מילון מונחי סייבר
אבטחת מידע ופרטיות

GDPR Adequacy Decision

הכרה של האיחוד האירופי שמדינה מחוץ ל-EU מספקת רמת הגנה מספקת. ישראל קיבלה Adequacy Decision ב-2011 | יתרון מסחרי לחברות ישראליות.

AI Management System

מסגרת לניהול AI בצורה אחראית לפי ISO 42001. כולל AI Risk Assessment, מדיניות שימוש ב-AI, שקיפות, אחריות ועמידה ב-EU AI Act.

Business Continuity Plan

תוכנית שמבטיחה שהארגון יכול להמשיך לפעול במהלך ואחרי אירוע משבר | תקיפת סייבר, אסון טבע, השבתת ספק.

Big Data

מאגרי מידע בנפח, מהירות ומגוון שחורגים מיכולות עיבוד מסורתיות. מאופיין ב-5Vs: Volume, Velocity, Variety, Veracity, Value. מעלה אתגרי פרטיות ייחודיים.

California Consumer Privacy Act

חוק פרטיות צרכנים של קליפורניה. חל על חברות שמעבדות מידע של תושבי קליפורניה מעל סף מסוים. חשוב לחברות ישראליות עם לקוחות בארה"ב.

Certified Data Privacy Solutions Engineer

הסמכה בינלאומית של ISACA לאנשי מקצוע בתחום הפרטיות. מאשרת יכולת לבנות, ליישם ולנהל פתרונות פרטיות נתונים. ה-DPO של SYBER מחזיק הסמכה זו.

Chief Information Security Officer

התפקיד הניהולי הבכיר האחראי על אסטרטגיית אבטחת המידע של ארגון. CISO חיצוני מספק שירות זה ללא העסקה כעובד.

Cloud Committee / ועדת ענן

מנגנון פיקוח ארגוני על שימוש בשירותי ענן. נדרש ע"י לקוחות גדולים ורגולטורים פיננסיים. SYBER מכינה ומייצגת ארגונים בועדות ענן.

Control Objectives for Information Technologies

מסגרת ממשל וניהול IT שפותחה ע"י ISACA. מסייעת לדירקטוריון לממש אחריות על סיכוני IT ולניהול GRC ברמה ארגונית.

Data Breach

חשיפה, גניבה או מחיקה בלתי מורשית של מידע אישי. מחייב דיווח תוך 72 שעות לפי GDPR ולפי תיקון 13.

Data Subject

אדם טבעי שניתן לזהות אותו, במישרין או בעקיפין, באמצעות מידע אישי. לפי GDPR, יש לו זכויות: גישה, תיקון, מחיקה, ניידות, התנגדות לעיבוד.

Digital Operational Resilience Act

רגולציה אירופית לגופים פיננסיים | בנקים, ביטוח, השקעות | על ניהול סיכוני ICT וחוסן דיגיטלי.

Data Processing Agreement

חוזה חובה בין Data Controller ל-Data Processor לפי GDPR. מגדיר את תנאי עיבוד הנתונים, אמצעי האבטחה, ותנאי המחיקה.

Data Protection Impact Assessment

תהליך המחויב ב-GDPR Article 35 לפני יישום פרויקטים שעלולים לגרום סיכון גבוה לזכויות נשואי מידע | AI, ניטור עובדים, פרופיילינג.

Data Protection Officer

תפקיד שהוגדר ב-GDPR | אחראי על עמידת הארגון בחוקי הגנת הפרטיות. נגיש לנשואי מידע ולרגולטורים. ב-SYBER, ה-DPO הוא עורך דין מוסמך עם הסמכת CDPSE.

Disaster Recovery Plan

תוכנית טכנית לשחזור מערכות IT לאחר כשל קשה | כולל RTO ו-RPO מוגדרים.

European Union AI Act

תקנה אירופית שנכנסת לתוקף בהדרגה עד 2026. מסווגת מערכות AI לפי סיכון: Unacceptable, High, Limited, Minimal. חלה על ארגונים ישראלים שמשתמשים ב-AI לשירות לקוחות אירופאים.

Fair Information Practice Principles

מסגרת אמריקאית משנות ה-70 שהשפיעה על חקיקת הפרטיות העולמית כולל GDPR. כוללת: הודעה, בחירה, גישה, ביטחון, אכיפה.

General Data Protection Regulation

רגולציית הגנת פרטיות של האיחוד האירופי שנכנסה לתוקף ב-2018. חלה על כל ארגון שמעבד מידע אישי של תושבי EU.

Governance, Risk & Compliance

מסגרת ניהולית שמאחדת ממשל ארגוני, ניהול סיכונים ועמידה ברגולציה. מנוהל לעיתים תוך שימוש במערכות ייעודיות כמו Vanta, Drata, Anecdotes או Scrut.

Health Insurance Portability and Accountability Act

חוק אמריקאי שמגדיר דרישות לאבטחת מידע רפואי (PHI). חל על ארגוני MedTech/HealthTech המשרתים לקוחות אמריקאים.

Infrastructure as a Service

מודל ענן שבו הספק מספק תשתית חישובית וירטואלית | שרתים, אחסון ורשתות. דוגמאות: AWS EC2, Google Compute Engine, Azure VMs.

Israel National Cyber Directorate

הגוף הממשלתי הישראלי האחראי על הגנת סייבר לאומית. מפרסם הנחיות, מסגרות ועדכוני איומים.

Information Security Management System

מסגרת מדיניות ונהלים שמנהלת את אבטחת המידע בארגון. ה-ISMS הוא ליבת תקן ISO 27001.

ISO/IEC 27001

תקן בינלאומי לניהול מערכת אבטחת מידע (ISMS). מספק מסגרת לזיהוי, ניהול והפחתת סיכוני מידע.

ISO/IEC 27017

קווים מנחים לבקרות אבטחת מידע בשירותי ענן. מגדיר Shared Responsibility בין ספק הענן ללקוח. רלוונטי ל-AWS, Azure ו-GCP.

ISO/IEC 27018

הגנה על PII (Personally Identifiable Information) בשירותי ענן ציבוריים. מיושם על ספקי ענן המעבדים מידע אישי כ-Data Processors לפי GDPR.

ISO/IEC 27701 | PIMS

Privacy Information Management System | הרחבה של ISO 27001 לניהול מידע פרטי. מכסה Data Controller ו-Data Processor, מתלכד ישירות עם GDPR ותיקון 13.

ISO/IEC 42001 | AIMS

Artificial Intelligence Management System | תקן בינלאומי לניהול מערכות AI בצורה אחראית. כולל AI Risk Assessment, שקיפות, אחריות, ועמידה ב-EU AI Act.

Information Technology Infrastructure Library

מסגרת ניהול שירותי IT שפותחה ע"י משרד המסחר הבריטי. מספקת שיטות עבודה מומלצות לניהול מחזור חיי שירות IT.

Management Review

תהליך חובה ב-ISO 27001 (Clause 9.3) | בחינת מצב ה-ISMS, ממצאי ביקורות, KPIs, עדכוני סיכונים ותוכנית עבודה. מתקיים לפחות אחת לשנה.

Multi-Factor Authentication

שיטת אימות שמשתמשת ביותר מגורם אחד | משהו שאתה יודע, משהו שיש לך, משהו שאתה. מפחית דרמטית את הסיכון לחדירה.

Master Service Agreement

הסכם מסגרת בין ספק שירות ללקוח. כולל לרוב סעיפי אבטחת מידע, SLA, אחריות, וסודיות. CISO חיצוני מסייע בניסוח ועריכת סעיפי אבטחה.

Network and Information Security Directive 2

רגולציית אבטחת סייבר אירופית שנכנסה לתוקף ב-2024. מחמירה דרישות על ספקי תשתיות ושירותים חיוניים.

NIST Cybersecurity Framework

מסגרת שפיתח המכון הלאומי לתקנים האמריקאי. כולל 5 פונקציות: Identify, Protect, Detect, Respond, Recover. נפוץ בחברות ישראליות עם לקוחות בארה"ב.

Open Web Application Security Project

ארגון שמפרסם רשימת OWASP Top 10 | עשרת הפגיעויות הנפוצות ביותר ביישומי רשת. בסיס לכל הדרכת Secure SDLC.

Platform as a Service

מודל ענן המספק פלטפורמה לפיתוח והפעלת אפליקציות. ספקים: AWS Elastic Beanstalk, Google App Engine, Azure App Service, Heroku.

Payment Card Industry Data Security Standard

תקן שחייבים לעמוד בו כל הגורמים שמאחסנים, מעבדים או מעבירים נתוני כרטיסי אשראי.

Penetration Testing / Pen Test

בדיקת אבטחה שמדמה תקיפה על מנת לאתר פרצות. מסוגים: Black Box (ללא ידע מוקדם), White Box (ידע מלא), Grey Box (ידע חלקי).

Protected Health Information

מידע זיהוי אישי הקשור למצב הבריאותי של אדם, קבלת שירות רפואי או תשלום. מוגן ב-HIPAA ומחייב הגנות ספציפיות.

Phishing

תקיפת הנדסה חברתית שבה תוקף מתחזה לגורם אמין כדי לגנוב אישורים או להתקין נוזקה. הגורם המרכזי לאירועי אבטחה בארגונים.

Privacy by Design

גישה הנדסית המשלבת הגנת פרטיות כבר בשלב תכנון המוצר, לא כתוספת מאוחרת. דרישה מפורשת ב-Article 25 של GDPR.

Ransomware

תוכנה זדונית שמצפינה קבצים בארגון ודורשת כופר לשחרורם. אחד האיומים הנפוצים ביותר על ארגונים בישראל ובעולם.

Request for Proposal / Security Questionnaire

שאלון מפורט שלקוחות אנטרפרייז (בעיקר אמריקאים) שולחים לספקים לבדיקת רמת האבטחה שלהם. כולל שאלוני SIG, CAIQ, VSAQ. CISO חיצוני מלא שאלונים אלה בשם הארגון.

Record of Processing Activities

מסמך חובה לפי GDPR Article 30 המתעד את כל פעולות עיבוד הנתונים האישיים בארגון | מה מעובד, למה, על ידי מי, לכמה זמן, ולמי מועבר.

Recovery Time / Point Objective

RTO | כמה זמן מקסימלי מותר לשיבוש שירות. RPO | כמה מידע מקסימלי מותר לאבד. שניהם מוגדרים ב-BCP/DRP.

Software as a Service

מודל שבו אפליקציות מוגשות דרך האינטרנט כשירות מנוי. דוגמאות: Google Workspace, Microsoft 365, Salesforce, Zoom.

Standard Contractual Clauses

מנגנון חובה להעברת מידע אישי מחוץ ל-EU/EEA לפי GDPR Article 46. גרסה עדכנית משנת 2021. נדרש לחברות ישראליות עם ספקים מחוץ ל-EU.

Security Information and Event Management

מערכת שאוספת, מנתחת ומתאמת אירועי אבטחה ממקורות שונים ברשת לזיהוי איומים.

Security Operations Center

יחידה ארגונית (פנימית או חיצונית) האחראית על ניטור, זיהוי ותגובה לאירועי אבטחה בזמן אמת.

Service Organization Control 2

מסגרת ביקורת שפותחה על ידי AICPA לחברות SaaS וענן. בוחנת 5 Trust Service Criteria: Security, Availability, Processing Integrity, Confidentiality, Privacy.

Third Party Risk Management

תהליך הערכת ספקים מבחינת אבטחת מידע ופרטיות לפני ובמהלך ההתקשרות. כולל שאלוני אבטחה, חתימת DPA, ו-SLA.

Third-Party / Vendor Risk

סיכוני אבטחה הנובעים מספקים ושותפים | גישה למערכות, שיתוף נתונים, תלות בשירות. מנוהל כחלק מ-TPRM (Third Party Risk Management).

Zero Trust Architecture

עיקרון אבטחה שלפיו אין לסמוך אוטומטית על שום גורם | לא בתוך הרשת ולא מחוצה לה. כל גישה דורשת אימות ואישור.