ISO 27001, SOC 2 ו-ISO 42001 — תמונת מצב מהירה
שלושת המסגרות משלימות זו את זו אבל לא מחליפות זו את זו. ISO 27001 מגדיר מערכת ניהול אבטחת מידע (ISMS) ברמת הארגון. SOC 2 הוא מסגרת דיווח ושליטה סביב שירות שמסופק ללקוחות — עם Trust Services Criteria ודוח מאומת. ISO/IEC 42001 נותן מסגרת לניהול מערכות בינה מלאכותית (AIMS) כשהארגון מפתח או משתמש ב-AI באופן מהותי.
הקשר העסקי והצורך הארגוני
ISO 27001: מתאים כשצריך להוכיח ניהול סיכונים, נכסים, גישה ושיפור מתמשך ברחבי הארגון — לקוחות, דירקטוריון ורגולציה.
SOC 2: מתאים במיוחד כשמוכרים SaaS או שירות מנוהל ללקוחות ארגוניים שדורשים דוח אמון (לעיתים Type II לאורך זמן).
ISO 42001: נכנס כשיש החלטות AI, ספקי מודלים, נתונים רגישים במודלים או דרישות שקיפות מול לקוחות — לעיתים במקביל ל-27001.
סיכונים ואתגרים נפוצים
לבחור SOC 2 בלבד ולהניח ש«זה מכסה את כל הארגון» — ה-Scope של SOC מכוון לשירות שנמכר, לא בהכרח לכל יחידה.
ליישם ISO 42001 בלי בסיס ISMS יציב — קשה לאסוף ראיות ולנהל סיכונים בסיסיים.
להתבלבל בין SOC 2 לבין ISO 27001 בעיתוי ובעלות — תוכניות כפולות בלי תיאום יוצרות כפילות עבודה.
ניהול ובקרה, תהליך ומסגרת עבודה
27001: מדיניות ISMS, ניהול סיכונים, ניהול שינויים, ספקים ושיפור מתמשך — ברמת הארגון.
SOC 2: תיאור בקרות לפי קריטריונים נבחרים, ראיות לאורך תקופת ניטור (ב-Type II), ושקיפות ללקוח.
42001: מדיניות AI, הערכות השפעה, בקרות לפי רמת סיכון AI והשגחה אנושית.
איך אנחנו יכולים לסייע
למפות קודם מי הלקוחות והדרישות החוזיות — זה קובע אם SOC 2 דחוף או ש-ISO 27001 הוא הבסיס.
לזהות היכן AI נוגע בנתונים או בהחלטות לקוח — ואז להוסיף מסלול 42001 או לפחות מסגרת AI Governance.
לחבר תוכנית אחת עם יעדי ביניים, במקום שלוש פרויקטים מנותקים.
שאלות נפוצות
האפשרי להחזיק רק אחד מהם?
כן, בהתאם למודל העסקי. חברת SaaS לעיתים מתחילה מ-SOC 2; ארגון יצרני שמוכר B2B עם דגש על ניהול סיכונים ארגוני לעיתים יותר מזוהה עם ISO 27001. AI משמעותי מצדיק תוספת של 42001 או לפחות מדיניות AI מובנית.
איך זה קשור ל-GRC?
GRC הוא השם לשילוב Governance, ניהול סיכונים ורגולציה — התקנים הם כלים בתוך המסגרת הזו, לא תחליף לה.