Hvad er tjeklisten for cyberessentielle ting?
Cyber Essentials-tjeklisten er en praktisk liste over de konfigurationer, beviser og beslutninger, som en britisk organisation skal have på plads før udfyldelse af selvevalueringsskemaet (SAQ). Den dækker omfanget, de fem kontrolområder, cloudtjenester, multifaktorgodkendelse, patching og de yderligere kontroller, der gælder for Cyber Essentials Plus.
Cyber Essentials er en britisk regeringsstøttet certificeringsordning, der administreres af IASME på vegne af National Cyber Security Centre. Ordningen tester, om dine firewalls, enheder, konti, malware-forsvar og softwareopdateringer er konfigureret til en forsvarlig basislinje. Tjeklisten nedenfor gennemgår alle de kontroller, som de fleste ansøgere står over for, så du kan udbedre huller, før du indsender, i stedet for efter en mislykket vurdering. For at få den fulde baggrund for ordningen, se vores Cyber Essentials-hub; for kontroldetaljerne bag hver linjepost, se Krav til Cyber Essentials.
Arbejd dig igennem hvert afsnit i rækkefølge. Sæt kryds ved de punkter, du allerede opfylder, angiv manglerne som handlinger med en ejer og en forfaldsdato, og book kun din vurdering, når hver linje enten er komplet eller har en dokumenteret undtagelse. Kunder, der bruger ISMS.online indfang hvert element nedenfor som en sporet kontrol med sammenkædet bevismateriale, så den samme tjekliste driver årlig fornyelsescyklus samt den første certificering.
Hvordan definerer man omfanget af et Cyber Essentials-projekt?
Før du rører ved nogen teknisk kontrol, skal du vide, hvad der er i omfanget. Omfanget er den vigtigste beslutning i et Cyber Essentials-projekt, og det koster tid og penge at ændre det senere.
- Beslut dig for at omfatte hele organisationen eller et klart defineret undersæt (navngiven afdeling, forretningsenhed eller miljø).
- Angiv alle steder og steder, hvor hjemmearbejde finder sted.
- Dokumentér de netværk, der forbinder enheder inden for området: virksomhedens LAN-netværk, Wi-Fi, VPN'er og eventuel brug af mobildata.
- Lav en inventar af alle brugerkonti inden for området (medarbejdere, leverandører, tredjeparter med adgang).
- Lav en inventar af alle enheder inden for området: bærbare computere, stationære computere, servere, mobiltelefoner, tablets og netværksenheder.
- Angiv alle cloudtjenester, der bruges til at behandle eller lagre organisationsdata (SaaS, PaaS, IaaS).
- Identificér eventuelle BYOD-ordninger (medbring din egen enhed), og bekræft, om disse enheder er omfattet.
- Bekræft en klar teknisk grænse mellem miljøer inden for og uden for omfanget (separat netværk, mappe eller lejer), hvis du bruger et undersæt til omfanget.
- Registrer din beskrivelse af omfanget skriftligt, og få den godkendt af en ejer med myndighed over den pågældende ejendom.
Hvis omfanget fortsætter med at vokse, efterhånden som du opdager flere enheder, flere cloud-apps eller mere skygge-IT, er det den opdagelse, som ordningen er designet til at afdække. Det er bedre at finde den nu end under vurderingen.
Hvordan konfigurerer du firewalls og routere?
Enhver enhed, der opretter forbindelse til internettet, plus selve netværksgrænsen, skal sidde bag en korrekt konfigureret firewall (eller tilsvarende netværksenhed).
- Alle firewalls og routere med internetforbindelse får deres standardadministratoradgangskode ændret til et stærkt og unikt alternativ.
- Uautoriserede indgående forbindelser blokeres som standard.
- Enhver indgående firewallregel, der tillader en tjeneste, har en dokumenteret forretningsplan og en ejer.
- Indgående regler, der ikke længere er nødvendige, er blevet fjernet.
- Hostbaserede (software) firewalls er aktiveret på bærbare computere og andre enheder, der bruges uden for virksomhedens netværk.
- Fjernadgang for administrative enheder til firewalls fra internettet er enten deaktiveret eller beskyttet af multifaktorgodkendelse eller en IP-tilladelsesliste med et dokumenteret forretningsbehov.
- Hjemmearbejdere bruger enten internetudbyderens routere, hvis standardadministratoradgangskode er blevet ændret, eller de er afhængige af virksomhedens bærbare computers egen værtsbaserede firewall.
Dokumentation, der skal indsamles: firewallleverandør og -version, skærmbilleder eller attester, der bekræfter ændringen af administratoradgangskoden, en liste over indgående regler med deres begrundelse og bekræftelse af, at værtsfirewalls er aktiveret på tværs af enhedsområdet.
Hvad kræver sikker konfiguration?
Sikker konfiguration fjerner de svagheder, som enheder og software leveres med som standard: ubrugte konti, eksempeladgangskoder, demoindhold og overdreven permissiv deling.
- Brugerkonti og software, du ikke har brug for, er blevet fjernet eller deaktiveret (bloatware, standardadministratorkonti, inaktive brugerkonti).
- Standard- eller gættelige adgangskoder på enheder, konti og tjenester er blevet ændret.
- Automatisk kørsel af funktioner, der udfører kode fra flytbare medier, er deaktiveret.
- Brugere skal godkende sig, før de får adgang til organisationsdata eller -tjenester.
- Multifaktor-godkendelse (MFA) håndhæves på alle administratorkonti for alle cloudtjenester.
- MFA er aktiveret for standard cloud-brugere, hvor platformen understøtter det.
- Adgangskoden er mindst 12 tegn lang, hvor MFA ikke er på plads, eller 8 tegn med MFA, eller 8 med begrænsning eller spærring.
- SMS-kun MFA er blevet erstattet (eller suppleret) med autentificeringsapps eller hardwaretokens, hvor det er muligt.
- Wi-Fi-gæstenetværk er isoleret fra virksomhedens LAN.
Dette er kontrolområdet, hvor de fleste organisationer finder den største mængde uventet arbejde, så start det tidligt i dit projekt. Match kontrollerne her med dine Selvevaluering af Cyber Essentials svar før afsendelse.
Hvordan fungerer brugeradgangskontrol i praksis?
Brugeradgangskontrol begrænser, hvem der kan gøre hvad på dine systemer, og sørger for, at konti fjernes, når folk forlader dine systemer.
- Der findes en dokumenteret proces til oprettelse og godkendelse af brugerkonti, og denne proces følges.
- Brugere autentificerer sig med stærke, unikke legitimationsoplysninger, før de får adgang til systemer inden for området.
- En procedure for tiltrædelse/flytning/afgang fjerner eller deaktiverer konti omgående, når folk skifter rolle eller forlader en medarbejder.
- Multifaktor-godkendelse håndhæves på cloud-tjenester for alle brugere, hvor platformen understøtter det, og ubetinget for alle administratorkonti.
- Administratorkonti er adskilt fra almindelige brugerkonti; administratorer kan ikke surfe på nettet eller læse e-mails ved hjælp af deres privilegerede konto.
- Listen over brugere med administratorrettigheder er blevet gennemgået i de sidste 12 måneder, og eventuelle uberettigede rettigheder er blevet fjernet.
- Delte konti (hvor de findes) er dokumenterede, berettigede, MFA-beskyttede og har en ejer.
Dokumentation, der skal indsamles: proceduren for tiltrædelse/flytning/afgang, en liste over administrative brugere med business case for hver, skærmbilleder af MFA-konfigurationen fra dine primære cloudplatforme og en prøve på for nylig deaktiverede afgangskonti.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvordan skal malwarebeskyttelse konfigureres?
Alle enheder inden for området skal beskyttes mod ondsindet kode ved hjælp af anti-malware-software, liste over applikationstilladelser eller sandboxing.
- En af de tre godkendte mekanismer (anti-malware, liste over tilladelser til applikationer eller sandboxing) er installeret på alle enheder inden for området.
- Anti-malware-definitioner og -motorer opdateres automatisk.
- Anti-malware er konfigureret til at scanne filer ved adgang og til at scanne websider.
- Forbindelser til kendte ondsindede websteder blokeres, hvor anti-malware-produktet tilbyder den pågældende funktion.
- Hvis der bruges en liste over godkendte programmer, findes der en liste over godkendte programmer, som forhindrer andre programmer i at køre.
- Hvis der anvendes sandboxing (iOS, Android, visse administrerede Windows-builds), kører hver applikation i sin egen sandbox.
- Mobilenheder installerer kun apps fra de officielle butikker (Apple App Store, Google Play) eller en administreret virksomhedsbutik.
- Alle ikke-administrerede BYOD-enheder er enten blevet bragt ind under MDM eller fjernet fra anvendelsesområdet.
Det mest almindelige hul her er en medarbejders personlige Mac, der bruges til arbejdsmail, uden tilmelding og uden synlighed for IT. Enten skal du tilmelde enheden i administrationen, eller stoppe med at bruge den til arbejde.
Hvordan fungerer administration af sikkerhedsopdateringer?
Al software inden for rammerne skal understøttes, licenseres og opdateres. Operativsystemer, browsere, plugins, firmware og applikationer, der ikke længere er tilgængelige, vil ikke bestå vurderingen.
- Alle operativsystemer på enheder i serien er licenseret og modtager stadig sikkerhedsopdateringer fra leverandøren.
- Alle applikationer på enheder i dette område er licenseret og modtager stadig sikkerhedsopdateringer fra leverandøren.
- Firmware på routere, firewalls, switche og access points modtager stadig leverandøropdateringer.
- Browser-plugins og -udvidelser er licenserede og opdaterede.
- Automatiske opdateringer er aktiveret, hvor leverandøren tilbyder dem.
- Sikkerhedsopdateringer med høj og kritisk alvorlighedsgrad installeres inden for 14 dage efter udgivelsen (14-dages-reglen).
- Månedlige servervedligeholdelsesvinduer er blevet gennemgået for at sikre, at de ikke overskrider det 14-dages programopdateringsvindue.
- Der findes en oversigt over software- og firmwareversioner, så du med et hurtigt overblik kan se, hvad der er omfattet, og hvilken tilstand det er i.
At organisationer ikke overholder 14-dages patch-vinduet er den mest almindelige årsag til, at de ikke lever op til Cyber Essentials Plus. Integrer patch-sporing i din månedlige compliance-cyklus.
Hvordan passer cloud-tjenester ind på tjeklisten?
Cloudtjenester, der behandler eller lagrer organisationsdata, er omfattet. Det delte ansvar for hver kontrol afhænger af servicemodellen.
- Alle SaaS-applikationer (Microsoft 365, Google Workspace, Salesforce, Xero osv.), der bruges af organisationen, er angivet i din aktivbeholdning.
- Alle PaaS-miljøer (App Service, App Runner, Heroku osv.) er angivet, og applikationslaget er opdateret.
- Hver IaaS-vært (EC2, Azure VM, Compute Engine) behandles, som om den var en lokal server, med patching, malware og værtsfirewalls i din kontrol.
- MFA håndhæves på alle cloud-administratorkonti, uden undtagelse.
- MFA er aktiveret for standardbrugere på cloudtjenester, hvor platformen understøtter det.
- Standardindstillinger for lejersikkerhed (Microsoft 365-sikkerhedsstandarder, Google Workspace-sikkerhedsindstillinger, AWS-beskyttelse) er blevet gennemgået og strammet, hvor det er relevant.
- Cloud-administratorkonti er adskilte fra daglige brugerkonti.
- Shadow IT (SaaS-apps tilmeldt af enkeltpersoner på et virksomhedskort eller domæne) er blevet gennemgået og enten inkluderet i ordningen eller taget ud af drift.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvordan forbereder du dig til Cyber Essentials Plus?
Cyber Essentials Plus tilføjer en uafhængig teknisk revision oven i selvevalueringen. Assessoren vil stikprøvevis udføre dine enheder, køre sårbarhedsscanninger og teste, om de kontroller, du har bekræftet, rent faktisk fungerer. De fleste fejl hos Plus er forudsigelige; brug denne tjekliste til at undgå dem.
- Dine selvevalueringssvar afspejler miljøets aktuelle tilstand, ikke en ambitiøs fremtidig tilstand.
- En repræsentativ stikprøve af enheder opdateres inden for 14-dages vinduet i dag, ikke for tre måneder siden.
- Anti-malware er aktiv og rapporterer på alle samplede enheder.
- MFA på cloud-konti er blevet verificeret ved at logge ind fra en ny browsersession, ikke ved at tjekke en politikside.
- E-mail- og webfiltrering er konfigureret til at blokere kendte ondsindede links og vedhæftede filer.
- Håndtering af USB- og flytbare medier stemmer overens med jeres dokumenterede politik på eksempelenhederne.
- Datoerne for revisionsvinduet er booket så langt ude, at du kan handle på enhver gap-analyse før revisionen.
- Du har udpeget en person til at være teknisk kontaktperson under revisionen, med administratoradgang klar.
- Du har sikkerhedskopieret alle prøveenheder, før de testes, i tilfælde af at noget ændres under revisionen.
Se det tekniske omfang i Krav til Cyber Essentials Plus for de præcise tests, som assessorerne udfører, og vores Pris på Cyber Essentials side for det typiske Plus-prisinterval.
Hvad er de mest almindelige mangler før indsendelse?
Selv ansøgere med veludviklede sikkerhedsfunktioner bliver fanget i de samme huller. Kør denne korte undersøgelse forud for indsendelse:
- En internetudbyderleveret router i en hjemmearbejders hjem har stadig sin standardadministratoradgangskode.
- En medarbejder med lang anciennitet har optjent administrative rettigheder fra tidligere roller.
- En delt finanspostkasse eller et login til sociale medier har ingen MFA og ingen dokumenteret ejer.
- En ikke-understøttet version af Windows eller en ældre browser er stadig på mindst én enhed i området.
- En månedlig servervedligeholdelsesplan har skubbet en kritisk programrettelse ud over 14-dagesvinduet.
- En BYOD-personlig telefon læser virksomhedens e-mails uden for enhver MDM.
- En SaaS-applikation, der indeholder kundedata, blev tilmeldt på et personligt kort og aldrig registreret.
- Et gæste-Wi-Fi-netværk deler det samme broadcast-domæne som virksomhedens LAN.
Spor hvert fund som en handling med en ejer og en deadline. Når listen er klar, er du klar til at indsende. Hvis du vurderer størrelsen på arbejdet for første gang, er vores guide til hvor lang tid tager Cyber Essentials sætter realistiske forventninger.
Oversigtstabel for tjekliste over cyberessentielle ting
| Sektion | Fokus | Typisk bevismateriale |
|---|---|---|
| Anvendelsesområde | Vælg mellem helhedsorganisation og delmængde; lagerfør websteder, brugere, enheder, netværk, cloudtjenester og BYOD. | Skriftlig omfangserklæring, aktivopgørelse, beskrivelse af delmængdes afgrænsninger. |
| Firewalls og routere | Standardadgangskoder ændret; indgående regler dokumenteret; værtsfirewalls aktiveret; fjernadministrator beskyttet. | Firewallversion, attestering af adgangskodeændring, regelliste, dækning af værtsfirewall. |
| Sikker konfiguration | Bloatware fjernet; standardadgangskoder ændret; MFA på cloud-administrator; adgangskodelængde 12 eller 8+MFA. | Byggestandard, MFA-håndhævelsespolitik, adgangskodepolitik, skærmbilleder af eksempler på enheder. |
| Brugeradgangskontrol | Tiltrædelses-/afgangsproces; administrativ adskillelse; årlig administrativ gennemgang; MFA for alle cloud-brugere. | JML-procedure, administratorbrugerliste, MFA-konfigurationsbevis, eksempel på deaktivering af afgående brugere. |
| Beskyttelse af malware | Anti-malware, tillad listing eller sandboxing på alle enheder; mobilapps fra officielle butikker. | Rapport om slutpunktsdækning, politik for mobilappkilde, MDM-tilmeldingspost. |
| Styring af sikkerhedsopdateringer | Al software understøttes og licenseres; vigtige/kritiske patches inden for 14 dage; firmware dækket. | Softwarelager med status for leverandørsupport, rapport om implementering af patches og plan for udskiftning efter udløbsdatoen. |
| Cloud-tjenester | SaaS-, PaaS- og IaaS-opgørelse gjort; MFA på administration; lejerstandarder gennemgået; skygge-IT fjernet. | Register over cloud-aktiver, MFA-bevis, attestering af sikkerhedsstandarder, gennemgang af skygge-IT. |
| Plus-beredskab | Verifikation af livetilstand; patch-tilstand for prøveenhed; MFA verificeret via login; booket revisionslogistik. | Analyse af gap før revision, stikprøverapport om patches, MFA-verifikationslog, bekræftelse af revisionsbooking. |
Hvis du vejer Cyber Essentials op mod bredere rammerVores Cyber Essentials vs. ISO 27001 Guiden forklarer, hvor hver enkelt passer ind, og mange britiske organisationer, der certificerer til Cyber Essentials, går derefter videre til ISO 27001 or SOC2 efterhånden som kundernes efterspørgsel vokser.
Hvorfor vælge ISMS.online til cybernødvendigheder?
- Forudbestemt tjekliste — Hver linje i denne tjekliste findes allerede som en sporet kontrol i ISMS.online, så du vurderer i forhold til den fulde ordning uden at genopbygge den fra bunden.
- Beviser samlet ét sted — Vedhæft skærmbilleder, konfigurationseksporter og tiltrædelses-/afgangsposter til hver kontrol én gang, og genbrug dem derefter til fornyelser, Plus-revisioner og andre frameworks.
- Omfang og aktivregister — Registrer brugere, enheder, netværk og cloudtjenester inden for området i et struktureret register, så områdets grænser er dokumenterede og kan revideres.
- Sporing af gap-to-action — Hvert hul på tjeklisten bliver en tildelt handling med en ejer og en forfaldsdato, så intet glider mellem at identificere det og rette det.
- Klar til fornyelse — Platformen holder din dokumentation opdateret mellem årlige cyklusser, så det næste certifikat er en opdatering, ikke en genstart.
- Multi-framework gearing — Beviser for cyberessentielle elementer i ISMS.online fodrer også ISO 27001, SOC2 og NIS 2 arbejde, hvilket er grunden til, at kunder, der går videre fra Cyber Essentials, forbliver på platformen.
- Tillid fra tusindvis af organisationer — ISMS.online støtter virksomheder af alle størrelser på deres compliance-rejse, fra førstegangsansøgere til Cyber Essentials til globale multicertificeringsgrupper.
Ofte Stillede Spørgsmål
Findes der en officiel tjekliste til cyberessentielle ting?
IASME udgiver det officielle selvevalueringsspørgeskema (SAQ), som i praksis er assessorens tjekliste. Parathedstjeklisten på denne side afspejler de samme fem kontrolområder og tilføjer de scope-, cloud- og Plus-kontroller, som de fleste ansøgere har brug for, før de når SAQ'en. Ved at arbejde sig igennem den først bliver SAQ'en til en bekræftelsesøvelse snarere end en opdagelsesøvelse.
Hvor lang tid tager det at arbejde sig igennem tjeklisten for cyberessentielle ting?
For en lille organisation med moden IT tager det et par dage at gennemgå selve tjeklisten og færdiggøre indsamlingen af evidens. De huller, den afslører, er det, der tager tid: udrulning af MFA, indhentning af patches og beslutninger om at bruge din egen virksomhed (BYOD) kan hver især tage flere uger. De fleste ansøgere budgetterer fire til tolv uger fra start af tjeklisten til indsendelse af SAQ'en.
Har jeg brug for en anden tjekliste til Cyber Essentials Plus?
De fem kontrolområder er identiske, men Plus tilføjer tekniske revisionstjek: sårbarhedsscanninger, test af eksempler på enheder, MFA-verifikation via live login og e-mail/webfiltreringstest. Plus-parathedsafsnittet i denne tjekliste dækker de yderligere tjek. Den hurtigste vej til Plus er først at certificere til Cyber Essentials, reparere alt, der er dukket op, og derefter booke Plus inden for 3-månedersvinduet derefter.
Hvad er den mest almindelige årsag til, at organisationer ikke gennemfører tjeklisten?
To dominerende problemer: software, der er udtjent, og som stadig er i brug på mindst én enhed inden for rammerne af projektet, og manglende programrettelser uden for 14-dages vinduet. Begge er nemme at rette, når de først er dukket op, men begge kan også stoppe en vurdering, hvis de opdages under revisionen i stedet for under parathedstjeklisten.
Gælder tjeklisten for hjemmearbejdere og BYOD?
Ja. Enhver enhed, der bruges til at få adgang til organisationsdata eller -tjenester, er omfattet, herunder bærbare computere til hjemmebrug og personlige telefoner, der bruges til arbejds-e-mail. Enheder, der udelukkende bruges til taleopkald, sms'er eller tofaktorgodkendelse, er ikke omfattet. Virksomhedsbærbare computere, der bruges derhjemme, skal have deres egen værtsbaserede firewall aktiveret og behandle hjemmenetværket som fjendtligt.
Hvordan udvikler tjeklisten sig fra år til år?
IASME opdaterer spørgsmålssættet omtrent årligt. Nylige opdateringer har strammet forventningerne til multifaktorgodkendelse for cloudtjenester, præciseret SaaS-, PaaS- og IaaS-ansvar, anerkendt adgangskodefri og biometrisk godkendelse og eksplicit udvidet 14-dages patchvinduet til firmware. Strukturen i de fem kontrolområder forbliver stabil; detaljerne strammes ind med hver opdatering.
