התקשר אלינו: 03 5292456
התקשר אלינו: 03 5292456

ליווי דירקטוריון להגנת פרטיות בארגון

עמוד הביתסייבר ואבטחת מידע ליווי דירקטוריון להגנת פרטיות בארגון
27 מאי 2025 נכתב על ידי סייבר ואבטחת מידע

בתקופה שבה הגנת הפרטיות והבטחת אבטחת המידע הפכו לערך עליון עבור ארגונים, עולה הצורך להטמיע מנגנוני בקרה
ופיקוח ברמות הניהול הגבוהות – ובראשן דירקטוריון החברה.

על-פי הנחיות הרשות להגנת הפרטיות, חברות העיסוק המרכזי שלהן הוא עיבוד מידע אישי, או חברות הפועלות בסביבות
סיכון גבוה לפרטיות, מחויבות לכך שהפיקוח הארגוני יתבצע על-ידי הדירקטוריון עצמו.

במאמר זה נסקור לעומק את מרכיבי תכנית הליווי לדירקטוריון, את חובות הפיקוח המערכתיות המוטלות עליו
ואת המלצות היישום בפועל.

 

רקע רגולטורי וחשיבות הפיקוח הבכיר

הרשות להגנת הפרטיות קבעה בתקנות חדשות (תיקון 18 לפקודת הגנת הפרטיות) דרישות מחייבות לנושאי משרה בכירים
בארגונים הדורשים פיקוח על עיבוד מידע אישי.

התקנות קובעות במפורש כי ככל שהארגון עוסק באופן מהותי בעיבוד מידע אישי או פעילותו יוצרת סיכון מוגבר להפרת פרטיות,
יש למנות “נושאי משרה בכירים” – ובראשם הדירקטוריון – שיהיו אחראים אישית לאישור ולהטמעה של נהלי אבטחת המידע.

הדבר נועד להבטיח כי קבלת ההחלטות האסטרטגיות והמשאבים יוקדשו במלואם לתהליך הגנת הפרטיות,
ללא תיווך או דילוג על גבי הדרג הבכיר.

 

מרכיבי תכנית הליווי לחברי הדירקטוריון

תכנית הליווי מיועדת לספק לחברי הדירקטוריון את ההקשר, הידע והכלים הנדרשים למלא את חובות הפיקוח בצורה מיטבית.

התכנית כוללת מספר מרכיבים עיקריים:

הטמעת מושגי יסוד ברגולציה ועלות אי-ציות

סקירה של פקודת הגנת הפרטיות ותיקוניה, התייחסות לסנקציות הפליליות והאזרחיות בגין הפרת פרטיות,
וניתוח המקרים שבהם חברות ספגו קנסות גבוהים או נזק תדמיתי.

תרגול מקרים (Case Studies) רלוונטיים מהעולם ומהשוק המקומי, לצורך הבנה עמוקה של השלכות אי-ציות.

הגדרת תהליכי דיווח ותקשורת תוך־ארגוניים

פיתוח מנגנוני דיווח דו־כיווניים בין מחלקות ה-IT, אבטחת המידע, המחלקה המשפטית והדירקטוריון.

קביעת פורמט אחיד לדוחות סיכונים, ליקויים ואירועים, המותאם לסגנונו של הדירקטוריון ולהיקף הדיון הרצוי.

סדנאות והדרכות ממוקדות

סדנאות פרונטליות וירטואליות המיועדות לחברי הדירקטוריון, הכוללות תרגול מעשי של קריאה וניתוח דוחות
סיכונים ומבדקי חדירה (Penetration Tests).

הדגמה חיה של תרחישי מתקפות סייבר ואופן הטיפול בהם, בצמוד לאנשי צוות טכנולוגיים וחוקרי אבטחה.

הכנת חומרים להחלטות אסטרטגיות

ניסוח מסמך תמציתי וברור לאישור “העקרונות המרכזיים בנוהל אבטחת המידע הארגוני” – מסמך המסכם את הקווים המנחי
ם של מדיניות האבטחה ועקרונות הפרטיות.

תבנית אישור מסמך הגדרות המאגר (Data Mapping), המציגה תמונת מצב של כל מאגרי המידע הארגוניים,
הסוגים השונים של המידע והסיכונים המתלווים לכל אחד.

חובות הפיקוח המוגדרות בתקנות

בהנחיות הרשות להגנת הפרטיות מתוארים חובת הפיקוח של הדירקטוריון במספר פעולות מחייבות:

אישור העקרונות המרכזיים בנוהל אבטחת המידע הארגוני
 על־ידי בחינת המסמך האסטרטגי של הנהלה בכירה, הדירקטוריון מאשר את העקרונות המנחים את כלל תהליכי האבטחה בארגון,
כגון סיווג מידע, תקשורת מאובטחת, עדכון גרסאות תוכנה וגיבוי נתונים.

אישור זה מסמן את המחויבות הארגונית הגבוהה והקצאת המשאבים המתאימים.

אישור מסמך הגדרות המאגר
 מסמך זה כולל מיפוי מלא של כל מאגרי המידע בארגון – מקורות, סוגי מידע (רגיש/רגיל), גורמי גישה ואמצעי הגנה.

אישור המלצה זו מבטיח שקיפות מלאה לגבי המידע הרגיש בעיניי הרגולטור ובפני בעלי העניין.

דיון בדירקטוריון בתוצאות סקר הסיכונים ובמבדקי החדירה
 בהתאם לרמת הסיכון ותקנות הרשות, הארגון מחויב לערוך סקר סיכונים תקופתי ומבדקי חדירה חיצוניים.

הדירקטוריון נדרש לעיין בתוצאות אלו, להבין את רמת הסיכון הנוכחית ולאשר את הצעדים הנדרשים להפחתתו.

הדיון מאפשר זיהוי מוקדם של פערי אבטחה ולמידה משותפת על תקלות קריטיות.

אישור הפעולות לתיקון הליקויים
 לאחר זיהוי פערים או חריגות באבטחת המידע, הארגון מציג בפני הדירקטוריון תוכנית פעולה מסודרת – גבולות זמן, תקציב, ואנשי מפתח.

אישור הדירקטוריון מהווה מצע לפיקוח שוטף על ההתקדמות והבטחת עמידה ביעדי התיקון.

דיון רבעוני או שנתי באירועי אבטחת המידע
 הדירקטוריון מקיים דיון מסודר בכל פרק זמן קבוע – בדרך כלל רבעון או שנה – בסיכום האירועים והפרצות שחלו בארגון, בצידה של חוות דעת
מומחה פנימי או חיצוני.

דיון זה מחזק את ערנות ההנהלה ומעודד שיפור מתמיד של מנגנוני הגנה.

דיון שנתיים בתוצאות הביקורת התקופתית בנוגע לעמידה בתקנות
 אחת לשנתיים על הארגון לערוך ביקורת חיצונית או פנימית על עמידתו בתקנות הגנת הפרטיות.

הדירקטוריון דן בדוח הביקורת, בוחן המלצות להמשך פעולה ומאשר את תוכנית העדכונים הנדרשת.

יישום והטמעה בפועל

להצליח במימוש חובות אלו אין די בגיבוש מסמכים בלבד. יש לעבור מהליכים לטווח קצר ובינוני, הכוללים:

מינוי נציגי פרויקט: מינוי מנכ”ל אבטחת מידע (CISO) ואנשי צוות שימלאו תפקידים תפעוליים מול הדירקטוריון.

לוח זמני דיונים: קביעת מועדים שנתיים/רבועיים לישיבות ייעודיות, כולל הפצת חומרים מראש ואישור סדר יום ממוקד.

כלי דיווח דיגיטליים: שימוש בפלטפורמות ניהול סיכונים (GRC – Governance, Risk & Compliance) לצורך הכנת דוחות אוטומטיים
וניהול מעקב אחר ביצועי תיקונים.

הסמכה והכשרת כוח אדם: מעבר על חומר מקצועי עם סיוע מדריכים חיצוניים, הכשרת צוותי ה-IT והמשפטים
כדי לוודא יישום עקבי של המלצות הדירקטוריון.

בדיקות תקופתיות: מעבר על מהלכי תיקון הליקויים בבדיקות פנימיות קטנות בין ישיבות הדירקטוריון, כדי לוודא שאינם
מתוארים רק במסמכים אלא מיושמים בשטח.

יתרונות בהטמעה נכונה

הקפדה על מדרג הפיקוח הארגוני תוך מעורבות הדירקטוריון תורמת למספר היבטים אסטרטגיים:

שיפור מוניטין וביטחון בעלי העניין: לקוחות, שותפים עסקיים ומשקיעים מעריכים ארגונים שקופים ומחוייבים לפרטיות.

הפחתת סיכונים משפטיים וכלכליים: עמידה בתקנות מפחיתה חשיפה לקנסות כבדים ולתביעות ייצוגיות.

ייעול תפעולי: נהלי אבטחה מוגדרים היטב מקצרים זמני תגובה לאירועים ומגבירים את יציבות המערכות.

העצמת התרבות הארגונית: כשנהלי פרטיות ואבטחה מאושרים בידי ההנהלה הבכירה, הם זוכים לגיטימציה והטמעה
משמעותית יותר בקרב כל העובדים.

 

מחפש ליווי דירקטוריון להגנת פרטיות בארגון? פנה עכשיו!

email

שלחו מייל

 telephone

באו נדבר

 whatsapp

באו נתכתב