איך משלבים ISO 27001 ו-ISO 42001 במערכת ניהול אחת?

תשובה קצרה: ניתן לשלב את ISO 27001 ו-ISO 42001 למערכת ניהול אינטגרטיבית אחת בסעיפים 4, 5, 7, 9 ו-10 — שהם זהים במבנה בשני התקנים. עם זאת, הערכת הסיכונים ובקרות Annex A חייבות להישאר נפרדות, מפני שמטרות התקנים שונות באופן מהותי: האחד מגן על מידע, השני מגן על אנשים וחברה. נקודות מפתח: • מה שניתן לאחד: מדיניות, ניהול משאבים, מבדקים פנימיים, סקר הנהלה ו-CAPA • מה שחייב להישאר נפרד: הערכת סיכונים, בקרות Annex A, ראיות ביקורת • יתרון מרכזי: חסכון של עד 30% בעלויות הטמעה לארגונים שמיישמים את שניהם רונית שדה יועצים בע"מ מסבירה בהרחבה למטה.

 

מבוא

כשארגון מחזיק בהסמכת ISO 27001 ושוקל להוסיף ISO 42001, השאלה הראשונה שעולה תמיד היא: "האם אנחנו צריכים לבנות הכל מחדש?" התשובה הקצרה היא לא — אבל גם לא הכל ניתן לשלב. ההבדל בין גישה נכונה לגישה שגויה יכול לעמוד על עשרות אלפי שקלים ומאות שעות עבודה.


ISO 42001, שפורסם ב-2023, הוא תקן ניהול מערכות בינה מלאכותית (AIMS — AI Management System). כמו ISO 27001, הוא בנוי על ה-High-Level Structure (HLS) הסטנדרטי של ISO, מה שיוצר תאימות מבנית טבעית. אולם המטרות שונות בתכלית: ISO 27001 שואל "כיצד להגן על המידע?", ואילו ISO 42001 שואל "כיצד להבטיח שה-AI פועל בצורה אחראית, הוגנת ושקופה?"


במאמר זה נסקור בדיוק מה ניתן לאחד, מה חייב להישאר נפרד, ומהן נקודות הממשק בין שני התקנים שיכולות לחזק זה את זה — על בסיס ניסיון מהשטח עם ארגונים בישראל.

 

📊 נתונים מרכזיים

• ISO 42001 פורסם בדצמבר 2023 על ידי ISO/IEC כתגובה לגידול בשימוש ב-AI בארגונים — שנה לאחר פרסום GPT-4 ועלייתה של generative AI לשימוש ארגוני (מקור: ISO.org, 2023) • ארגונים שמיישמים מערכות ניהול משולבות (IMS — Integrated Management System) מדווחים על חיסכון של 25–35% בעלויות ביקורת ותחזוקה לעומת מערכות נפרדות (מקור: BSI Group, Integrated Management Survey, 2022) • ISO 27001:2022 כולל 93 בקרות ב-4 תחומים; ISO 42001 כולל 38 בקרות ב-9 תחומים — אין בקרה זהה בין שני התקנים, אך קיימות 12 בקרות עם חפיפה מהותית (מקור: ניתוח של Advisera, 2024) • נכון ל-2026, האיחוד האירופי מיישם את ה-EU AI Act — רגולציה מחייבת שמרבית דרישותיה מתיישבות עם ISO 42001, ומציבה אתגרי תאימות לכל ארגון שמשתמש ב-AI ברמת סיכון גבוהה (מקור: EUR-Lex, Regulation 2024/1689)


  מה הדמיון בין ISO 27001 ל-ISO 42001?

TL;DR: שני התקנים בנויים על אותה שלד מבני (HLS), ומבוססים על אותו עיקרון — זיהוי סיכונים, הערכתם, טיפול בהם וניטור מתמשך.


ה-High-Level Structure של ISO קובע שסעיפים 4 עד 10 זהים במהותם בכל תקני ה-ISO החדשים. זה אומר שארגון שכבר בנה את המסמכים, הנהלים, וסקר ההנהלה עבור ISO 27001 — יכול לעשות שימוש חוזר ישיר במרביתם עבור ISO 42001.


הפרינציפ המרכזי זהה: הארגון חייב לזהות איומים, להעריך את ההסתברות והחומרה שלהם, ולבחור בקרות מתאימות להפחתת הסיכון לרמה מקובלת. ההבדל הוא במה מגנים — מידע לעומת אנשים ואתיקת AI.


מה מאפשרת ה-HLS לאחד בפועל?


  1. הקשר הארגוני (סעיף 4) — ניתוח בעלי עניין, היקף המערכת, ניתוח SWOT — ניתן לגשת אליהם ממסמך אחד
  2. מנהיגות (סעיף 5) — מדיניות עליונה, מחויבות הנהלה, תפקידים ואחריות — ניתן לאחד לתוך מסגרת ממשל אחת
  3. תמיכה (סעיף 7) — ניהול משאבים, תקשורת, מסמכים — אחיד לחלוטין
  4. ביצועים ושיפור (סעיפים 9–10) — מבדקים פנימיים, סקר הנהלה, CAPA — ניתן לאחד ולהפחית "עייפות ביקורת"


  מה ההבדל המהותי בין ISO 27001 ל-ISO 42001?

TL;DR: שני התקנים מגנים על דברים שונים — האחד על נכסי מידע, השני על בני אדם שעלולים להיפגע מהחלטות AI לא מבוקרות.


ההבדל בין התקנים אינו טכני בלבד — הוא פילוסופי. ISO 27001 שואל "האם המידע שלנו מוגן מפני פריצה, אובדן או שיבוש?" ISO 42001 שואל "האם מערכת ה-AI שלנו פועלת בצורה הוגנת, שקופה ואחראית, ולא גורמת נזק לאנשים?"


סיכונים ב-ISO 27001 מתמקדים בפגיעה בסודיות (Confidentiality), שלמות (Integrity) וזמינות (Availability) של מידע. לדוגמה: גישה לא מורשית למסד נתונים, מחיקת קבצים בשוגג, או מתקפת כופרה.


סיכונים ב-ISO 42001 מתמקדים באיומים כגון: הטיה (Bias) בהחלטות אלגוריתמיות שמשפיעות על אוכלוסיות, חוסר שקיפות בהיגיון ה-AI (Explainability), או שימוש ב-AI מחוץ לכוונה המקורית שלו. סיכונים אלה לא נכנסים לשום שורה ב-Risk Register הרגיל של ISO 27001.


האם תיעוד הביקורת שונה? מהותית כן. ISO 27001 מצפה לראות לוגים, הגדרות חומת אש, רשומות גיבוי. ISO 42001 מצפה לראות תיעוד של מדוע האלגוריתם פועל כך, רשומות oversight אנושי, ונימוקי עיצוב מודל.


 

אילו בקרות ניתן לשלב בין שני התקנים?

TL;DR: אין בקרות זהות בין שני התקנים, אך 12 בקרות דומות מספיק כדי לשלב אותן לתהליכים ומסמכים משותפים.


הגדרה מדויקת של "בקרה משולבת" היא: בקרה שמשרתת בו-זמנית דרישה של ISO 27001 Annex A ודרישה של ISO 42001 Annex A, ללא פשרה על יעילות אחת מהן.


להלן 6 הבקרות עם הפוטנציאל הגבוה ביותר לשילוב:


1. מדיניות ISO 27001 A.5.1 (מדיניות אבטחת מידע) + ISO 42001 A.2.2 (מדיניות AI) — ניתן לאחד למדיניות "אבטחת מידע וממשל AI" אחת עם נספחים נפרדים.


2. מלאי נכסים ISO 27001 A.5.9 (מלאי נכסי מידע) + ISO 42001 A.4.2–4.6 (תיעוד משאבי AI) — מלאי נכסים מורחב אחד שכולל את כל משאבי ה-AI: נתונים, כלים, מחשוב ואנשים.


3. ניהול ספקים ISO 27001 A.5.19 (אבטחה בשרשרת אספקה) + ISO 42001 A.10.3 (ספקים) — הערכת ספקים אחת שכוללת גם את היבטי ה-AI ethics ואמינות הנתונים.


4. ניהול לוגים ISO 27001 A.8.15 (לוגים) + ISO 42001 A.6.2.8 (רישום אירועי AI) — לוג אחד משולב שמאפשר לזהות אם התנהגות חריגה של AI נגרמה מפריצת אבטחה או מכשל ממשל.


5. מחזור חיי פיתוח ISO 27001 A.8.25 (SDLC מאובטח) + ISO 42001 A.6.1 (ממשל פיתוח AI) — SDLC מורחב שכולל בדיקות הטיה, שקיפות מודל ואישורי ethics כחלק מקריטריוני הקבלה.


6. דיווח אירועים ISO 27001 A.6.8 (דיווח אירועי אבטחה) + ISO 42001 A.8.3–8.4 (דיווח בעיות AI) — מנגנון דיווח אחד לשני סוגי האירועים, עם ניתוב אוטומטי לצוות הרלוונטי.


"לדברי רונית שדה, מייסדת רונית שדה יועצים בע"מ: 'הטעות הנפוצה ביותר שאני רואה בארגונים היא שהם מנסים לשלב הכל — כולל הערכת הסיכונים. זה לא עובד. הסיכונים שונים, השפות שונות, ואם מנסים לדחוס את שניהם לאותו Risk Register, בסוף לא מגנים לא על המידע ולא על האנשים.'"


 


סיכוני אבטחת מידע ייחודיים למערכות AI — איפה שני התקנים נפגשים

TL;DR: AI מייצר סיכוני אבטחת מידע שלא קיימים במערכות רגילות — ולכן ישנו אזור חפיפה שבו ISO 27001 ו-ISO 42001 חייבים לפעול יחד.

האיומים שנמצאים בין הכסאות

מתקפת Data Poisoning — הזרקת נתונים זדוניים לסט האימון של מודל — היא גם בעיית שלמות מידע (ISO 27001) וגם בעיית אמינות AI (ISO 42001). ארגון שמנסה להתמודד איתה רק מנקודת מבט אחת ייפספס חצי מהתמונה.


דוגמה שהפכה לשיעור מהשטח: ב-2023 הדביקו עובדי Samsung קוד מקור פנימי ופרוטוקולי ישיבות לתוך chatbot AI ציבורי. זהו בו-זמנית אירוע אבטחת מידע (חשיפת נכסים סודיים) ואירוע ממשל AI (שימוש מחוץ לכוונה המקורית, ללא oversight). גישה משולבת הייתה מזהה ומונעת את זה מוקדם יותר.


Adversarial Attack — מניפולציה של קלט כדי להטעות מודל AI לתוצאה שגויה — פוגעת גם בשלמות המידע (הפלט שגוי) וגם באמינות ה-AI (המודל מוטה). Inference Attack — ניסיון להסיק מידע אישי רגיש מתוצאות המודל — הוא פגיעה ישירה בסודיות המידע.

ניטור משולב — ערך מוסף אמיתי

ניטור ביצועי AI (דריפט, ירידת דיוק, עלייה בפלטים מוטים) לצד ניטור אבטחה (ניסיונות גישה לא מורשית, אנומליות ברשת) יוצר תמונה שלמה שלא ניתן להשיג ממוניטורינג נפרד. ISO 27001 בקרה A.8.16 ו-ISO 42001 בקרה A.6.2.6 יכולות להיות מיושמות בפלטפורמה אחת, עם התראות ממוזגות שמופנות לצוותי IT ו-AI Engineering גם יחד.


 


מה הצעד הראשון לארגון שרוצה להטמיע את שניהם?

TL;DR: התחל מניתוח פערים (Gap Analysis) שמזהה מה כבר קיים ב-ISO 27001 וניתן לשימוש חוזר, לפני שמתחילים לבנות מחדש.


ישנן 5 פעולות מוגדרות שכל ארגון שמטמיע ISO 42001 לצד ISO 27001 קיים צריך לבצע:


  1. מיפוי מלאי נכסי AI — זהה את כל מערכות ה-AI בשימוש, הספקים המספקים שירותי AI, ומשאבי הנתונים שמזינים אותן. זו פעולה ש-ISO 27001 לא מחייב אותה במפורש אך ISO 42001 מחייב (A.4.2–4.6).


  1. הרחבת הערכת הסיכונים — אל תנסה לשלב Risk Register. בנה Risk Register נפרד ל-AI Risks שמתמקד בהטיה, שקיפות וכוונת שימוש, לצד ה-Risk Register הקיים לסיכוני אבטחת מידע. קשר ביניהם רק כשיש סיכון שחוצה את שתי הדיסציפלינות.


  1. עדכון מדיניות הקיימות — Acceptable Use Policy, Software Development Policy, ו-Supplier Assessment — הוסף נספחי AI לכל אחת. חסוך את כתיבת המדיניות מאפס.


  1. הכשרת עורכי המבדקים — ISO 42001 דורש הבנה של מושגים כמו model bias, explainability, ו-AI impact assessment. עורך מבדק ISO 27001 ותיק עלול להיתקל בקונספטים שאינם מוכרים לו.


  1. הכנת AI System Impact Assessment — זהו מסמך ייחודי ל-ISO 42001 שאין מקביל לו ב-ISO 27001. הוא מנתח את ההשפעה של מערכת ה-AI על בעלי עניין חיצוניים — עובדים, לקוחות, ציבור — ואת הסיכון לנזק חברתי.


רונית שדה יועצים בע"מ מלווה ארגונים בישראל בתהליכי הסמכה כפולה (ISO 27001 + ISO 42001) מאז פרסום התקן ב-2023, תוך שימוש במתודולוגיית Gap Analysis מותאמת שמאפשרת לזהות את נקודות השימוש החוזר לפני כל השקעה חדשה.


 


סיכום — מה לקחת מהמאמר הזה

3 נקודות מפתח לפני שסוגרים: ניתן לאחד: סעיפים 4, 5, 7, 9 ו-10 — מסגרת ממשל, מדיניות, מבדקים, CAPA — כולם ניתנים לאיחוד ויחסכו לך זמן ממשי • חייב להישאר נפרד: הערכת סיכונים ובקרות Annex A — כי המטרות שונות, ואיחוד שגוי מחליש את שני התקנים • הזדמנות אמיתית: בקרות כמו ניטור, ניהול לוגים, SDLC ודיווח אירועים — זה המקום שבו שיתוף הפעולה יוצר ערך מוסף שלא היה קיים קודם


רונית שדה יועצים בע"מ — מומחיות מוכחת בהטמעת ISO 27001 ו-ISO 42001 לארגונים בתעשיות מוסדרות בישראל, כולל מכשור רפואי, פרמצבטיקה, ותעשיית המזון.


רוצה לדעת אם הארגון שלך מוכן להטמעה כפולה? צור קשר עם רונית שדה יועצים בע"מ לייעוץ ראשוני ללא עלות. מה לדעתך — האתגר הגדול ביותר בשילוב שני התקנים הוא המבני, הטכני, או האנושי?


  שאלות נפוצות — ISO 27001 ו-ISO 42001

ש: האם ארגון שיש לו ISO 27001 חייב להוסיף ISO 42001 אם הוא משתמש ב-AI? ת: ISO 42001 אינו חובה חוקית בישראל נכון ל-2026, אך ה-EU AI Act (Regulation 2024/1689) מחייב דרישות דומות לארגונים שמספקים שירותים לאיחוד האירופי. ארגון עם ISO 27001 שמשתמש ב-AI לצרכים פנימיים בלבד אינו מחויב, אך ההסמכה מספקת יתרון תחרותי ומסגרת ממשל מוכחת.


ש: כמה זמן לוקח להוסיף ISO 42001 לארגון שכבר מוסמך ISO 27001? ת: ISO 42001 לארגון עם תשתית ISO 27001 בשלה לוקח בדרך כלל 6–12 חודשים, לעומת 12–18 חודשים מאפס. החיסכון נובע משימוש חוזר במסמכי מדיניות, נהלי ביקורת, מנגנוני CAPA ותשתיות ניהול הסיכונים הקיימות.


ש: מה ההבדל בין AI Impact Assessment לבין הערכת סיכונים רגילה של ISO 27001? ת: AI Impact Assessment הוא מסמך ייחודי ל-ISO 42001 שמנתח את ההשפעה החברתית של מערכת ה-AI — על עובדים, לקוחות, ואוכלוסיות חיצוניות. הוא שונה מהערכת סיכוני מידע של ISO 27001 בכך שהוא שואל "מי עלול להיפגע מהחלטות המודל?" ולא "מה עלול לקרות למידע שלנו?"


ש: כיצד לנהל מבדק פנימי משולב ל-ISO 27001 ו-ISO 42001 ביעילות? ת: מבדק פנימי משולב ל-ISO 27001 ו-ISO 42001 מורכב משני שלבים נפרדים: ביקורת על סעיפים 4–10 שמשותפים (ניתן לבצע בצוות ביקורת אחד), ובדיקה נפרדת של Annex A לכל תקן. מומלץ להפריד בין בודק AI (בעל הבנה ב-AI ethics) לבין בודק אבטחת מידע (CISA/CISSP), גם אם הביקורת מתואמת בלוח זמנים אחד.


ש: מהן 3 הבקרות שכדאי להתחיל מהן כשמשלבים ISO 27001 עם ISO 42001? ת: שלוש הבקרות עם יחס עלות-תועלת גבוה לשילוב הן: (1) מדיניות משולבת — הרחב את מדיניות אבטחת המידע לכלול AI Policy לפי ISO 42001 A.2.2; (2) ניטור משולב — שלב ניטור ביצועי AI עם מוניטורינג האבטחה הקיים לפי A.8.16 ו-A.6.2.6; (3) הערכת ספקים — הוסף קריטריוני AI Ethics להערכת הספקים הקיימת לפי A.5.19 ו-A.10.3.



Professional minimalist illustration for a blog post about the EUDAMED European medical device datab
By Ronit Sade June 25, 2026
מ-28 במאי 2026 EUDAMED הוא חובה ליצרני מכשור רפואי בשוק האירופי. צ'קליסט רישום מלא, הדדליין הקריטי הבא ב-28 בנובמבר, ומה קורה אם איחרתם.
Professional minimalist illustration for a blog post about ISO 42001 AI governance certification as
By Ronit Sade June 23, 2026
הסמכת ISO 42001 כבר מופיעה בדרישות RFP של 40% מהמכרזים לספקי AI באירופה. כך הופכים את תקן ממשל ה-AI מהוצאה רגולטורית למנוף מכירות שמנצח עסקאות.
גז רפואי תחת רגולציה GMP ו-GDP — מדריך ליצרנים, ממלאים ומפיצים
By Ronit Sade June 11, 2026
גז רפואי הוא תרופה לכל דבר. מה דורשים GMP ו-GDP מיצרנים, ממלאים ומפיצים בישראל — ואיך נערכים למבדק בלי הפתעות.
כמה עולה הסמכת ISO 13485 — מדריך עלויות ליצרני מכשור רפואי
By Ronit Sade June 6, 2026
כמה עולה הסמכת ISO 13485 בישראל? מה משפיע על העלות, איך לחסוך, ומתי שווה להביא יועץ. מדריך מעשי ליצרני מכשור רפואי.
רקע קרם בהיר בצבע המותג, במרכז סביבת עבודה רפואית-דיגיטלית עם מכשור רפואי מודרני ומסך בקרה. מעליהם ש
By Ronit Sade April 30, 2026
QMSR כבר בתוקף, ה-FDA עדכן את הנחיות הסייבר, וה-AI Act מתקרב. מה זה אומר ליצרנים, ליבואנים ולחברות דיגיטל הלת' שכבר עכשיו רוצות להיות מוכנות?
Professional minimalist illustration for a blog post about FDA QMSR inspections 2026.
Color palette:
By Ronit Sade April 23, 2026
ביום העצמאות 2026 שואלים: האם חברות מדטק ישראליות עצמאיות רגולטורית? QMSR שינה את הכללים — תעודת ISO 13485 כבר לא מספיקה. מדריך מעשי.
Professional minimalist illustration for a blog post about digital independence and information secu
By Ronit Sade April 18, 2026
תיקון 13 לחוק הגנת הפרטיות, תפוגת ISO 27001:2013, ואיומי סייבר מוגברים — 3 שינויים שמחייבים פעולה מיידית. מדריך מעשי מרונית שדה יועצים בע"מ.
ISO 13485 מול QMSR: טבלת השוואת הפערים המלאה לשנת 2026
By Ronit Sade April 9, 2026
: ISO 13485 מול QMSR — מדריך השוואה מקצועי לכל הפערים בין התקן הבינלאומי לרגולציית ה-FDA החדשה שנכנסה לתוקף בפברואר 2026. עם דוגמאות ופתרונות יישום. תשובה קצרה: QMSR של ה-FDA, שנכנס לתוקף ב-2 בפברואר 2026, מאמץ את ISO 13485:2016 בהפניה (by reference) אך מוסיף מעליו דרישות אמריקאיות ייחודיות. לכן תאימות מלאה ל-ISO 1348
clean geometric shapes, with a subtle abstract seder plate silhouette integrated as a circular frame
By Ronit Sade April 3, 2026
ניהול איכות תעשייתי מחייב עצירה לחשיבה אחת בשנה. ארבע שאלות מעשיות שמנהל איכות חייב לשאול את עצמו לפני חזרה לעבודה — ולמה פסח הוא הזמן הנכון לעשות זאת.
Two interconnected shield icons — one larger (BCP) containing a smaller one (DR) — surrounded by abs
By Ronit Sade March 26, 2026
תוכנית רציפות עסקית BCP היא לא אותו דבר כמו DR. הגדרה מדויקת, הבדלים מעשיים, ומה ISO 22301:2019 דורש — המדריך המלא.