השינויים ב־ISO 27799:2025 – מה המשמעות עבור מנהלים בארגוני בריאות?

פתיחה

בשנים האחרונות עולמות הבריאות והטכנולוגיה מתמזגים בקצב מסחרר. מערכות מידע רפואיות, טלפונים חכמים, בינה מלאכותית ורפואה מרחוק הפכו לחלק בלתי נפרד מהעבודה היומיומית. לצד ההזדמנויות – עולה גם איום גובר על אבטחת המידע והפרטיות של מטופלים. בדיוק כאן נכנס לתמונה תקן ISO 27799, המגדיר כיצד יש לנהל אבטחת מידע במערכות בריאות.

מהדורת 2025 של התקן מביאה עמה שינויים עמוקים. עבור מנהלים כלליים בארגוני בריאות – זהו לא עוד עדכון טכני ל־IT, אלא מהלך אסטרטגי שמשפיע על אמון הציבור, עמידה ברגולציה וחוסן הארגון בטווח הארוך. הפוסט הזה יסביר מה משתנה, אילו טעויות כדאי להימנע מהן, ומה הצעדים הנכונים להיערכות כבר היום.



רקע והקשר רגולטורי

מהו ISO 27799? זהו התקן הבינלאומי שמגדיר מסגרת לניהול אבטחת מידע בתחום הבריאות, תוך התאמה ייחודית לרגישות המידע הרפואי. הוא מבוסס על תקן ISO/IEC 27002, אך מותאם למציאות של ארגוני בריאות.

מה משתנה במהדורת 2025?

  • אימוץ מלא של מבנה ISO/IEC 27002:2022 – מעבר מ־14 קטגוריות ל־4 קטגוריות עיקריות: בקרות ארגוניות, בקרות אנשים, בקרות פיזיות, בקרות טכנולוגיות.
  • הוספת בקרות ייעודיות לתחום הבריאות (HLT), לדוגמה: זיהוי ייחודי של נתוני מטופלים, אימות נתונים מוצגים, תקשורת חירום, עקרונות Zero Trust.
  • החלפת תקן ISO 14441:2013, שעסק בפרטיות ואבטחה של רשומות רפואיות אלקטרוניות.
  • הרחבת ההיקף – התקן החדש מתייחס גם לציוד רפואי דיגיטלי ותוכנות לניהול סביבה טיפולית.
  • לוחות זמנים: ההצבעה על הטיוטה בינואר–אפריל 2025, פרסום רשמי בהמשך השנה, ותקופת מעבר של שלוש שנים לארגונים מוסמכים .

במילים אחרות – התקן מתעדכן למציאות של סייבר מתוחכם, שירותי בריאות דיגיטליים ושימוש הולך וגובר בנתוני מטופלים לצורכי טיפול ומחקר.



טעויות נפוצות של מנהלים בהיערכות לשינויים תקניים

  1. התייחסות לנושא כ"בעיה של ה־IT" בלבד – כאשר ההנהלה אינה רואה באבטחת מידע נושא אסטרטגי, האחריות נדחקת למטה. בפועל, ההשלכות הן ניהוליות, משפטיות וציבוריות.
  2. חוסר השקעה בהדרכה והובלת שינוי תרבותי – גם המערכות המתקדמות ביותר לא יעזרו אם הצוותים הרפואיים והמנהלים אינם מבינים את החשיבות.
  3. היערכות מאוחרת – דחיית ההיערכות לרגע האחרון מובילה לפרויקטים חפוזים ויקרים יותר.
  4. התעלמות מהפן הציבורי – דליפת מידע רפואי אינה רק אירוע טכני; היא משבר אמון מול מטופלים, תקשורת ורגולטורים.



צעדים נכונים ליישום – מה נדרש ממנהלים בכירים

1. גיבוש אסטרטגיה ארגונית

התקן החדש מציב רף גבוה יותר. נדרש מסמך אסטרטגי ברמה הנהלתית שמגדיר את חזון הארגון לניהול אבטחת מידע בבריאות.

2. יצירת מחויבות הנהלה ותקצוב נכון

היערכות מוצלחת דורשת השקעה בתשתיות, הכשרות, ייעוץ ובקרה שוטפת. ההנהלה צריכה לאשר תקציב ייעודי ולא להסתפק ב"תוספות" לפרויקטי IT קיימים.

3. חיבור בין אנשי טכנולוגיה, צוותים קליניים והנהלה

אבטחת מידע היא נושא חוצה־מערכות. נדרשת שפה משותפת שתאפשר ל־CISO, לרופאים, לאחיות ולמנהלים לדבר באותו מגרש.

4. בניית תרבות ארגונית של אחריות משותפת

מדובר בשינוי תודעתי – כל עובד בארגון, מהקבלה ועד להנהלה הבכירה, שותף לאחריות על שמירת המידע.

5. אימוץ עקרונות Zero Trust

במקום להסתמך על "גבולות" אבטחה, המהדורה החדשה מדגישה גישה של בדיקה מתמדת והגבלת הרשאות. זהו לא רק נושא טכנולוגי – אלא תפיסת ניהול של זהירות מתמדת.

(טיפ לניהול: מנו מוביל שינוי מההנהלה שירכז את ההיערכות, יתקשר לצוותים, ויוודא שהמסרים עוברים מהחזון הארגוני ועד לפעולות היומיומיות.)



סיפור מקרה מהשטח

ב־2016, עם עדכון התקן הקודם, בית חולים בינוני באירופה דחה את ההיערכות מתוך מחשבה שמדובר ב"עוד פרוצדורה טכנית". שנה לאחר מכן, חווה הארגון מתקפת כופר שהביאה להשבתת חדרי ניתוח ולנזק כספי ותדמיתי עצום. ועדת הבדיקה גילתה שהיערכות מוקדמת לפי התקן הייתה יכולה לצמצם משמעותית את הפגיעה.

לעומת זאת, רשת מרפאות בצפון אמריקה בחרה להשקיע בהיערכות מוקדמת – כולל הכשרה למנהלים, שדרוג נהלים ותרגילי חירום. כאשר חוותה ניסיון מתקפה, היא הצליחה לבלום אותו במהירות, ובמקביל הציגה לציבור שקיפות ויכולת שליטה. התוצאה: לא רק שנמנע נזק, אלא המהלך חיזק את אמון המטופלים.



שאלות נפוצות (FAQ)

כמה זמן יש לארגון להיערך?
צפויה תקופת מעבר של שלוש שנים מהפרסום הרשמי, אך בפועל ההיערכות דורשת זמן ולכן מומלץ להתחיל כבר עכשיו.

האם התקן מחייב כל ארגון בריאות או רק מוסדות גדולים?
התקן רלוונטי לכל גורם שמחזיק מידע רפואי – מבתי חולים ועד מרפאות פרטיות וספקי שירותי בריאות דיגיטליים.

מה הקשר בין התקן לבין אחריות משפטית במקרה של דליפת מידע?
יישום התקן אינו חסינות משפטית, אך הוא מראה על ניהול אחראי ועשוי להוות קו הגנה משמעותי מול רגולטורים ותביעות.

האם התקן רלוונטי גם לשירותי בריאות דיגיטליים וסטארטאפים בתחום הבריאות?
בהחלט. התקן החדש כולל התייחסות רחבה גם לציוד דיגיטלי, אפליקציות רפואיות ומערכות ענן.


סיכום וקריאה לפעולה

השינויים במהדורת 2025 של ISO 27799 הם לא "עוד עדכון טכני", אלא תמרור ברור למנהלים: ניהול אבטחת מידע הוא חלק בלתי נפרד מהאסטרטגיה הארגונית. מי שיתייחס לכך כאל השקעה, יזכה לאמון הציבור, לעמידה ברגולציה וליתרון תחרותי. מי שידחה – עלול לשלם מחיר כבד.

הקריאה לפעולה ברורה: התחילו היום. מנו מוביל שינוי, בנו תוכנית רב־שנתית, השקיעו בהכשרות והראו לעובדים ולציבור שהמידע שלהם בידיים בטוחות.

ISO 13485 מול QMSR: טבלת השוואת הפערים המלאה לשנת 2026

ISO 13485 מול QMSR: טבלת השוואת הפערים המלאה לשנת 2026

By Ronit Sade April 9, 2026
: ISO 13485 מול QMSR — מדריך השוואה מקצועי לכל הפערים בין התקן הבינלאומי לרגולציית ה-FDA החדשה שנכנסה לתוקף בפברואר 2026. עם דוגמאות ופתרונות יישום. תשובה קצרה: QMSR של ה-FDA, שנכנס לתוקף ב-2 בפברואר 2026, מאמץ את ISO 13485:2016 בהפניה (by reference) אך מוסיף מעליו דרישות אמריקאיות ייחודיות. לכן תאימות מלאה ל-ISO 1348
clean geometric shapes, with a subtle abstract seder plate silhouette integrated as a circular frame

ארבע השאלות שכל מנהל איכות חייב לשאול את עצמו לפני חזרה לעבודה אחרי פסח

By Ronit Sade April 3, 2026
ניהול איכות תעשייתי מחייב עצירה לחשיבה אחת בשנה. ארבע שאלות מעשיות שמנהל איכות חייב לשאול את עצמו לפני חזרה לעבודה — ולמה פסח הוא הזמן הנכון לעשות זאת.
Two interconnected shield icons — one larger (BCP) containing a smaller one (DR) — surrounded by abs

BCP, DR ו-ISO 22301 — מה ההבדל ולמה רוב הארגונים בישראל עדיין לא מוכנים?

By Ronit Sade March 26, 2026
תוכנית רציפות עסקית BCP היא לא אותו דבר כמו DR. הגדרה מדויקת, הבדלים מעשיים, ומה ISO 22301:2019 דורש — המדריך המלא.
נראה זכוכית מגדלת ענקית שבוחנת טיפה של חומר.

מדריך 2026: עדכון גיליונות בטיחות (SDS) – האם אתם עומדים ברגולציה האירופית החדשה?

By Ronit Sade March 19, 2026
אם העסק שלכם עובד עם השוק האירופי או מייבא חומרים מאירופה, כנראה ששמתם לב לשינוי בפורמט ה-SDS. תקנה 2020/878 של האיחוד האירופי נכנסה לתוקף מלא, והיא מחייבת עדכון משמעותי של כל גיליונות הבטיחות.
ה-FDA ואת ה-ISO כשני חלקי פאזל ענקיים שמתחברים בדיוק מושלם, ויוצרים גשר יציב מעל אוקיינוס.

המדריך המלא ל-QMSR: איך יצרני מכשור רפואי בישראל צריכים להתכונן למהפכת ה-FDA?

By Ronit Sade March 13, 2026
עידן חדש ברגולציית המכשור הרפואי: ה-FDA פרסם את חוק ה-QMSR (Quality System Regulation Amendment), הממזג רשמית את דרישות 21 CFR Part 820 עם תקן ISO 13485:2016 הבינלאומי. עבור חברות ישראליות המייצאות לשוק האמריקאי, מדובר בשינוי דרמטי בניהול סיכונים ובקרת איכות.
Colorful cartoon illustration of a food safety inspection scene with a quality inspector examining a

אוגוסט 2026 מתקרב: האם העסק שלך מוכן לדרישות HACCP בישראל?

By Ronit Sade February 19, 2026
אוגוסט 2026 מסמן שינוי משמעותי בדרישות HACCP ומערכת בטיחות מזון עצמית לעסקים קטנים ובינוניים. מה משתנה, מי חייב להיערך, ואיך להימנע מאכיפה מנהלית? מדריך מעשי ליצרני מזון.
Business Continuity Plan document on a clipboard inside an industrial facility, with safety helmet,

BCP לארגונים תעשייתיים: איך לבנות תוכנית המשכיות עסקית שבאמת עומדת בביקורת

By Ronit Sade February 13, 2026
מה זה BCP ואיך בונים תוכנית המשכיות עסקית שבאמת עומדת בביקורת? מדריך פרקטי לארגונים תעשייתיים כולל חיבור ל ISO 9001 ו ISO 13485, טעויות נפוצות וטיפים ליישום אפקטיבי.
שעון חול דרמטי שבו מסמכי ISO 13485:2016 נוזלים כלפי מטה וקוברים בניין של ה-FDA, לצד שעון מעורר שמציג

2 בפברואר 2026: היום שבו ה-FDA מפסיק “להחליק פינות”

By Ronit Sade February 5, 2026
Starting February 2, 2026, the FDA will enforce QMSR aligned with ISO 13485:2016. What this means for medical device manufacturers—and why waiting is no longer an option.
תרשים שילוב מדדי קיימות במדדי איכות – Green QA ו‑ESG

איכות ירוקה (Green QA & ESG): מדד חדש בעידן של קיימות

By Ronit Sade January 29, 2026
למד כיצד עקרונות Green QA ו‑ESG משנים את עולם הבטחת האיכות – מדידת פליטות פחמן, אנרגיה ופסולת כחלק אינטגרלי בדוחות איכות.
גרף שמציג תהליך עמידה ב‑21 CFR Part 11 לרשומות וחתימות אלקטרוניות

Electronic Records & Electronic Signatures – מדריך מקצועי ל‑21 CFR Part 11

By Ronit Sade January 22, 2026
מדריך מקצועי ל‑21 CFR Part 11 של ה‑FDA לניהול רשומות וחתימות אלקטרוניות — דרישות, טעויות נפוצות, וולידציה, אבטחה ודוגמאות יישום מהשטח.