״הלקוח שואל על SOC 2 או ISO״
תקן שצריך להוכיח, ראיות לארגז ולשאלוני ספקים. ISO 27001, ISO 42001, SOC 2, ו-CISO חיצוני כשאין מנהל אבטחה בכיר. מהמיפוי הראשוני ועד הביקורת — בלי מצגות.
לאבטחה ותאימותDeltaIntelligence & Analytics
PlasanDefense
Plasan ReemDefense
PalRamIndustrial
EggedTransportation
LGMIndustrial
SpearITTechnology
BuzzTechTechnology
CyberSchoolEducation
MediaTechMedia
WissotzkyConsumer Goods
HadassahHealthcare
Helen DoronEducation
ElbitDefense
CannabizCannabis
TAG-NAORIndustrial
DNA QBiotechnology
ארבע נקודות כניסה — בחרו לפי הצורך
תקן, תהליך, תפעול או בנייה — מתחילים מהמציאות שלכם, ממשיכים לתוכנית עבודה ולא למצגת חד־פעמית.
תהליכים שגוזלים זמן ו-AI שצריך לרסן
תהליכים ידניים שמבזבזים שעות, או רעיון AI שצריך לרוץ בארגון מבלי לפרוץ. n8n, Flowise, סוכנים, ועוזרי AI שעובדים בשטח — לא רק בהדגמה.
לאוטומציה ו-AIאין מי שמסתכל על התמונה השלמה
דשבורדים, PMO, תהליכי קבלת החלטות וניהול תוכניות שעובדים מתחת ללחץ. תפעול שמדבר עם אבטחה, עם הכספים ועם הלקוח — באותו רגע.
לתפעול וניהולבונים — בארגון או לבד
מלווים בניית מוצר, צוות בנייה פנימי או יוזמת AI אישית. מרעיון על נייר למוצר אמיתי — וגם לאנשים פרטיים שרוצים להעביר vibe code למשהו אמיתי, מאובטח ובר־תחזוקה.
ל-SmartStartלמה איתנו — ומה קורה בפועל
מאותו צד חושבים עסק, רגולציה וביצוע בשטח; לא מתעדים בשביל הנייר.
מה מוביל את העבודה
- מחברים בין אבטחת מידע, GRC והתפעול השוטף — בלי ״מגזר עיוור״ במשרדים שונים
- גישה מעשית — לא תיעוד בשביל התיעוד
- ניסיון בשטח בארגונים מורכבים
- הבנה עסקית ותפעולית לצד עומק טכנולוגי
- מסגרות ניהול שמתאימות לאופן שבו הארגון באמת עובד
- שימוש ב־AI ובאוטומציה רק כשיש כללים, בעלי תפקיד וראיות שמוכנות לביקורת
איך עובדים — מתקן, מתהליך או מבנייה חדשה
- הערכה ומיפוי ראשונימיפוי המצב הקיים: תהליכים, כלים וסיכונים; מה ההנהלה צריכה להוכיח מול לקוחות או מול גורם מבקר.
- ניתוח פעריםזיהוי פערים מול התקן או מול דרישת הלקוח — עם תעדוף ברור: מה חוסם התקדמות עסקית או ביקורת, ומה ניתן לדחות.
- ניהול, בקרות ורגולציהמדיניות, נהלים ובקרות מותאמים לארגון — כולל הגדרת תפקידים, תיעוד ובדיקות שגרתיות לתוקף התהליך.
- ייעול תפעוליחידוד זרימות עבודה, אוטומציה היכן שהדבר משתלם, ודיווחים שמספקים תמונת מצב אמיתית — לא רק טיפול בסימפטומים.
- מוכנות לביקורת ושיפור מתמשךהכנה לביקורת חיצונית או למענה על שאלון ספק, ליווי תיק ראיות ושיפור מתמשך — כי השטח משתנה לאורך זמן.
כלי עבודה · פורטל ה-GRC של אליס
פורטל AI GRC — מיפוי, בקרות ורגולציה בקליק
כלי מקצועי לניהול AI בארגון: מיפוי שימושים, מעקב אחר ISO 42001, רדאר רגולטורי ו-Vendor Risk — הכל בדפדפן, ללא התקנה, בעברית ובאנגלית.
מיפוי AI בארגון
אינבנטורי כלים, ספקים ושימושים — עם תיוג סיכון ומיפוי לרגולציה
ISO/IEC 42001 מעקב
בקרות, ראיות ומצב מוכנות — צפייה חיה בהתקדמות לקראת תקן
רדאר רגולטורי
EU AI Act, NIST AI RMF ועדכוני רגולציה ישראלית — בזמן אמת
ניהול ספקים
שאלוני ספקים, Vendor Risk וסיכוני צד שלישי סביב AI
Alice GRC Portal
aigrc.app · פתוח לארגונים
פותח על ידי Alice Solutions Group — אותה מתודולוגיה שבה אנחנו משתמשים בשטח, עכשיו זמינה לצוותים שרוצים לנהל AI Governance בעצמם.
כניסה לפורטל ← aigrc.appשאלות על הכלי? דברו איתנומאמרים קשורים מהמרכז המקצועי:
שאלות נפוצות
קצר ומקצועי — לפני החלטה או פרויקט.
מהו תקן ISO 42001?
תקן בינלאומי למערכת ניהול ייעודית סביב שימוש במערכות בינה מלאכותית בארגון: מדיניות, ניהול סיכונים, נתונים, השגחה ושיפור מתמשך. הוא אינו מחליף את ISO 27001 אלא משלים כאשר יש נפח משמעותי של AI בתפעול.
כמה זמן נמשך בדרך כלל תהליך הכנה ל־ISO 27001?
תלוי במורכבות הארגון, במה שכבר קיים ובמה שנדרש מול לקוחות. בשטח רואים לרוב חודשים של בניית מערכת ניהול, יישום בקרות ואיסוף ראיות לפני ביקורת ראשונה — לא «פרויקט טפסים» של שבועיים.
מה ההבדל בין SOC 2 לבין ISO 27001?
ISO 27001 מגדיר מערכת ניהול אבטחת מידע רחבה בארגון. SOC 2 הוא דוח אמון על בקרות סביב השירות שאתם מספקים ללקוחות — נפוץ מאוד מול לקוחות בארצות הברית. לא מעט ארגונים זקוקים לשניהם, או לפחות למה שהשוק שלהם דורש.
למה צריך מסגרת ניהול סביב שימוש ב־AI?
כי כלי AI כבר בשימוש יומיומי — גם כשאין החלטה פורמלית על כך. בלי מסגרת נשארים עם סיכון משפטי ותפעולי, ובלי תיעוד קשה להסביר ללקוח או למבקר מה קורה עם הנתונים וההחלטות.
איך מתבצע סקר סיכונים?
מתחילים מהשאלה מה קריטי לעסק ואיפה המידע והשירות חשופים. אחר כך ממפים איומים והשפעה ריאלית — לא רשימה גנרית מתוך מצגת — ומתרגמים לבקרות ולסדר עדיפויות בעבודה.
אפשר לשלב אוטומציה בתהליכי ניהול ובקרה?
כן, ובפועל זה חלק מהפתרון היכן שיש חזרתיות, אישורים ודיווח. אוטומציה טובה מפחיתה טעויות ומשאירה עקב אחרי החלטות. חשוב שלא תיווצר «קופסה שאף תפקיד לא מחזיק בה» מבחינת אחריות.
מה כולל שירות CISO חיצוני?
בהתאם להיקף: גיבוש תוכנית עבודה, השתתפות בפורומים רלוונטיים, ייצוג מול לקוחות ומבקרים כשצריך, וגישור בין IT לעסק. ההיקף נקבע מראש — ימים בחודש או שלב פרויקטלית — ולא בהכרח כריטיינר אחיד לכולם.
איך מתכוננים לביקורת אבטחת מידע?
מיישרים קו בין מה שכתוב במדיניות לבין מה שקורה בשטח, סוגרים פערים לפני בניית תיק הראיות, ומוודאים שכל בעל תפקיד יודע להסביר באופן עקבי — לא רק מהנדס אחד מול המבקר.
מפגש היכרות קצר — בלי התחייבות
נעשה סדר ראשוני במצב ניהול הסיכונים, האבטחה וה־AI אצלכם, ונחזיר תמונת מצב ברורה לפני כל המשך.
בטופס אפשר לציין תחום וגודל ארגון — כדי שנגיע מוכנים לשיחה.