תקניםתקן בינלאומי7 דק׳ קריאהעודכן: 14 במאי 2026

ISO/IEC 42001 — תקן בינלאומי לניהול מערכות בינה מלאכותית

ISO/IEC 42001:2023 הוא התקן הבינלאומי הראשון שמגדיר מערכת ניהול ל-AI (AI Management System, או AIMS). הוא דורש מהארגון להגדיר תהליכי ממשל, ניהול סיכונים, בקרת ספקים ושקיפות לאורך מחזור החיים של כל מערכת AI שהוא מפתח, רוכש או משלב בעבודה. המדריך הזה מסביר מה זה אומר בפועל לארגון ישראלי שמתחיל מסלול מוכנות.

פורסם
2023
בקרות Annex A
38
פרקי דרישות
10
חודשי מוכנות
6-9
תוכן עניינים (5)
  1. 01 מה זה AIMS
  2. 02 מבנה התקן
  3. 03 בקרות מרכזיות
  4. 04 מסלול מוכנות
  5. 05 חיבור לרגולציה

מה זה AIMS — AI Management System

בדומה ל-ISMS (אבטחת מידע) או QMS (איכות), ה-AIMS הוא מערכת ניהולית — תהליכים, בעלי תפקיד, מסמכים ובקרות שמטרתם להבטיח שהארגון משתמש ב-AI באופן אחראי. זה לא רק שאלון, ולא רק תוכנה — זו מסגרת ניהולית שמשתלבת עם איך הארגון עובד כל יום.

ה-AIMS עונה על שאלות כמו: מי מאשר רכש של כלי AI חדש? מה התהליך כשמופיעה תוצאה שגויה? מי בעל התפקיד שאחראי על שקיפות החלטות שמתקבלות בעזרת AI? איזה מידע מותר להעלות לכלי AI חיצוני? איך הארגון מתעד שספק AI מעבד מידע אישי?

מבנה התקן — 10 פרקים, 4 נספחים

התקן בנוי באותו מבנה High-Level Structure שמוכר מ-ISO 27001 ו-ISO 9001:

  • פרקים 4-10 (הגוף) — הקשר ארגוני, מנהיגות, תכנון, תמיכה, תפעול, הערכת ביצועים, ושיפור. כל הסעיפים שמבדק הסמכה בוחן.
  • נספח A — קטלוג של 38 בקרות (controls) מומלצות, מאורגנות תחת 9 קטגוריות. זוהי הרשימה שמהווה את עיקר העבודה המעשית.
  • נספח B — הנחיות יישום לכל בקרה ב-Annex A.
  • נספחים C, D — נקודות התמודדות עם סיכוני AI ספציפיים, ושיקולים סקטוריאליים.

בקרות מרכזיות שכל ארגון נדרש לחשוב עליהן

ניהול נכסי AI (Annex A.6)

מיפוי כל מערכת AI בשימוש: שם, ספק, יעודי שימוש, מי המשתמשים, איזה מידע נכנס, איזה מידע יוצא, ורמת סיכון. בלי מיפוי כזה אין שום סיכוי לעמוד בתקן — וזה גם המקום שבו רוב הארגונים מגלים שיש להם פי 2-3 כלי AI ממה שחשבו (Shadow AI).

ניהול ספקים (Annex A.10)

חוזה DPA מותאם ל-AI, בדיקת זכויות שימוש בנתונים שהארגון מזין, ומעקב אחרי שינויים במודל של הספק. ספק שמשנה את המודל בלי הודעה — שינוי שעלול לפגוע ביציבות התוצאות — צריך להופיע בתהליך ניהול שינויים.

מעקב אנושי ודיווח על אירועים (Annex A.7, A.8)

כל מערכת AI שמשפיעה על אדם דורשת מסלול מעקב אנושי. ארגון צריך להגדיר מהו אירוע AI (תשובה שגויה, הטיה, חשיפת מידע), איך מדווחים, מי חוקר, ואיך לומדים מהאירוע.

שקיפות והסבר (Annex A.7.4, A.9)

כשמערכת AI מקבלת החלטה שמשפיעה על אדם (סינון קורות חיים, אישור אשראי, תיעדוף שירות), הארגון צריך להיות מסוגל להסביר את ההחלטה — לפחות ברמה של אילו פיצ׳רים השפיעו עליה.

מסלול מוכנות בארבעה צעדים

  1. 1

    מיפוי

    רשימת כל מערכות ה-AI, ספקים, אוטומציות, מחלקות שמשתמשות. הפורטל עושה זאת בשאלון של 15-30 דקות.

  2. 2

    ניתוח פערים

    השוואה למצב הקיים מול 38 בקרות Annex A. הפלט: רשימת פערים בעדיפויות.

  3. 3

    יישום

    מדיניות AI ארגונית, סעיפי DPA, מועצת AI, תהליכי דיווח. 3-4 חודשים בממוצע.

  4. 4

    מבדק והסמכה

    מבדק פנימי, תיקון פערים, ולבסוף מבדק על ידי גוף הסמכה (BSI, DNV, TÜV).

איך זה משתלב עם רגולציה אחרת בישראל

ארגון ישראלי שמיישם ISO 42001 כבר מכסה חלק נכבד מדרישות אחרות:

  • תיקון 13 לחוק הגנת הפרטיות (2026) — דורש מיפוי שימושי AI שמעבדים מידע אישי. סעיף A.6 ב-Annex עונה על דרישה זו. ראו תיקון 13 לחוק.
  • EU AI Act — סעיפי ניהול סיכונים, תיעוד טכני, מעקב אחרי אירועים, ושקיפות. ראו את הסיכום שלנו ל-EU AI Act.
  • NIST AI RMF — מסגרת אמריקאית רלוונטית לארגונים שמשרתים שוק אמריקאי. יש התאמה מובנית בין הבקרות.
  • ISO 27001 — ארגון שמיישם כבר ISMS חוסך 40-50% מהעבודה. ראו מיפוי 27001 ↔ 42001.

השאלון בפורטל Alice GRC כבר מסמן ליד כל פער איזה תקן/רגולציה הוא נוגע — כך שעבודה אחת מקדמת עמידה בכמה מסגרות במקביל.

שאלות נפוצות

5 שאלות
האם ISO/IEC 42001 חובה?

לא. כמו רוב תקני ISO גם 42001 הוא וולונטרי. עם זאת, ארגונים שמשרתים לקוחות באירופה, בארה״ב או במגזר הציבורי הישראלי מתחילים לראות אותו מופיע כדרישה ב-RFP ובחוזים. בנוסף, יישום ה-AIMS מספק תשתית טובה לעמידה ב-EU AI Act ובדרישות רשות הגנת הפרטיות הישראלית.

מה ההבדל בין ISO 42001 ל-ISO 27001?

ISO 27001 הוא תקן לניהול אבטחת מידע (ISMS). ISO 42001 הוא תקן לניהול AI (AIMS) — הוא ממוקד בסיכונים ייחודיים ל-AI כמו הטיה, הסבר, מעקב אנושי, ושקיפות אלגוריתמית. ארגון שכבר מיישם 27001 מקבל בסיס תיעודי טוב להוסיף עליו את 42001 (סעיפים כמו ניהול ספקים, תיעוד נכסים וניהול אירועים חוזרים על עצמם).

כמה זמן לוקח להגיע להסמכה?

תלוי בגודל הארגון ובכמות מערכות ה-AI שבשימוש. ארגון בינוני (50-300 עובדים, 5-15 שימושי AI פעילים) מגיע בדרך כלל למוכנות תוך 6-9 חודשים: 1-2 חודשים מיפוי ראשוני, 3-4 חודשים יישום בקרות, 1-2 חודשים מבדק פנימי, ולאחר מכן מבדק הסמכה.

האם ISO 42001 מכסה דרישות EU AI Act?

חלקית. ה-AIMS שמיישם 42001 מספק את התשתית הניהולית שה-EU AI Act דורש (ניהול סיכונים, תיעוד טכני, מעקב אחרי אירועים, שקיפות). אבל הסיווג למערכות סיכון גבוה והתיעוד הספציפי ל-Article 9-15 של ה-Act דורשים תוספות. הפורטל שלנו מסמן בדיוק אילו חלקים מ-42001 מכסים אילו דרישות מה-Act.

מתי צריך להעסיק יועץ ומתי אפשר לעשות לבד?

מיפוי ראשוני, זיהוי פערים, ובניית מדיניות בסיסית — אפשר לעשות עם הפורטל ב-15-30 דקות. כתיבת תיעוד מלא, הכנה למבדק הסמכה, וטיפול בפערים מורכבים (במיוחד סביב Article 6 — מערכות סיכון גבוה) — שווה לערב יועץ מנוסה. הפורטל מפיק רשימת פעולות ספציפית שעוזרת ליועץ להתחיל ממקום ממוקד.

מוכנות מבוססת נתונים

מוכנים למפות את חשיפת ה-AI בארגון?

פורטל מובנה בעברית — שאלון 15 דקות, תוצאה מיידית של פערים ומפת דרכים.

פתחו ארגון חדש →חזרה לדף הבית

שאלות? צריכים ייעוץ?

מענה אנושי

צוות AliceSolutionsGroup זמין לליווי ארגונים במסלול מוכנות ל-ISO/IEC 42001, EU AI Act ותיקון 13 לחוק הגנת הפרטיות.

תמיכה בפורטל

[email protected]

ייעוץ ולקוחות

[email protected]

מפת נושאים

איך ISO/IEC 42001 מתחבר לשאר המדריכים

קו מודגש = קשר ישיר. קו מקווקו = השתייכות לאותו אשכול.

ISO/IEC 42001ISO 27001 ↔ 42001EU AI Actתיקון 13תקנה 13 + AIמאגרי מידע + AIGRC ל-AIהערכת סיכוני AI
רגולציהתקניםמסגרתתפעול

מאמר באשכול: תקנים