תקניםמיפוי תקנים8 דק׳ קריאהעודכן: 14 במאי 2026

ISO 27001 ↔ ISO 42001 — חיבור בין ניהול אבטחת מידע לניהול AI

ארגון שכבר מיישם ISO 27001 (ISMS) ומתכנן להוסיף ISO 42001 (AIMS) לא צריך להתחיל מאפס. שני התקנים בנויים על אותה מסגרת ניהולית של ISO (High-Level Structure) ויש חפיפה משמעותית בבקרות. אבל יש גם הבדלים חשובים — דברים ש-42001 דורש ש-27001 לא נוגע בהם, ולהפך.

חפיפה בבקרות
60%
בקרות 27001
93
בקרות 42001
38
תוספת מ-27001
4-6m
תוכן עניינים (5)
  1. 01 מבנה משותף — HLS
  2. 02 מיפוי Annex A
  3. 03 ייחודי ל-42001
  4. 04 תוכנית עבודה משולבת
  5. 05 יתרונות עסקיים

מבנה משותף — High-Level Structure

כל תקני ה-ISO ל-management systems (27001, 9001, 14001, 42001) בנויים על אותו שלד של 10 פרקים. בכל אחד מהפרקים האלה, הדרישות הניהוליות זהות ב-95% בין 27001 ל-42001.

פרק 4

הקשר הארגון

פרק 5

מנהיגות

פרק 6

תכנון + סיכון

פרק 7

תמיכה ומשאבים

פרק 8

תפעול ובקרות

פרק 9

הערכת ביצועים

פרק 10

שיפור מתמיד

Annex A

קטלוג בקרות

מסמך אחד שמתאר את המבנה הארגוני, רשימה אחת של בעלי תפקיד, נוהל אחד למבדק פנימי — משרת את שני התקנים.

מיפוי Annex A — מה חופף ומה ייחודי

ISMS vs AIMS — שני העולמות

ISO 27001 — ISMS

ניהול אבטחת מידע · 93 בקרות (2022)

  • הגנה על סודיות, שלמות וזמינות מידע
  • ניהול גישה, הצפנה, גיבוי, רציפות עסקית
  • ניהול אירועי אבטחה ותקריות סייבר
  • ניהול ספקי IT וקבלני משנה
  • מודל הסיכון: איום → פגיעות → השפעה

ISO 42001 — AIMS

ניהול מערכות AI · 38 בקרות

  • ניהול אחראי של מערכות AI לאורך מחזור החיים
  • הטיה, שקיפות, הסבר, מעקב אנושי
  • ניהול נתוני אימון ומחזור חיי המודל
  • ניהול ספקי AI עם תנאי שימוש משתנים
  • מודל הסיכון: השפעה על אדם, חברה, סביבה

חפיפה ישירה (כ-60% מהבקרות של 42001 קיים גם ב-27001)

בקרה ISO 42001 (Annex A)בקרה מקבילה ISO 27001 (Annex A 2022)
A.2 — Policies for AIA.5.1 — Policies for information security
A.6 — AI system asset managementA.5.9 — Inventory of information assets
A.10 — Third-party AI relationshipsA.5.19-A.5.23 — Supplier relationships
A.8 — AI incident managementA.5.24-A.5.28 — Information security incident management
A.5 — Resources for AI systemsA.6.3 — Awareness, education and training
A.4 — Internal organizationA.5.2 — Roles and responsibilities

ארגון עם 27001 פעיל יכול להרחיב את הבקרות הקיימות לכסות את 42001 — לדוגמה, מסמך ׳Inventory of information assets׳ הופך ל׳Inventory of information + AI assets׳ עם שדות נוספים (סוג המודל, ספק, רמת סיכון).

ייחודי ל-42001 (כ-40% מהבקרות חדשות)

  • A.6.2.2 — Documentation of AI systems — תיעוד טכני מפורט של כל מערכת AI: ארכיטקטורת המודל, נתוני האימון, מטריקות ביצועים.
  • A.6.2.3 — Tools for ML lifecycle — בקרת גרסאות למודלים, ניהול ניסויים, רגיסטרי מודלים.
  • A.7.4 — Transparency to users — כאשר משתמש מתקשר עם מערכת AI, צריך להבהיר לו זאת. ייחודי ל-AIMS.
  • A.9 — Responsible use of AI — מדיניות שימוש מותר/אסור, כולל מצבים שבהם AI לא מתאים.
  • A.7.5 — Human oversight — מעקב אנושי על מערכות שמקבלות החלטות עם השפעה אישית. גם נקודת מפגש עם EU AI Act ועם תיקון 13.

תוכנית עבודה משולבת — 6 חודשים

ארגון שכבר מיישם 27001 ומתכנן להוסיף 42001 יכול לעבוד לפי הסדר הזה:

  1. חודש 1 — Gap analysis: השוואת ה-ISMS הקיים מול דרישות 42001. הפלט: רשימת פערים בעדיפויות. (ראו הערכת סיכוני AI.)
  2. חודשים 1-2 — מיפוי נכסי AI: רישום של כל מערכות ה-AI בארגון.
  3. חודש 2 — עדכון מדיניות: הוספת ׳AI Use Policy׳ לפוליסות הקיימות.
  4. חודש 3 — בקרות חדשות: יישום הבקרות הייחודיות ל-42001.
  5. חודש 4 — חוזים: עדכון DPA לספקי AI.
  6. חודש 5 — מבדק פנימי משולב: בדיקת היישום של שני התקנים יחד.
  7. חודש 6 — תיקון פערים + מבדק הסמכה: מבדק חיצוני משולב.

יתרונות עסקיים של גישה משולבת

  • חיסכון בעלויות — מבדק אחד במקום שניים, יועץ אחד שמכיר את שני התקנים, ימי ניהול פחותים.
  • תיעוד פחות סבוך — קבוצה אחת של נהלים מרכזיים, לא שתי קבוצות שצריך לסנכרן.
  • מסר עסקי חזק — שני סרטיפיקטים בו זמנית: ארגון ש׳עושה גם אבטחת מידע וגם AI ברצינות׳. חשוב במכרזים ובמשא ומתן עם לקוחות בארה״ב ובאירופה.
  • תשתית לרגולציה — שני התקנים יחד מכסים כ-80% מדרישות תיקון 13, EU AI Act, ו-GDPR.

שאלות נפוצות

5 שאלות
האם 42001 ׳מחליף׳ את 27001?

לא. הם משלימים. 27001 הוא תקן לניהול אבטחת מידע (ISMS) — מגן על המידע מפני חשיפה, אובדן ושינוי לא מורשה. 42001 הוא תקן לניהול AI (AIMS) — מטפל בסיכונים ייחודיים ל-AI כמו הטיה, הסבר, וניהול ספקי AI. ארגון שמשתמש ב-AI לעיבוד מידע אישי צריך את שניהם.

אם כבר יש לי 27001, כמה זמן ייקח להוסיף 42001?

תלוי במצב הקיים. ארגון עם ISMS פעיל יכול להגיע למוכנות 42001 ב-4-6 חודשים (לעומת 6-9 חודשים מאפס). חיסכון בעבודה: כל מה שקשור לניהול נכסי מידע, ניהול שינויים, ניהול ספקים, הכשרה, וביקורת פנימית — מוכן כבר.

האם ניתן לעבור מבדק משולב?

כן, וגופי הסמכה גדולים (BSI, DNV, TÜV) כבר מציעים זאת. מבדק משולב חוסך ימי מבדק ועלות. תכנון מקדים חשוב: לוודא שמסמכי מערכת הניהול ׳מדברים׳ שני תקנים — לדוגמה, נוהל אחד ל-׳ניהול ספקים׳ שמכסה גם דרישות 27001 וגם 42001.

מה ההבדל בין Annex A של שני התקנים?

Annex A של 27001 (במהדורת 2022) כולל 93 בקרות מאורגנות ב-4 קטגוריות. Annex A של 42001 כולל 38 בקרות ב-9 קטגוריות. החפיפה: כל מה שקשור לניהול נכסי מידע, ניהול ספקים, ניהול שינויים, ניהול אירועים, וביקורת.

האם להתחיל מ-27001 לפני שמיישמים 42001?

ברוב המקרים — כן. ISMS מספק את התשתית הניהולית הבסיסית: מודל סיכון, ניהול נכסים, ניהול שינויים. החריג: ארגון שמשרת בעיקר תחום AI (חברת AI Native, סטארטאפ Generative AI) — יכול לשקול ללכת ישר ל-42001.

מוכנות מבוססת נתונים

מוכנים למפות את חשיפת ה-AI בארגון?

פורטל מובנה בעברית — שאלון 15 דקות, תוצאה מיידית של פערים ומפת דרכים.

פתחו ארגון חדש →חזרה לדף הבית

שאלות? צריכים ייעוץ?

מענה אנושי

צוות AliceSolutionsGroup זמין לליווי ארגונים במסלול מוכנות ל-ISO/IEC 42001, EU AI Act ותיקון 13 לחוק הגנת הפרטיות.

תמיכה בפורטל

[email protected]

ייעוץ ולקוחות

[email protected]

מפת נושאים

איך ISO 27001 ↔ 42001 מתחבר לשאר המדריכים

קו מודגש = קשר ישיר. קו מקווקו = השתייכות לאותו אשכול.

ISO 27001 ↔ 42001ISO/IEC 42001EU AI Actתיקון 13תקנה 13 + AIמאגרי מידע + AIGRC ל-AIהערכת סיכוני AI
רגולציהתקניםמסגרתתפעול

מאמר באשכול: תקנים