא?
אם ה-AI "נכנס לבד” – התהליך לא מנוהל.
האם קיימת רשימה מסודרת של כל המקומות שבהם נעשה שימוש ב-AI?
מה שלא ממופה – לא נשלט.
האם יש גורם אחראי על תחום ה-AI בארגון?
אם אין שם של אחראי – אין ניהול.
האם נבחנים סיכונים של טעויות, הטיה או פגיעה בלקוחות?
AI לא מפחית סיכון – הוא משנה אותו.
האם יש הנחיות ברורות מה מותר ומה אסור לעשות עם AI?
"שיקול דעת” אינו תחליף לתהליך.
האם ניתן להסביר בדיעבד איך התקבלה החלטה?
מה שלא ניתן לבקרה – לא מנוהל
האם ברור מה מקור המידע שעליו מתבסס ה-AI?
AI טוב תלוי בנתונים טובים.
האם הארגון מבין את ההשלכות המשפטיות של שימוש ב-AI?
הנושא כבר אינו נושא עתידי.
האם יש הדרכה לשימוש נכון ואחראי ב-AI?
שימוש ללא הבנה מייצר טעויות.
האם מי שמשתמש ב-AI הוא גם זה שבודק אותו?
ללא הפרדה – אין שליטה אמיתית.
אם עניתם “לא” על חלק מהשאלות – זהו בדיוק הפער שבין שימוש ב-AI לבין ניהול AI.
במרבית הארגונים, הפער הזה אינו גלוי עד שהוא נבחן באופן שיטתי.
בחינת פערים ממוקדת מאפשרת להבין במהירות היכן נדרש חיזוק, עוד לפני שהנושא הופך לדרישה רגולטורית או לדרישת לקוח.
AI לא מייצר בעיות חדשות. הוא פשוט חושף את מה שלא מנוהל ומגדיל אותו, ולכן:
ארגון שלא מנהל תהליכים – לא ינהל גם AI.
אם הארגון שלכם כבר משתמש ב-AI, השאלה היא לא איך מתקדמים אלא איך שולטים בתהליך.
חשוב להדגיש: יישום עקרונות התקן אינו תלוי בהסמכה.
בדומה לתקנים אחרים, הערך המרכזי נוצר כבר בשלב ההטמעה, באמצעות שיפור הבקרה, ניהול הסיכונים והגדרת האחריות.
ארגונים שמיישמים עקרונות אלו מוקדם משפרים את איכות הניהול כבר היום.
אם הארגון שלכם עושה שימוש בבינה מלאכותית, גם אם לא באופן פורמלי, זה הזמן להבין עד כמה השימוש מנוהל.
אני מזמינה אתכם לבצע בחינת פערים ממוקדת לניהול AI בהתאם לעקרונות ISO 42001, שתספק לכם תמונת מצב ברורה:
צוות המומחים שלנו כבר ליווה ארגונים בתהליכי הסמכה לתקן, ומסייע לארגונים להיערך בצורה מדורגת, גם כאשר ההסמכה עדיין אינה נדרשת.
מוזמנים לפנות אלי אישית לנייד או לדוא"ל ונדבר בשמחה על הנושא:
אורנה קמין ,0537739018 orna.kamin@gmail.com,
המאמר שלהלן מציע ליישם את עקרונות תקן ISO 42001 כדי להיערך היום למה שיהפוך מחר לדרישת סף.
תקן ISO 42001 הוא התקן הבינלאומי הראשון לניהול מערכות בינה מלאכותית. נכון להיום, ברוב הענפים הוא עדיין אינו דרישת סף רגולטורית, אך הכתובת על הקיר. מגמת הרגולציה והאימוץ הטכנולוגי ברורה.
כמי שמלווה ארגונים בתהליכי הסמכה לתקני איכות מגוונים במשך שנים רבות, אני מזהה תבנית חוזרת: תחילה התקן נתפס כרשות. בהמשך הוא הופך ליתרון תחרותי ולבסוף לדרישה.
כך היה עם ISO 9001, כך היה עם ISO 27001 וכל הסימנים מצביעים שכך יהיה גם עם 42001 ISO.
המלצתנו לא למהר להסמכה בכל מחיר, אך כן להתחיל להיערך.
ארגונים שכבר מפעילים רכיבי AI נדרשים היום לשאלות שלא קיבלו מענה בתקנים קלאסיים:
אלה אינם נושאים תיאורטיים. אלה שאלות שבקרוב תידרשו לתת להן תשובה!
ארגונים רבים מגלים בשלב זה שאין להם תשובות מסודרות לשאלות הללו.
ביצוע בחינת פערים ממוקדת מאפשר להבין בתוך זמן קצר היכן הארגון עומד ביחס לדרישות המתפתחות של ניהול AI.
התשובה פשוטה: כן, במידה מדודה ומושכלת. לא מתוך לחץ רגולטורי אלא מתוך בגרות ניהולית.
מערכות ניהול המבוססות על ISO 90003 או ISO 9001 יכולות להתרחב באופן טבעי כך שיכללו גם את הנושאים הבאים:
מניסיוננו בליווי ארגונים ובהטמעת תקנים בינלאומיים, שילוב מוקדם של עקרונות התקן מאפשר הטמעה מדורגת ונכונה ולא “פרויקט הסמכה בלחץ” כאשר הדרישה כבר מגיעה מהשוק. מעבר לכך, מדובר בבניית תשתית ניהולית קריטית: ארגון שמסדיר כבר היום את ניהול תהליכי ה-AI, מייצר לעצמו בסיס יציב להתרחבות עתידית בטכנולוגיות אלו.
כיום, הסמכה ל- ISO 42001 עדיין אינה נפוצה, אך בארגונים בינלאומיים כבר מתחילים להופיע דרישות במכרזים ובהתקשרויות. כאשר המגמה תהפוך לדרישה ברורה, ארגונים שיתחילו רק אז ללמוד את התקן מאפס יגלו פערי מוכנות. לעומתם, ארגונים שכבר שילבו עקרונות ניהול AI במערכות ניהול הקיימות, יתקדמו להסמכה בצורה שקטה ומסודרת.
אם הארגון שלכם כבר עושה שימוש בכלי בינה מלאכותית, גם באופן לא פורמלי, זה הזמן לבחון את רמת המוכנות שלכם.
אנו מזמינים אתכם לבצע בחינת פערים ממוקדת ל-ISO 42001, שתענה על שאלות קריטיות:
צוות היועצים שלנו כבר ליווה ארגונים בתהליכי הסמכה לתקן, ומסייע כיום לארגונים להיערך בצורה מדורגת ונכונה עוד לפני שהדרישה הופכת לרגולטורית.
השלב הראשון פשוט: שיחת אבחון קצרה שתמפה את רמת המוכנות שלכם ותסייע להגדיר צעדים ראשונים.
מוזמנים לפנות אלינו לבחינת מוכנות או לשיחת חשיבה אסטרטגית בנושא ניהול מערכות בינה מלאכותית בארגון.
אורנה קמין, 0537739018, orna.kamin@gmail.com
📌
נושא הגנת הפרטיות נמצא היום כמעט בכל ארגון, גם אם לא תמיד נותנים לו שם.
מידע אישי של לקוחות, עובדים וספקים זורם דרך תהליכים, מערכות והתקשרויות ולעיתים רק כשעולה רגולציה חדשה, אנחנו עוצרים לשאול מה המשמעות עבורנו כמנהלים.
בניוזלטר זה בחרתי להתמקד בהגנת הפרטיות מזווית ניהולית ומעשית:
להבין מה השתנה ברגולציה, איך נראית היערכות נכונה בפועל, ואיזה תפקידים ותשתיות נדרשים כדי לנהל את הנושא לאורך זמן.
המטרה אינה להפוך את כולנו למומחים בתחום, אלא להעלות מודעות, לחדד אחריות, ולאפשר לכל אחד ואחת מכם להבין מה רלוונטי לארגון שלכם וגם למי נכון להעביר את הנושא להמשך טיפול.
רבים שומעים על תיקון 13 בעיקר בהקשר של קנסות ואכיפה, אבל מאחורי הכותרות עומדת רגולציה שמבקשת לשנות את האופן שבו ארגונים מנהלים מידע אישי.
במאמר זה אני עושה סדר: מה כולל התיקון, על מי הוא חל, ומה המשמעות הניהולית שלו עבור ארגונים.
זהו מאמר טוב לפתוח איתו את הקריאה, וגם להעביר אותו לגורם בארגון שאחראי על רגולציה, משפטי או ניהול סיכונים.
לקריאה – https://ok-consulting.co.il/data-privacy-tikun13/
אחרי שמבינים את הדרישות, עולה השאלה המעשית: איך זה נראה בפועל?
במאמר זה אני משתפת תובנות וניסיון מפרויקטי ציות של הגנת הפרטיות, עם דגש על ניהול, תהליכים, ואתגרים שארגונים פוגשים בדרך.
המאמר מיועד למנהלים שרוצים להבין מה נדרש מהארגון מעבר למסמכים, ואיך נכון לנהל את התהליך כך שיהיה ישים, מדיד ויעבוד גם ביום שאחרי הפרויקט.
לקריאה – https://ok-consulting.co.il/data-privacy-lessons-learned/
גם לאחר השלמת פרויקט ציות, נותרת השאלה: מי מחזיק את הנושא לאורך זמן?
במאמר זה אני מתמקדת בתפקיד ממונה הגנת הפרטיות – למי הוא נדרש, מהי המשמעות שלו בפועל, ואיך הוא משתלב במבנה הארגוני ובניהול השוטף.
זהו מאמר חשוב במיוחד למנהלים בכירים, ולכל מי שמתלבט האם, מתי ואיך נכון להגדיר אחריות קבועה לנושא הגנת הפרטיות בארגון.
לקריאה – https://ok-consulting.co.il/dpo-importance/
ש
קריאה מועילה
ש
מזמינה את קוראי הניוזלטר לשיחה מקצועית לבחינת הרלוונטיות של נושא הגנת הפרטיות לארגונם, כדי להבין היכן הארגון עומד, מהם הסיכונים הקיימים, ומהם הצעדים הנכונים להמשך.
אורנה קמין
נייד: 053-7739018; דוא"ל orna@ok-consulting.co.il
ואם במהלך הקריאה תעלה מחשבה על מישהו בארגון שעוסק בנושא – זה בדיוק הניוזלטר שכדאי להעביר אליו.
המאמר שלהלן סוקר את נושא הגנת הפרטיות, אשר תפס לאחרונה מקום מרכזי בניהול ארגונים ומשתף ניסיון מצטבר בניהול פרויקטי ציות לדרישות החוק בתחום זה.
הגנת הפרטיות עוסקת בניהול אחראי, מבוקר וחוקי של מידע אישי: מידע על לקוחות, עובדים, מועמדים, ספקים וגורמים נוספים. עבור ארגונים, מדובר בנושא רוחבי המשפיע על תהליכי עבודה, מערכות מידע, התקשרויות עם ספקים וקבלת החלטות ניהוליות.
תיקון 13 לחוק הגנת הפרטיות שנכנס לתוקף במהלך שנת 2025, חיזק משמעותית את חובות הארגונים ואת סמכויות האכיפה של הרשות להגנת הפרטיות. התיקון רלוונטי לארגונים רבים במשק, ציבוריים ופרטיים, לרבות ארגונים שאינם מגדירים עצמם כארגונים טכנולוגיים אך מחזיקים או מעבדים מידע אישי במסגרת פעילותם השוטפת.
אי-ציות לדרישות החוק עלול להוביל לקנסות משמעותיים, חשיפה משפטית ופגיעה במוניטין. יחד עם זאת, ניסיון מצטבר מראה כי ארגונים שמטפלים בנושא רק מתוך חשש מקנסות, מתקשים ליישם הגנת פרטיות אפקטיבית לאורך זמן.
פרויקט ציות להגנת הפרטיות הוא פרויקט מובנה, תחום בזמן ובתכולה, שמטרתו לבחון את רמת הציות של הארגון לדרישות חוק הגנת הפרטיות ולסגור פערים קיימים.
בליבת הפרויקט עומד סקר פערים בהגנת הפרטיות, הכולל:
בסיום הסקר מוגדרות פעולות מתקנות שמטרתן להביא את הארגון לרמת ציות ברורה ומוסכמת.
חשוב להדגיש: פרויקט ציות אינו שירות שוטף ואינו מיועד לתת מענה לכל סוגיה עתידית שתעלה. מדובר בפרויקט תחום בזמן שמטרתו להביא את הארגון לעמידה בדרישות החוק.
DPO (ממונה על הגנת הפרטיות) כשירות הוא מודל שבו הארגון נעזר בגורם מקצועי חיצוני הממלא את תפקיד הממונה על הגנת הפרטיות באופן שוטף.
התפקיד כולל:
החוק והנחיות הרשות להגנת הפרטיות קובעים כי מינוי ממונה על הגנת הפרטיות נדרש, בין היתר, ב:
מניסיוננו, גם ארגונים שאינם מחויבים פורמלית במינוי, בוחרים ב־DPO כשירות כחלק מניהול סיכוני פרטיות אחראי.
ההבחנה בין פרויקט ציות להגנת הפרטיות לבין DPO כשירות חיונית להבנת היקף האחריות והליווי הנדרש מהארגון ומהיועץ.
בפועל, ארגונים רבים נכנסים לפרויקט ציות מתוך רצון להיות מוגנים מקנסות שיושתו עליהם מהרשות להגנת הפרטיות. לרוב, נושא הגנת הפרטיות אינו בתחום התמחות הארגון. מצב זה יוצר אתגרים אופייניים:
מדובר בפערי ידע טבעיים, לא בחוסר שיתוף פעולה. כאן נדרשת גישה ייעוצית מנוסה, שיודעת לנהל ציפיות, להגדיר גבולות ברורים ולתרגם רגולציה למציאות יישומית.
הצלחת פרויקט ציות להגנת הפרטיות תלויה פחות בכתיבת מסמכים ויותר באופן שבו הפרויקט מנוהל. ניהול מקצועי של הפרויקט כולל:
לצד זאת, נדרש ניהול שינוי ארגוני: עבודה עם הנהלה ובעלי עניין, התאמת פתרונות למציאות הקיימת והטמעה הדרגתית של תהליכים. שילוב הבנה משפטית בדרישות החוק יחד עם מתודולוגיות של ניהול איכות וניהול פרויקטים מאפשר להתמקד בתוצאה – רמת ציות ברורה, ישימה ובת-קיימא.
הגנת פרטיות אינה פעולה נקודתית, אלא תהליך ניהולי מתמשך. ארגונים המחפשים יועץ הגנת פרטיות אינם זקוקים רק לידע רגולטורי, אלא לליווי שמבין תהליכים, שינוי ארגוני וניהול פרויקטים מורכבים.
כאשר פרויקט ציות להגנת הפרטיות מנוהל בגישה מתודולוגית, עם דגש על יישום בפועל והתמקדות בתוצאות, הוא הופך מכלי תגובתי לניהול סיכונים, למרכיב אחראי ויציב בניהול הארגון.
מזמינה את קוראי המאמר לשיחה מקצועית לבחינת הרלוונטיות של נושא הגנת הפרטיות לארגונם, כדי להבין היכן הארגון עומד, מהם הסיכונים הקיימים, ומהם הצעדים הנכונים להמשך.
אורנה קמין
נייד: 053-7739018; דוא"ל orna@ok-consulting.co.il
