תפעולמדריך פרקטיעודכן: 14 במאי 2026

הערכת סיכוני AI — איך לבצע מיפוי ראשוני בארגון תוך 30 דקות

הערכת סיכונים היא הצעד הראשון בכל תוכנית ממשל AI. בלי לדעת מה הארגון משתמש בו, אי אפשר לנהל סיכון או להוכיח ציות. המדריך הזה מסביר איך לבצע הערכת סיכונים ראשונית: מה למפות, איזה שאלות לשאול, ואיך להגיע מהר לרשימת פעולות שעוזרת לעמוד ב-ISO 42001, EU AI Act ותיקון 13.

שלושה דברים שמיפוי טוב חייב לכלול

1. כל מערכת AI — לא רק הגדולות

ChatGPT, Claude ו-Copilot זה ההתחלה אבל לא הסוף. צריך לכלול גם: GitHub Copilot, Notion AI, מנוע ההמלצות במערכת ה-CRM, מודל זיהוי הונאות בבנק, צ׳אטבוט שירות, תוסף Grammarly, כלי סיכום ישיבות, יצירת תמונות לשיווק. הרבה מערכות SaaS שהארגון משתמש בהן הוסיפו ׳AI features׳ ב-2024-2025 — אלה צריכות להופיע במרשם.

2. שימוש בפועל, לא רק רישיון

רישיון של Microsoft 365 כולל Copilot — אבל לא בהכרח כולם משתמשים בו. צריך למפות שימוש בפועל, לפי מחלקה, ובמה. ׳משאבי אנוש משתמשים ב-Copilot לסינון קורות חיים ב-3 גיוסים בחודש׳ זה משפט שאומר משהו — בניגוד ל׳יש לנו רישיון Copilot׳.

3. סוג המידע שנכנס למערכת

החלק החשוב ביותר לסיכון. מערכת שמקבלת רק מסמכים שיווקיים — סיכון נמוך. אותה מערכת שמקבלת קוד מקור, מידע פיננסי, או נתוני עובדים — סיכון אחר לחלוטין. צריך לתעד לכל מערכת אילו סוגי מידע נכנסים.

שאלות מנחות למיפוי לכל מחלקה

בחירה של 10-15 שאלות מבטיחה כיסוי טוב. הנה הליבה:

  • אילו כלי AI אתם משתמשים בהם באופן יומיומי?
  • אילו כלי AI אתם משתמשים בהם מדי פעם (לפחות פעם בחודש)?
  • איזה סוג נתונים אתם מזינים לכלי AI? (מידע לקוחות, עובדים, פיננסי, קוד מקור, מסמכים פנימיים, חוזים)
  • האם הכלי מקבל החלטות שמשפיעות על אנשים? (גיוס, אשראי, דירוג, ניתוב)
  • האם יש מעקב אנושי על תוצאות הכלי? בכל החלטה, רק חלקית, כמעט בכלל לא?
  • אילו אוטומציות מחברות בין מערכות שונות?
  • אילו ספקי AI חיצוניים אנחנו משתמשים בהם? יש לכם DPA איתם?
  • איזה אירועים קרו השנה שקשורים ל-AI? (תוצאה שגויה, חשיפת מידע, תלונת לקוח)
  • האם יש בארגון מדיניות שימוש ב-AI שאתם מודעים אליה?
  • איזה כלי AI הייתם רוצים להוסיף אבל לא הוספתם בגלל אי-וודאות רגולטורית?

איך מדרגים סיכון — מטריצה פשוטה

לכל מערכת AI שנוצרה במיפוי, להעריך שני מימדים:

השפעה

  • נמוכה: שגיאה גורמת לאי-נוחות (תוכן שלא נשלח, סיכום לא מדויק)
  • בינונית: שגיאה גורמת לעלות עסקית או חוויה פגומה ללקוח
  • גבוהה: שגיאה משפיעה על החלטה שמשפיעה על אדם (לקוח לא מקבל אשראי, מועמד נדחה, עובד מודר)
  • קריטית: שגיאה גורמת לחשיפה רגולטורית, נזק רב, או פגיעה משמעותית

סבירות

  • נמוכה: יש בקרה אנושית בכל החלטה
  • בינונית: בקרה חלקית או דגימה
  • גבוהה: אין מעקב אנושי, האוטומציה פועלת מקצה לקצה

ההצלבה של שני המימדים מייצרת ׳ציון סיכון׳ אינטואיטיבי. הפורטל שלנו עושה את החישוב הזה אוטומטית מהתשובות, ומפיק טבלת חום (heatmap) לפי מחלקה ומערכת.

מה לעשות עם הפלט

  1. טיפול בפערים קריטיים מיד: מערכות סיכון גבוה ללא DPA, ללא מעקב אנושי, או ללא מדיניות — 0-30 יום.
  2. בניית מדיניות שימוש ב-AI: מסמך שמגדיר מה מותר, מה אסור, ולמי לדווח. ~30 יום.
  3. עדכון חוזי ספקים: 3-5 הספקים הגדולים — 30-60 יום.
  4. הקמת תהליך מעקב: דיווח אירועים, מעקב למערכות סיכון גבוה — 60 יום.
  5. הכשרה: מודולים בסיסיים לעובדים — 60-90 יום.
  6. סקירה חוזרת: לחזור על ההערכה כל 6-12 חודשים. כלי AI חדשים נכנסים כל הזמן.

איך הפורטל מקצר את התהליך

השאלון בפורטל Alice GRC ממוקד בדיוק לסוג הארגון הישראלי. במקום שעות של עבודה ידנית, השאלות מסתעפות לפי תשובות קודמות — אם הארגון לא משתמש ב-Generative AI, לא נשאלים שאלות על פרומפטים. אם אין מערכות שמקבלות החלטות אישיות, לא נשאלים שאלות EU AI Act רלוונטיות לסיכון גבוה.

הפלט: מרשם מערכות AI, מרשם ספקים, מרשם אוטומציות, ממצאים אוטומטיים לפי ISO 42001 ו-AI Act, מפת דרכים 30/60/90 — הכל ב-15-30 דקות, בעברית, מוכן לשתף עם הנהלה או יועץ.

שאלות נפוצות

4 שאלות
מה ההבדל בין AI inventory ל-AI risk assessment?

AI inventory הוא רשימה — אילו מערכות AI יש בארגון, ספקים, מי משתמש. AI risk assessment הוא צעד אחד הלאה — לקחת את הרשימה ולדרג כל פריט לפי סיכון, השפעה, וסבירות. אי אפשר לעשות assessment בלי inventory, ואינוונטר בלי דירוג סיכון לא נותן ערך ניהולי.

מה זה Shadow AI ולמה זה הסיכון הכי גדול?

Shadow AI הוא שימוש בכלי AI שהארגון לא יודע עליו — עובד שמשתמש ב-ChatGPT האישי שלו לכתיבת חוזים, צוות שיווק שמעלה רשימת לקוחות ל-Canva AI, מפתח שמדביק קוד מקור ל-Claude. הסיכון הגבוה כי: (1) אין DPA — חשיפת מידע אפשרית. (2) אין מעקב — אי אפשר לדעת אם תוצאות שגויות הגיעו ללקוח. (3) המידע יכול להפוך לדאטה אימון אצל הספק. סקרים מראים שב-60-70% מהארגונים יש לפחות פי 2 שימושי AI לעומת מה שההנהלה יודעת.

כמה זמן לוקחת הערכה רצינית?

תלוי במתודולוגיה. סקירה פנימית עם שאלון Excel — 4-8 שבועות, ומגיעה לרוב לרזולוציה נמוכה. ראיון עם כל מנהל מחלקה — 2-3 שבועות, רזולוציה טובה אבל יקר. שאלון מובנה בפורטל ייעודי כמו Alice GRC — 15-30 דקות לארגון בינוני, עם זיהוי אוטומטי של פערים ודירוג סיכון.

מה הפלט של ההערכה?

(1) מרשם נכסי AI עם דירוג סיכון לכל פריט. (2) רשימת ספקים עם סטטוס DPA. (3) ממצאי פערים ביחס ל-ISO 42001, AI Act, תיקון 13. (4) דירוג סיכון לפי מחלקה. (5) מפת דרכים 30/60/90 יום — אילו פעולות לעשות בכל פרק זמן.

מוכנות מבוססת נתונים

מוכנים למפות את חשיפת ה-AI בארגון?

פורטל מובנה בעברית — שאלון 15 דקות, תוצאה מיידית של פערים ומפת דרכים.

פתחו ארגון חדש →חזרה לדף הבית

שאלות? צריכים ייעוץ?

מענה אנושי

צוות AliceSolutionsGroup זמין לליווי ארגונים במסלול מוכנות ל-ISO/IEC 42001, EU AI Act ותיקון 13 לחוק הגנת הפרטיות.

תמיכה בפורטל

[email protected]

ייעוץ ולקוחות

[email protected]

מפת נושאים

איך הערכת סיכוני AI מתחבר לשאר המדריכים

קו מודגש = קשר ישיר. קו מקווקו = השתייכות לאותו אשכול.

הערכת סיכוני AIISO/IEC 42001ISO 27001 ↔ 42001EU AI Actתיקון 13תקנה 13 + AIמאגרי מידע + AIGRC ל-AI
רגולציהתקניםמסגרתתפעול

מאמר באשכול: תפעול