דלגו לתוכן
תקנים13 ביוני 20269 דק׳ קריאה

ISO 27001:2022 — 11 הבקרות החדשות והמעבר מגרסת 2013

מועד המעבר ל-ISO 27001:2022 עבר ב-31.10.2025 — תעודות 2013 בטלות. מדריך לעידן שאחרי: מה השתנה במבנה Annex A (114/14 ← 93/4), 11 הבקרות החדשות והמשמעות המעשית של כל אחת, ומסלול ההסמכה מחדש לארגונים שהתעודה שלהם פגה.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

אם פתחתם את המאמר הזה כי מצאתם במגירה תעודת ISO 27001:2013 ואתם לא בטוחים אם היא עדיין שווה משהו — הנה התשובה הקצרה: היא כבר לא. מועד המעבר הרשמי לגרסת ISO/IEC 27001:2022 נקבע ל-31 באוקטובר 2025 בהחלטת פורום ההסמכה הבינלאומי (IAF), ומאז אותו תאריך כל תעודות 2013 שלא הוסבו בטלות. גופי ההסמכה משכו אותן. המשמעות המעשית: מי שהתמהמה כבר לא עומד בפני ״מבדק מעבר״ מקוצר, אלא בפני מסלול הסמכה מלא מחדש. במאמר הזה נסביר מה בדיוק השתנה ב-2022, מהן 11 הבקרות החדשות ומה כל אחת מהן אומרת בפועל לחברה קטנה, ואיך נראה מסלול ההסמכה מחדש בעידן שאחרי המועד — בין אם אתם מסמיכים מחדש, מסמיכים בפעם הראשונה, או פשוט רוצים להבין מה קרה כאן.

למי המאמר הזה רלוונטי היום

המועד עבר, אבל השאלות רק התחדדו. המאמר נכתב לשלושה קהלים: (1) ארגונים שנתנו לתעודת 2013 שלהם לפוג וצריכים להסמיך מחדש על בסיס 2022; (2) ארגונים שניגשים להסמכה בפעם הראשונה — עבורכם אין בכלל שאלת ״מעבר״, פשוט מתחילים ישר מ-2022; (3) צוותים שרוצים להבין מה השתנה במבנה התקן ובבקרות. אם אתם בקהל השני, כדאי לקרוא קודם את חמשת הצעדים המעשיים להסמכת ISO 27001 בחברת SaaS — המדריך המלא למסע — ולחזור לכאן להבנת הבקרות החדשות.

מה בעצם השתנה בין 2013 ל-2022

השינוי המשמעותי ביותר אינו בגוף התקן (סעיפים 4–10, הדרישות הניהוליות) אלא ב-Annex A — נספח הבקרות. בגרסת 2013 היו 114 בקרות ב-14 תחומים. בגרסת 2022 הן ארוגנו מחדש ל-93 בקרות בארבע קבוצות בלבד: בקרות ארגוניות (37), בקרות אנשים (8), בקרות פיזיות (14) ובקרות טכנולוגיות (34). זו לא הפחתה של דרישות — זו ארגון מחדש. רוב הצמצום המספרי נובע ממיזוג: 57 בקרות ישנות אוחדו ל-24 בקרות חדשות. 58 בקרות נשארו כמעט זהות (עם עדכוני נוסח קלים), ו-11 בקרות הן חדשות לגמרי — לא היו קיימות ב-2013.

נוספה גם שכבה שלא הייתה קודם: כל בקרה בגרסת 2022 מתויגת ב-attributes (מאפיינים) — תגיות שמאפשרות לחתוך את הבקרות בכמה צירים: סוג הבקרה (מונעת/מגלה/מתקנת), תכונות אבטחת מידע (סודיות/שלמות/זמינות), מושגי סייבר (זיהוי/הגנה/גילוי/תגובה/התאוששות — במיפוי ל-NIST), יכולות תפעוליות ותחומי אבטחה. המאפיינים אינם דרישה — אי אפשר ״להיכשל״ בהם — אבל הם כלי מיפוי חזק שעוזר לחבר בין ה-SoA שלכם למסגרות אחרות.

בגוף התקן עצמו השינויים מינוריים אך אמיתיים. הבולט שבהם: סעיף 6.3 — Planning of changes, דרישה חדשה שכאשר הארגון מזהה צורך בשינוי במערכת ניהול אבטחת המידע, השינוי יבוצע בצורה מתוכננת. נוספו גם חידודי נוסח בסעיפים 4.2 (הבנת צורכי בעלי העניין), 6.2 (יעדים ותכנון להשגתם), 8.1 (תכנון ובקרה תפעוליים) ו-9.3 (סקר הנהלה). מי שיש לו ISMS מתפקד לרוב עומד ברוחם ממילא — אבל צריך לתעד את זה מפורשות.

השוואת מבנה Annex A בין ISO 27001:2013 ל-2022 — מ-114 בקרות ב-14 תחומים ל-93 בקרות בארבע קבוצות עם מאפיינים
מקור: ISO/IEC 27001:2022, Annex A; ISO/IEC 27002:2022.

11 הבקרות החדשות — ומה כל אחת אומרת לחברה קטנה

כאן נמצא הלב של גרסת 2022. אחת-עשרה הבקרות החדשות משקפות בדיוק את מה שהשתנה בנוף הסייבר בעשור שבין הגרסאות: מעבר לענן, איומים ממוקדים, פרטיות, ופיתוח מהיר. הנה כל אחת, ומשמעות מעשית אחת לחברת SaaS קטנה:

בקרהשםמה זה אומר לכם בפועל
5.7Threat Intelligence — מודיעין איומיםלאסוף ולנתח מידע על איומים רלוונטיים לכם (למשל התראות מערך הסייבר, פידים, CVEs) ולפעול לפיו — לא לחכות שהמתקפה תגיע.
5.23אבטחת מידע לשירותי ענןלהגדיר תהליך מסודר לבחירה, הגדרה, ניהול ויציאה משירותי ענן — מי אחראי על מה מול AWS/GCP/Azure ומול ספקי SaaS.
5.30מוכנות ICT להמשכיות עסקיתלוודא שתשתית ה-IT יכולה לחזור לפעולה בזמן שהגדרתם (RTO/RPO) אחרי כשל — גיבויים שנבדקו, לא רק שנעשו.
7.4ניטור אבטחה פיזיתלנטר פיזית אזורים רגישים — אצל SaaS לרוב הכוונה למשרד/חדר שרתים; חלק גדול מהאחריות עובר לספק הענן ומתועד בהסכם.
8.9ניהול תצורה (Configuration Management)לתחזק baseline מאובטח למערכות ולשרתים ולזהות סטיות — hardening של תמונות ותשתית, לא הגדרות ברירת מחדל.
8.10מחיקת מידעלמחוק מידע שכבר אין בו צורך, בצורה מבוקרת — קריטי לעמידה בדרישת המחיקה של תיקון 13 ושל לקוחות.
8.11מיסוך מידע (Data Masking)להסתיר או לטשטש מידע רגיש היכן שהחשיפה המלאה מיותרת — למשל בסביבות פיתוח, בדיקות וניתוח נתונים.
8.12מניעת דליפת מידע (DLP)למנוע הוצאה לא מורשית של מידע רגיש מהמערכות — הגבלות על ערוצי יצוא, שיתוף והדבקה.
8.16ניטור פעילות (Monitoring Activities)לנטר מערכות ורשתות באופן שוטף כדי לזהות התנהגות חריגה — לוגים שנאספים ונבדקים, לא נשכחים.
8.23סינון אינטרנט (Web Filtering)לחסום גישה לאתרים זדוניים/לא מורשים מהרשת הארגונית, כדי לצמצם חשיפה לתוכנות עוינות ופישינג.
8.28פיתוח מאובטח (Secure Coding)להטמיע עקרונות כתיבת קוד מאובטח לאורך מחזור הפיתוח — כדי לצמצם פגיעויות עוד לפני שהן מגיעות לייצור.
רשת 11 הבקרות החדשות ב-ISO 27001:2022 עם המשמעות המעשית של כל אחת לחברה קטנה
מקור: ISO/IEC 27001:2022 Annex A / ISO/IEC 27002:2022.
הבקרות שהכי ״נופלות״ במבדק

מהשטח, ומדיווחי גופי הסמכה על מבדקי המעבר: שתי הבקרות שנמצאו הכי לא בשלות הן דווקא 5.7 (מודיעין איומים) ו-5.23 (אבטחת שירותי ענן). הסיבה דומה בשתיהן — הן דורשות תהליך מתועד ומתמשך, ולא הגדרה טכנית חד-פעמית. ארגונים ״עושים״ ניטור איומים וצריכת ענן, אבל לא מתעדים את זה כתהליך מנוהל עם אחריות ברורה. אם אתם ניגשים למבדק, השקיעו שם קודם.

מסלול ההסמכה מחדש — לארגונים שהתעודה שלהם פגה

עד 31.10.2025 היה קיים ״מבדק מעבר״ (Transition Audit) — הליך מקוצר יחסית שבו גוף ההסמכה בדק רק את הדלתא מול 2022 והנפיק תעודה מעודכנת. החלון הזה נסגר. ארגון שהתעודה שלו פגה נמצא היום במעמד זהה למי שלא היה מוסמך מעולם: נדרש מסלול הסמכה מלא, כולל Stage 1 ו-Stage 2 מלאים. זה יקר ואיטי יותר ממה שהיה זמין קודם — אבל בהחלט בר-ניהול. כך זה נראה:

  1. Gap Assessment מול 2022. בודקים איפה אתם עומדים מול גוף התקן (כולל סעיף 6.3 החדש) ומול 93 הבקרות. אם היה לכם ISMS של 2013, רוב התשתית קיימת — מתמקדים ב-11 הבקרות החדשות ובמיפוי מחדש.
  2. סגירת פערים. מטמיעים את מה שחסר — לרוב מודיעין איומים, ניהול ענן מסודר, DLP ומיסוך מידע — ומייצרים את התהליכים והתיעוד הנלווים.
  3. שכתוב ה-SoA. בונים מחדש את מסמך תחולת הבקרות מול 93 הבקרות והמבנה הרביעוני (ראו טיפים בהמשך).
  4. תקופת תפעול. מריצים את ה-ISMS המעודכן, כולל ביקורת פנימית וסקר הנהלה שכבר התקיימו — גופי הסמכה מצפים לראות מערכת שרצה בפועל וצברה ראיות.
  5. Stage 1 ו-Stage 2. מבדק בשלות התיעוד ואז מבדק האפקטיביות המלא, שבסופו — תעודת ISO 27001:2022 חדשה בתוקף לשלוש שנים.

לגבי לוח זמנים: ארגון שכבר היה מוסמך ב-2013 ורק ״נשר״ בגלל המועד — כלומר התשתית והתרבות קיימות — יכול לרוב לחזור לתעודה תוך שלושה עד חמישה חודשים, כשעיקר העבודה היא סגירת 11 הבקרות החדשות ושכתוב ה-SoA. ארגון שה-ISMS שלו התרופף בפועל, או שמעולם לא באמת חי אותו, יתקרב יותר לטווח של הסמכה ראשונה — ארבעה עד שמונה חודשים — כפי שפירטנו במדריך חמשת הצעדים המעשיים.

מסמיכים בפעם הראשונה? פשוט תתחילו מ-2022

אם אתם ניגשים להסמכה עכשיו בלי היסטוריה של 2013 — יש לכם יתרון: אין שאלת מעבר, אין נטל לגרור מסמכים ישנים. אתם בונים ISMS על בסיס 2022 מהיום הראשון, עם המבנה הרביעוני ו-93 הבקרות. כל התהליך — הגדרת Scope, ניהול סיכונים, בניית ISMS, הטמעה ומבדק — זהה לחלוטין למה שתיארנו במדריך חמשת הצעדים להסמכת ISO 27001 בחברת SaaS. ההבדל היחיד: כשאתם ממפים בקרות, אתם עובדים ישר מול הרשימה החדשה, כולל 11 הבקרות שלמעלה. אין צורך להכיר את 2013 בכלל.

שכתוב ה-SoA — הטיפים שחוסכים זמן

ה-SoA (Statement of Applicability) הוא המסמך שהמבקר פותח ראשון, ובמעבר ל-2022 הוא נכתב כמעט מאפס כי מספרי הבקרות ומבנה הנספח השתנו. כמה עקרונות מהשטח:

  • התחילו ממיפוי 2013→2022, לא מדף חלק. ISO מפרסמת טבלת המרה רשמית בין הבקרות. רוב הבקרות הישנות שלכם ״נוחתות״ על בקרה חדשה — אל תמציאו מחדש מה שכבר החלטתם.
  • הבינו את היגיון המיזוג. כשמספר בקרות 2013 מוזגו לאחת (למשל בקרות גישה שאוחדו), התיעוד וההצדקה שלכם צריכים לכסות את כל הרכיבים תחת הבקרה החדשה האחת.
  • ה-11 החדשות דורשות החלטת תחולה מפורשת. לכל אחת מהן החליטו במפורש: חלה/לא חלה, ואם חלה — איך היא ממומשת. ״לא חלה״ בלי נימוק אמיתי הוא דגל אדום למבקר.
  • נצלו את ה-attributes. תיוג הבקרות ב-SoA לפי מאפיינים מקל אחר כך על מיפוי ל-SOC 2, לתיקון 13 או ל-NIST — עבודה שנעשית פעם אחת ומשרתת כמה מסגרות.

ומה עם הפרטיות? החוליה ל-ISO 27701

אם ארגון ישראלי מסמיך (או מסמיך מחדש) על בסיס 2022, זה גם הרגע הנכון לשקול הרחבת פרטיות. [ISO 27701](/cyber-insights/iso-27701-privacy-standard) הוא תקן ניהול פרטיות שנבנה כהרחבה ל-27001 — הוא מוסיף בקרות ותהליכים לניהול מידע אישי (PII) ומספק תשתית מסודרת שמתכתבת ישירות עם דרישות תיקון 13. היתרון בעיתוי: כשאתם ממילא בונים או משכתבים את ה-ISMS על בסיס 2022, הוספת שכבת 27701 חוסכת פרויקט נפרד — אותן בקרות ליבה, אותה מערכת ניהול, אותם מבדקים. חברה שמוכרת ללקוחות שרגישים לפרטיות תגלה שהצירוף הזה עונה על שני שאלוני ספקים במכה אחת.

צ׳קליסט למעבר או להסמכה מחדש — מה לעשות השבוע

  1. בדקו את סטטוס התעודה שלכם. אם היא נושאת ISO 27001:2013 — היא בטלה. אם 2022 — ודאו את תאריך התוקף ואת מועד מבדק המעקב הקרוב.
  2. הריצו Gap מהיר מול 11 הבקרות החדשות. לכל אחת סמנו: קיים / חלקי / חסר. זה נותן תמונה מיידית של היקף העבודה.
  3. זהו את שתי נקודות התורפה הקלאסיות — מודיעין איומים (5.7) וניהול ענן (5.23) — ובדקו אם יש לכם תהליך מתועד, לא רק פעילות.
  4. אספו את טבלת ההמרה 2013→2022 לפני שנוגעים ב-SoA, ומפו את הבקרות הקיימות לפני שכותבים חדשות.
  5. תעדו את סעיף 6.3 — נהל מסודר לתכנון שינויים ב-ISMS. קטן, אבל דרישה חדשה שמבקרים בודקים.
  6. החליטו על ה-Scope וגוף ההסמכה מוקדם. מועדי Stage 1/Stage 2 מתואמים חודשים מראש — פרט לוגיסטי שמפתיע ארגונים בסוף הדרך.
  7. שקלו את חוליית 27701 אם פרטיות היא חלק מהסיפור מול הלקוחות — עדיף לתכנן אותה עכשיו ולא בפרויקט נפרד.

השורה התחתונה

המועד עבר, וזה מפשט את התמונה: אין יותר מסלול ביניים. או שיש לכם תעודת 2022 בתוקף, או שאתם ניגשים למסלול הסמכה מלא על בסיס 2022 — בין אם מדובר בהסמכה מחדש או בפעם הראשונה. החדשות הטובות: מי שכבר חי ISMS אמיתי לא מתחיל מאפס, וכל העבודה מתרכזת ב-11 בקרות ברורות ובשכתוב מסודר של ה-SoA. גרסת 2022 אינה ״עוד רגולציה״ — היא פשוט מתארת נכון יותר את מה שחברת תוכנה מודרנית צריכה ממילא לעשות: לנהל ענן, לנטר איומים, למסך מידע ולכתוב קוד מאובטח. מי שבונה את זה נכון יוצא לא רק עם תעודה מעודכנת, אלא עם תשתית אבטחה שמתאימה למאה ה-21.

Cybertis מלווה ארגונים ישראליים במעבר ל-ISO 27001:2022 ובהסמכה מחדש — מ-Gap Assessment מול 11 הבקרות החדשות, דרך שכתוב ה-SoA וסגירת הפערים, ועד ליווי במבדקי Stage 1 ו-Stage 2. הפגישה הראשונה עלינו.

לשירות הסמכת ISO 27001

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ מקצועי מחייב. תהליך הסמכה או מעבר בפועל תלוי במאפייני הארגון, ב-Scope שנבחר ובדרישות גוף ההסמכה, ומחייב בחינה פרטנית.*

השירות הקשור

תקן ISO 27001

הסמכה בינלאומית מהיום הראשון ועד התעודה — בלי הפתעות במבדק.

לעמוד השירות המלא
תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il