דלגי לתוכן הראשי
הגנתא
מד חוסן
מד חוסן
אבטחת מידע · מדריך לעסקים

הנחיות ליישום תקנות הגנת הפרטיות (אבטחת מידע)

בשנת 2017 נכנסו לתוקפן תקנות אבטחת המידע שהן עמוד השדרה הרגולטורי לאבטחת המידע האישי בעסק. כאן נסקור את החובות שהן קובעות, מדרג רמות האבטחה, ומה לעשות כעת.

בתוקף מ־2017 רלוונטי לכל עסק עדכני לתיקון 13 חל על מידע דיגיטלי

מאת הגנתא

01

בקצרה

בעידן הדיגיטלי, ובעיקר בימים אלו, המידע האישי שלנו הפך לאחד הנכסים היקרים והרגישים ביותר. תקנות הגנת הפרטיות (אבטחת מידע), שנכנסו לתוקף בשנת 2017, מהוות כיום, יותר מתמיד, את עמוד השדרה הרגולטורי לאבטחת המידע האישי - והן מגדירות את אמות המידה הנדרשות לכך.

התקנות קובעות סטנדרט בסיסי מחייב עבור כל עסק שברשותו מידע אישי השמור באופן דיגיטלי, במטרה למנוע שינוי של המידע, השמדתו, חשיפתו לגורמים לא מורשים ושימוש בו ללא הרשאה. תיקון 13 לחוק, שנכנס לתוקף באוגוסט 2025, קבע עיצומים כספיים משמעותיים לאי־עמידה בחובות החלות מכוח תקנות אלה.

02

מה צריך להכיר?

התקנות יוצרות מדרג של דרישות אבטחה בהתאם לרמת האבטחה שנקבעה לכל מאגר מידע. רמת האבטחה נקבעת לפי רגישות המידע, היקפו, מספר בעלי ההרשאה הרשאים לגשת אליו וסוג העסק:

יחיד בסיסית בינונית גבוהה

אלה כלל החובות הקיימות בתקנות:

1מסמך הגדרות המאגר

יש להכין מסמך המפרט את מטרות איסוף המידע, סוגי המידע, סיכוני האבטחה, מספר בני האדם הכלולים במאגר ומספר מורשי הגישה. על פיו נקבעת רמת האבטחה של כל מאגר.תדירות: יש לבחון ולעדכן את המסמך אחת לשנה, עד 31/12.

2מינוי ממונה אבטחת מידע

ארגונים מסוימים נדרשים למנות ממונה אבטחה. ככל שמונה (גם ללא חובה), עליו להיות כפוף ישירות למנכ"ל או לנושא משרה בכיר הכפוף לו. חל איסור למנותו לתפקיד נוסף העלול להעמידו בניגוד עניינים (למשל ממונה הגנת פרטיות). על הארגון להקנות לו את המשאבים הדרושים למילוי תפקידו.

3נוהל אבטחה

יש להכין נוהל אבטחה מפורט המכסה את כל הנושאים שבתקנות לפי רמת האבטחה של המאגרים.תדירות: יש לבחון ולעדכן לפחות אחת לשנה, ובמקרים נוספים כמפורט בתקנות.

4מיפוי מערכות, סקר סיכונים ומבדק חדירות

יש להחזיק מסמך מעודכן של מבנה המאגרים ורשימת מצאי מערכות (חומרה, תוכנה, תקשורת, מערכות אבטחה, תרשים רשת). ברמות אבטחה מסוימות נדרשים גם סקר סיכונים ומבדק חדירות.תדירות: סקר סיכונים ומבדק חדירות לפחות אחת ל־18 חודשים, כולל דיון בתוצאות ותיקון הליקויים.

5אבטחה פיזית וסביבתית

לצד ההגנה הדיגיטלית יש לשמור את מערכות המאגרים במקום מוגן המונע חדירה וכניסה ללא הרשאה. ברמת אבטחה בינונית או גבוהה נדרשת גם בקרה ותיעוד של כניסה ויציאה מהאתרים ושל הכנסת והוצאת ציוד.

6ניהול כוח אדם

אבטחת מידע מתחילה באנשים - הגורם האנושי הוא אחת החוליות החלשות בתקיפות סייבר. נדרש: הליכי מיון לעובדים לפי רגישות המידע; הדרכה על החוק, התקנות ונוהל האבטחה לפני מתן גישה ראשונית; והדרכה תקופתית ברמות אבטחה מסוימות.המלצת הגנתא: מומלץ ליישם הנחיה זו בכל רמות האבטחה, וכן להחתים עובדים על הסכמי העסקה הכוללים נושאי ניטור ודוא"ל מקצועי כדי למנוע תביעות.

7ניהול הרשאות גישה

הרשאות גישה נקבעות לפי הצורך בלבד - חל איסור לתת הרשאות שאינן נדרשות לתפקיד הספציפי. יש לנהל רשימת הרשאות תקפות הכוללת: תפקידים, ההרשאות שניתנו לכל תפקיד, ושמות בעלי ההרשאות.

8זיהוי ואימות

מתן הרשאת גישה מבוסס מנגנוני זיהוי ואימות (שם משתמש וסיסמה). ביטול הרשאות ייעשה בסמיכות לסיום התפקיד. ברמות מסוימות נדרש: סיסמאות חזקות (8 תווים לפחות, אותיות גדולות/קטנות, מספרים וסימנים), חסימה לאחר ניסיונות שגויים, החלפת סיסמאות אחת לחצי שנה, ניתוק אוטומטי לאחר אי־פעילות (10–15 דק'), ואמצעי פיזי נוסף לאימות.המלצת הגנתא: מומלץ ליישם הנחיות אלה בכל רמות האבטחה.

9בקרה ותיעוד גישה (לוגים)

ברמות מסוימות יש לנהל מנגנון תיעוד אוטומטי המתעד זהות משתמש, תאריך ושעה, רכיב המערכת ועוד. המנגנון יפעל ברציפות, ימנע ביטול ויפיץ התראות; יש לקיים בקרה שגרתית, לערוך דוח בעיות ולטפל בהן. נתוני התיעוד יישמרו 24 חודשים לפחות, וחובה ליידע את בעלי ההרשאות על קיומו.המלצת הגנתא: מומלץ ליישם את מנגנון התיעוד וההתראות בכל רמות האבטחה - אלה מאפשרים גילוי מוקדם של אירועי סייבר.

10תיעוד אירועי אבטחה

נדרש לתעד בפירוט כל אירוע אבטחה וכל חשש לאירוע, ולהפיק ממנו מסקנות למניעת הישנות; ולקבוע נוהל התמודדות לפי חומרת האירוע ורגישות המידע. ברמות מסוימות יש לקיים דיון תקופתי באירועים, לעדכן את נוהל האבטחה בעקבותיהם, ולדווח לרשות להגנת הפרטיות.

11התקנים ניידים

יש להגביל או למנוע חיבור התקנים ניידים (כגון Disk on Key) בהתאם לרמת האבטחה, רגישות המידע והסיכונים. בעת שימוש בהתקן נייד יש לנקוט אמצעי הגנה כגון הצפנה.

12ניהול מאובטח ומעודכן של המערכות

נדרש ניהול ותפעול תקין: הגדרת המערכות בצורה מאובטחת, הטמעת אמצעי הגנה, עדכון גרסאות בצמידות לפרסומן, ווידוא תמיכת היצרן. כמו כן יש להפריד בין מערכות הכוללות מידע אישי לבין מערכות שאינן כוללות מידע כזה.

13אבטחת תקשורת

ניתן לחבר מערכות לאינטרנט או לרשת ציבורית רק אם הותקנו אמצעי הגנה המונעים חדירה וגישת תוכנות זדוניות. העברת מידע תיעשה בהצפנה. בגישה מרחוק (השתלטות מרחוק או VPN) יש להוסיף אמצעי זיהוי ואימות.המלצת הגנתא: מומלץ ליישם אימות דו־שלבי בכל רמות האבטחה.

14מיקור חוץ

התקשרות עם גורם חיצוני אינה מסירה את אחריותך למידע. כל מתן גישה לספק או שמירת מידע במערכת בשליטתו מחייבים: בחינת סיכוני האבטחה לפני ההתקשרות, החתמת הספק על הסכם עיבוד מידע העומד בכללי התקנות, ובקרה אחר הספק.תדירות: בקרה אחר הספק לפחות אחת לשנה.

15ביקורות תקופתיות

ברמות מסוימות יש לערוך ביקורת לפחות אחת ל־24 חודשים, על ידי גורם בעל הכשרה מתאימה שאינו ממונה אבטחת המידע, כדי לוודא התאמת אמצעי ההגנה לנוהל ולתקנות. יש לזהות ליקויים, להמליץ על תיקון, לדון בתוצאות ולבחון עדכון של מסמך ההגדרות ונוהל האבטחה.

16שמירת נתוני אבטחה

יש לשמור באופן מאובטח את נתוני האבטחה הנצברים ביישום התקנות למשך 24 חודשים לפחות. ברמות מסוימות יש לגבות את הנתונים כך שניתן יהיה לשחזרם בכל עת למצבם המקורי.

17גיבוי ושחזור של נתוני אבטחה

ברמות מסוימות יש לקבוע נוהל לגיבוי תקופתי שגרתי ולהבטחת השחזור ממנו, לתעד הליכי שחזור במסגרת תיעוד אירוע אבטחה, ולשמור את עותק הגיבוי והנהלים באופן המבטיח את שלמות המידע ואפשרות השחזור במקרה של אובדן או הרס.

לא בטוחים לאיזו רמת אבטחה העסק שלכם משתייך ומהן כל ההנחיות שחלות עליכם? דברו איתנו ←

03

מי אחראי על היישום?

האחריות העליונה מוטלת בראש ובראשונה על בעל השליטה במאגר המידע - כלומר על העסק עצמו, ולא על בעל תפקיד ספציפי בעסק.

04

למה זה רלוונטי לעסק שלך?

עסקים רבים אינם מודעים לכך שהם "בעלי שליטה במאגר מידע" לפי החוק. אם הנך:

  • שומר רשימת לקוחות (כולל שם, ת"ז, דוא"ל, טלפון, היסטוריית רכישות)
  • מחזיק נתוני עובדים או נתוני מועמדים שלא נקלטו לעבודה
  • שומר פרטי יועצים ונותני שירותים (כולל חשבוניות וקבלות)
  • מפעיל מצלמות אבטחה שמצלמות אנשים
  • מקבל בוואטסאפ או בדוא"ל מסמכים הכוללים מידע אישי אודות אנשים

הנך בעל שליטה במאגר מידע ולכן דיני הגנת הפרטיות חלים עליך.

לא בטוחים לאיזו רמת אבטחה העסק שלכם משתייך ומהן כל ההנחיות שחלות עליכם? דברו איתנו ←

05

מיתוסים נפוצים

מיתוס

"יש לי אנטי־וירוס, אז אני עומד בתקנות אבטחת המידע."

שגוי

אנטי־וירוס הוא רכיב אחד בלבד. התקנות דורשות מערך שלם: מסמך הגדרות מאגר, נוהל אבטחה, ניהול הרשאות, סיסמאות חזקות, לוגים, גיבויים ועוד - בהתאם לרמת האבטחה של המאגרים שלך.

מיתוס

"המידע אצל ספק הענן / ה־CRM, אז האבטחה היא באחריותו."

שגוי

התקשרות עם גורם חיצוני אינה מסירה את אחריותך למידע. התקנות מחייבות אותך לבחון את סיכוני האבטחה לפני ההתקשרות, להחתים את הספק על הסכם עיבוד מידע, ולקיים בקרה אחריו לפחות אחת לשנה.

מיתוס

"העסק שלי קטן, התקנות לא חלות עליי."

שגוי

התקנות חלות על כל עסק שאוסף מידע אישי באופן דיגיטלי - ללא קשר לגודלו. רמת האבטחה (יחיד / בסיסית / בינונית / גבוהה) קובעת את היקף החובות על כל עסק, אך אף עסק אינו פטור מהן לחלוטין, אם שומר מידע אישי באופן דיגיטלי. חריג: ככל שנאסף רק שם וטלפון ולעסק אין מידע אישי נוסף אודות אותם אנשים.

מיתוס

"כתבנו נוהל אבטחה לפני כמה שנים - אנחנו מסודרים."

שגוי

התקנות מחייבות תחזוקה שוטפת של מסמכים: עדכון מסמך ההגדרות ונוהל האבטחה לפחות אחת לשנה. בנוסף, חלות חובות נוספות מכוח התקנות ויש לעמוד בכל חובה הנדרשת לפי רמת האבטחה של מאגרי המידע בעסק.

מיתוס

"אם תהיה פריצה - נטפל בזה כשזה יקרה."

שגוי

התקנות מחייבות היערכות מראש: נוהל התמודדות עם אירועי אבטחה, תיעוד כל אירוע וחשד לאירוע והפקת לקחים, ובמקרים מסוימים - דיווח מיידי לרשות להגנת הפרטיות. היערכות מראש הוכחה כמאפשרת התאוששות מהירה יותר מאירוע אבטחה. כמו כן, תיקון 13 קבע עיצומים כספיים משמעותיים על אי־עמידה בחובות אלה.

06

מה לעשות עכשיו?

  1. עבור על המידע האישי שברשותך

    האם המידע כולל רשימת לקוחות, עובדים או נותני שירותים מעבר לשם וטלפון? צילומי אבטחה? קבצי אקסל עם פרטים אישיים? מערכות עם מידע אישי? אם כן - סביר שיש לך מאגר מידע כמוגדר בחוק.

  2. בדוק את רמת האבטחה הנדרשת

    המאגרים מסווגים לרמת אבטחה יחיד / בסיסית / בינונית / גבוהה, לפי סוג המידע, היקפו, מספר מורשי הגישה וסוג העסק. מומלץ להיוועץ באיש מקצוע, לכל הפחות במיפוי הראשוני.

  3. מפה את כל המערכות שאתה משתמש בהן

    מפה את כל המערכות בעסק - גם אלה שאין להן קשר ישיר למאגרים - ואת הממשקים מהן ואליהן (איך מידע נכנס ויוצא), ודאג שברשותך שרטוט של מלוא הקשרים.

  4. כתוב מסמכים בסיסיים

    מסמך הגדרות המאגרים, נוהל אבטחה, הסכם העסקה והסכם עיבוד מידע - הכוללים את הדרישות הייעודיות. תיעוד הוא הבסיס לכל הגנה משפטית.

  5. נהל את כוח האדם שלך

    קבע הליך מיון לעובדים לפי רגישות התפקיד, והדרך אותם על סיכוני אבטחת מידע והגנת פרטיות לפני מתן הרשאות ובתדירות תקופתית קבועה.

  6. הגן על העסק שלך

    הקצה הרשאות לפי הצורך בלבד, הטמע אנטי־וירוס או מערכת מתקדמת (כגון EDR), קבע סיסמאות חזקות, יישם אימות דו־שלבי, הקפד על עדכוני גרסאות בזמן, חסום התקנים ניידים, וודא שמירת לוגים ל־24 חודשים לפחות.

  7. היערך לניהול אירוע אבטחה

    דאג לגיבוי כל המידע, כתוב נוהל ניהול אירוע סייבר (למי פונים? מי מסייע לחזור לשגרה?), והכן תבנית לתיעוד אירוע.

  8. בדוק את היחסים עם ספקים

    אם אתה משתמש בענן, CRM, דוא"ל, מערכת הנהלת חשבונות או ניהול עובדים - נדרש לבצע הערכת סיכוני אבטחת מידע לספק ולחתום עמו על הסכם עיבוד מידע.

אם הדברים אינם ברורים או מוכרים לך - מומלץ לשכור את שירותיו של איש מקצוע. לקביעת פגישה ללא עלות ←

07

איך הגנתא יכולה לסייע לך לעמוד בתקנות?

הגנתא מציעה כלים ושירותים פרקטיים לעסקים שצריכים לעמוד בדיני הגנת הפרטיות בישראל, למשל:

מד חוסן

שאלון חינמי של 10 שאלות לאינדיקציה ראשונית על רמת החוסן של העסק אל מול התקנות. בדיקה קצרה, תובנות מיידיות.

סקר פערים מלא

בדיקה מקצועית מקיפה של עמידתך בכל סעיפי החוק ותקנות אבטחת המידע.

שירותי DPO / CISO

ממונה הגנת פרטיות ו/או ממונה אבטחת מידע - ליווי וייעוץ מקצועי שוטף.

ייעוץ פרטני

ייעוץ ספציפי המותאם לעסק שלך. קביעת פגישה ללא עלות.

התחל/י את מד החוסן ← לעמוד השירותים ← לקביעת פגישה ללא עלות ←
08

הגדרות רלוונטיות

מידע אישי
כל נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי במאמץ סביר, במישרין או בעקיפין. למשל: באמצעות שם, מספר זהות, מזהה ביומטרי (כגון: טביעת אצבע), נתוני מיקום (כגון: GPS), מזהה מקוון, או נתון אחד או יותר הנוגע למצבו הפיזי, הבריאותי, הכלכלי, החברתי או התרבותי.
מאגר מידע
אוסף של מידע אישי המעובד באמצעי דיגיטלי, למעט חריגים שפורטו בחוק. למשל: שמירה של פרטי הלקוחות וההזמנות שביצע - זהו מאגר מידע אודות לקוחות.
בעל שליטה במאגר מידע
מי שקובע, לבד או עם אחר, את מטרות עיבוד המידע שבמאגר המידע, או ארגון/אדם שהוסמך בחיקוק לעבד מידע במאגר מידע. למשל עסק הקובע שמטרת מאגר לידים נועדה לשם מסירתו לאחר. בעל השליטה יהיה העסק עצמו ולא בעל תפקיד ספציפי בעסק.
עיבוד
כל פעולה המבוצעת על מידע אישי, לרבות קבלתו, איסופו, אחסונו, העתקתו, עיון בו, גילויו, חשיפתו, העברתו, מסירתו או מתן גישה אליו.
VPN
רשת פרטית וירטואלית - טכנולוגיה היוצרת חיבור מוצפן ומאובטח בין משתמש מרוחק לרשת הארגון דרך האינטרנט, כך שניתן לגשת למידע מרחוק כאילו המשתמש עובד ממשרדי העסק, תוך הגנה על המידע המועבר.
09

מקורות מקצועיים

  • תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז־2017.
הערה משפטית: מאמר זה הוא תקציר המספק מידע מקצועי כללי בלבד ואינו מהווה ייעוץ משפטי. החוק והתקנות מורכבים ויישומם תלוי במאפיינים הייחודיים של כל עסק. מומלץ להתייעץ עם מומחה בתחום הגנת הפרטיות לפני איסוף מידע אישי ו/או קבלת החלטות עסקיות.
© 2018-2026 הגנתא - כל הזכויות שמורות. אין להעתיק או לשנות תוכן זה ללא רשות מפורשת בכתב.

שתפו את המאמר

לא בטוח/ה איפה להתחיל?

מד החוסן הוא שאלון חינמי קצר של 10 שאלות בדיני הגנת הפרטיות. תוצאות אישיות יתקבלו תוך מספר דקות.

ללא התחייבות, ללא עלות.

התחל/י את מד החוסן לתיאום שיחה

רוצים לדבר? שיחת ייעוץ ראשונית קצרה ללא התחייבות → קביעת פגישה