איך ליישם Data Masking לפי ISO 27001: מדריך מעשי לבקרת 8.11

ארגונים רבים שואפים לעמוד בתקן ISO/IEC 27001:2022 כדי להבטיח את אבטחת המידע שלהם ולבנות אמון מול לקוחות ושותפים. אלא שעדכון התקן האחרון, ובפרט בקרת 8.11, מציב רף חדש ומחייב: לא עוד הצפנה בלבד, אלא שימוש מדויק בטכניקות של הסתרת נתונים (Data Masking) בהתאם למדיניות בקרת הגישה הארגונית. במילים פשוטות? צריך להחליט מי רואה מה, מתי, ואיך – ולהבטיח שמידע רגיש לעולם לא נחשף שלא לצורך.

בפוסט הזה נצלול לתוך המשמעות המעשית של בקרת 8.11, נסקור טעויות נפוצות, נציג שלבים מומלצים ליישום נכון – כולל דוגמאות, תרשימים וטיפים – ונשתף בסיפור מהשטח. בסוף, נענה על שאלות נפוצות ונציע כלים להמשך הדרך.

רקע והקשר רגולטורי: בקרת 8.11 היא חלק מהגרסה המעודכנת של ISO 27001 שפורסמה ב-2022. על פי הניסוח החדש, "יש להשתמש ב-Data Masking בהתאם למדיניות הארגונית על בקרת גישה". הדרישה מחייבת כל ארגון לסווג מידע רגיש (כמו PII, PHI, מידע פיננסי או קניין רוחני), להחיל עליו מדיניות חשיפה מדורגת, ולהבטיח שהחשיפה בפועל תואמת לרמות ההרשאה שהוגדרו. המועד האחרון לעמידה בדרישות המעודכנות הוא 31 באוקטובר 2025, אך כבר כעת מבקרים שואלים על יישום בקרת 8.11.

טעויות נפוצות ביישום Data Masking:

  • ❌ חוסר בזיהוי שדות רגישים – ללא סיווג מידע, אי אפשר למסך אותו.
  • ❌ שימוש בטכניקות לא מתאימות (כמו רק החלפה אקראית) שפוגעות בשימושיות הנתונים.
  • ❌ הסתרה חלקית בלבד בסביבות בדיקה או אנליטיקה – ופוטנציאל לחשיפת מידע.
  • ❌ התמקדות רק בדאטה מובנה, והתעלמות ממיילים, צ׳אטים, מסמכים, קבצי קול.
  • ❌ העדר תיעוד ובקרת גישה – בעייתי מול מבקרים.

צעדים נכונים ליישום:

  1. מיפוי מידע רגיש: סריקה של כלל המערכות והסביבות (פרודקשן, בדיקה, אנליטיקה) וזיהוי של מידע אישי, מזהים, תכנים טקסטואליים ועוד.
  2. סיווג וסימון: הגדרת רמות רגישות לפי מדיניות אבטחת מידע.
  3. בחירת טכניקת מסקינג מתאימה:
  • Redaction: טוב להצגה בסיסית, אך פוגע בשימושיות.
  • Tokenization: שומר על פורמט, אך דורש מערכות תומכות.
  • סינתזה (Synthetic Data): מייצרת מידע דמיוני המתנהג כמו המקור – פתרון אידיאלי לפיתוח ו-ML.
  1. יישום טכני לפי סביבה:
  • Static masking לסביבות QA/Dev.
  • Dynamic masking לסביבות דוחות ו-BI.
  • שמירה על ייחוס (Referential Integrity) בין טבלאות.
  1. ניהול הרשאות מדויק (RBAC).
  2. תיעוד ולוגים: תיעוד כל חשיפה או שינוי.
  3. בדיקות שימושיות: לוודא שהמידע המוסתר עדיין תומך בצרכי הפיתוח, הבדיקות או האנליטיקה.



סיפור מהשטח: בחברת פינטק ישראלית בינונית, הצוות עבד עם דאטה רגיש בסביבות בדיקה מבלי לדעת שהמידע כולל פרטים אמיתיים של לקוחות. לאחר בדיקה, נמצא שהעברת המידע נעשתה ללא מסקינג. עם יישום Static Masking מבוסס מדיניות, הצליחו לצמצם חשיפה, לשפר אמון הלקוחות ולעבור בהצלחה ביקורת ISO.

שאלות נפוצות:

  • האם מספיק להשתמש ב-redaction בסיסי? לא. לרוב יש צורך בפתרונות שמאזנים פרטיות ושימושיות.
  • האם זה נוגע גם לדאטה לא מובנה? כן. צ׳אטים, קבצי קול, מסמכים – הכל נכלל.
  • האם אפשר ליישם ידנית? לא כדאי. יש להשתמש באוטומציה וכלים תומכים.

סיכום וקריאה לפעולה: Data Masking הוא לא רק אמצעי טכני – אלא אסטרטגיה ניהולית ורגולטורית קריטית. ארגונים שמעוניינים לעמוד בתקני ISO ולהבטיח פרטיות מידע, צריכים להשקיע ביישום נכון של בקרת 8.11: לזהות, לסווג, למסך – ולתעד כל שלב. כך תיצרו לא רק ציות, אלא גם תרבות של אבטחת מידע אחראית.

📢 מחפשים להטמיע פתרון Data Masking חכם בארגון? דברו איתי – רונית שדה, יועצת מומחית לתרבות אבטחת מידע וניהול סיכונים.

יור מינימליסטי בסגנון שטוח על רקע קרם בהיר. במרכז מופיעים שני מגנים המשתלבים זה בזה:
By Ronit Sade July 3, 2026
אינטגרציה של ISO 27001 ו-ISO 42001 — המדריך המעשי לשילוב אבטחת מידע עם ממשל AI בארגון ישראלי. מה ניתן לאחד, מה חייב להישאר נפרד, וכיצד לחסוך 30% ממשאבי ההטמעה. רונית שדה יועצים בע"מ מסבירה.
Professional minimalist illustration for a blog post about the EUDAMED European medical device datab
By Ronit Sade June 25, 2026
מ-28 במאי 2026 EUDAMED הוא חובה ליצרני מכשור רפואי בשוק האירופי. צ'קליסט רישום מלא, הדדליין הקריטי הבא ב-28 בנובמבר, ומה קורה אם איחרתם.
Professional minimalist illustration for a blog post about ISO 42001 AI governance certification as
By Ronit Sade June 23, 2026
הסמכת ISO 42001 כבר מופיעה בדרישות RFP של 40% מהמכרזים לספקי AI באירופה. כך הופכים את תקן ממשל ה-AI מהוצאה רגולטורית למנוף מכירות שמנצח עסקאות.
גז רפואי תחת רגולציה GMP ו-GDP — מדריך ליצרנים, ממלאים ומפיצים
By Ronit Sade June 11, 2026
גז רפואי הוא תרופה לכל דבר. מה דורשים GMP ו-GDP מיצרנים, ממלאים ומפיצים בישראל — ואיך נערכים למבדק בלי הפתעות.
כמה עולה הסמכת ISO 13485 — מדריך עלויות ליצרני מכשור רפואי
By Ronit Sade June 6, 2026
כמה עולה הסמכת ISO 13485 בישראל? מה משפיע על העלות, איך לחסוך, ומתי שווה להביא יועץ. מדריך מעשי ליצרני מכשור רפואי.
רקע קרם בהיר בצבע המותג, במרכז סביבת עבודה רפואית-דיגיטלית עם מכשור רפואי מודרני ומסך בקרה. מעליהם ש
By Ronit Sade April 30, 2026
QMSR כבר בתוקף, ה-FDA עדכן את הנחיות הסייבר, וה-AI Act מתקרב. מה זה אומר ליצרנים, ליבואנים ולחברות דיגיטל הלת' שכבר עכשיו רוצות להיות מוכנות?
Professional minimalist illustration for a blog post about FDA QMSR inspections 2026.
Color palette:
By Ronit Sade April 23, 2026
ביום העצמאות 2026 שואלים: האם חברות מדטק ישראליות עצמאיות רגולטורית? QMSR שינה את הכללים — תעודת ISO 13485 כבר לא מספיקה. מדריך מעשי.
Professional minimalist illustration for a blog post about digital independence and information secu
By Ronit Sade April 18, 2026
תיקון 13 לחוק הגנת הפרטיות, תפוגת ISO 27001:2013, ואיומי סייבר מוגברים — 3 שינויים שמחייבים פעולה מיידית. מדריך מעשי מרונית שדה יועצים בע"מ.
ISO 13485 מול QMSR: טבלת השוואת הפערים המלאה לשנת 2026
By Ronit Sade April 9, 2026
: ISO 13485 מול QMSR — מדריך השוואה מקצועי לכל הפערים בין התקן הבינלאומי לרגולציית ה-FDA החדשה שנכנסה לתוקף בפברואר 2026. עם דוגמאות ופתרונות יישום. תשובה קצרה: QMSR של ה-FDA, שנכנס לתוקף ב-2 בפברואר 2026, מאמץ את ISO 13485:2016 בהפניה (by reference) אך מוסיף מעליו דרישות אמריקאיות ייחודיות. לכן תאימות מלאה ל-ISO 1348
clean geometric shapes, with a subtle abstract seder plate silhouette integrated as a circular frame
By Ronit Sade April 3, 2026
ניהול איכות תעשייתי מחייב עצירה לחשיבה אחת בשנה. ארבע שאלות מעשיות שמנהל איכות חייב לשאול את עצמו לפני חזרה לעבודה — ולמה פסח הוא הזמן הנכון לעשות זאת.