Hvad er selvevalueringen af Cyber Essentials?
Selvevalueringen af Cyber Essentials er det spørgeskema, der er kernen i den britiske regerings Cyber Essentials-ordning. Den administreres på vegne af National Cyber Security Centre (NCSC) af IASME og beder din organisation om skriftligt at erklære, at du har implementeret fem sæt tekniske kontroller på et niveau, der beskytter mod de mest almindelige internetbaserede angreb. En ledende person på bestyrelsesniveau underskriver dine svar, du indsender spørgeskemaet via IASME-portalen, og en assessor gennemgår dine svar og tildeler (eller tilbageholder) certificering.
Selvom det kaldes en "selvevaluering", er processen ikke uformel. Din erklæring er en kontraktlig erklæring til et certificeringsorgan, og assessoren vil afvise svar, der mangler de rigtige detaljer eller modsiger dit angivne omfang. De fleste mislykkede første forsøg kommer fra forhastede, uprøvede svar snarere end manglende kontroller, så målet med denne vejledning er at hjælpe dig med at forberede beviser, afgrænse dit miljø korrekt og svare med den præcision, som IASME-assessoren leder efter. For den underliggende tekniske baseline, du erklærer i forhold til, se vores forklaring af Krav til Cyber EssentialsFør du åbner selve SAQ'en, skal du gennemgå vores Tjekliste til cybernødvendigheder for at bekræfte, at omfang, beviser og kontroller er klar – den er designet til at fange de samme huller, som en assessor vil markere.
Spørgeskemaet indeholder omkring 80 spørgsmål på tværs af de fem kontrolområder. Hvert spørgsmål er binært – enten opfylder du kontrolområdet, eller også gør du ikke – men de fleste spørgsmål kræver også en kort skriftlig forklaring, der beskriver, hvordan du opfylder det. ISMS.online gemmer dine svar, beviser og begrundelser ét sted, så du kan genbruge dem ved fornyelse og under en Cyber Essentials Plus-revision.
Hvordan er selvevalueringen struktureret?
Spørgeskemaet er opdelt i tre logiske dele. At have strukturen i tankerne, inden du starter, gør besvarelsesprocessen langt hurtigere.
- Virksomhedsoplysninger og omfang — Juridisk enhed, sektor, størrelse, placering og en skriftlig beskrivelse af, hvad der er inden for og uden for rammerne. Dette er grundlaget for alle efterfølgende svar.
- Forsikringserklæring — Et par spørgsmål vedrørende den inkluderede cyberforsikring for organisationer med hjemsted i Storbritannien med en omsætning på under £20 millioner.
- Tekniske kontroller — Størstedelen af spørgeskemaet. Omkring 80 spørgsmål grupperet under de fem kontroltemaer. Hvert tema tester et forskelligt lag af dit miljø.
Det er afgørende, at dine svar i afsnittet om tekniske kontroller skal gælde for at alt inden for dit angivne omfang. Hvis du udelukker en del af virksomheden, skal du tydeligt angive det og afgrænse den. Delvise svar er den største enkeltårsag til genindsendelse, sammen med ikke-understøttet software inden for omfanget.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvad er de fem kontrolområder, og hvad spørger hvert område om?
De fem tekniske kontroltemaer er de samme, uanset om du vælger Cyber Essentials eller Cyber Essentials PlusForskellen er, at Plus tilføjer en uafhængig teknisk revision på stedet eller eksternt; selvevalueringen er fundamentet for den. Tabellen nedenfor opsummerer, hvad hvert kontrolområde dækker, og hvilken type spørgsmål du kan forvente.
| Kontrolområde | Hvad det dækker | Eksempel spørgsmål |
|---|---|---|
| 1. Firewalls og internetgateways | Grænsefirewalls, der beskytter dit kontornetværk, plus værtsbaserede firewalls på enheder, der bruges uden for kontoret (f.eks. hjemmearbejde eller hot-desks). | Ændrer I standard firewall-adgangskoder? Er indgående regler dokumenteret, godkendt og gennemgået? Er administrative grænseflader blokeret fra internettet eller beskyttet af multifaktor-godkendelse? |
| 2. Sikker konfiguration | Fjernelse af standardkonti, ubrugt software og unødvendige tjenester fra servere, slutbrugerenheder, mobile enheder og cloudtjenester. | Har du fjernet eller deaktiveret ubrugte brugerkonti? Er standardadgangskoder på alle enheder i området blevet ændret? Er automatisk kørsel deaktiveret? Er enhedens oplåsningsoplysninger på mindst 6 tegn med brute-force-beskyttelse? |
| 3. Brugeradgangskontrol | Kontooprettelse, privilegieadministration, adskillelse af administrator- og standardkonti og multifaktorgodkendelse på cloudtjenester. | Er der en dokumenteret proces til godkendelse af brugerkonti? Bruges administratorkonti kun til administratoropgaver? Er MFA aktiveret på alle cloudtjenester for brugere og administratorer? Fjernes konti fra personer, der forlader virksomheden, omgående? |
| 4. Malwarebeskyttelse | Anti-malware, tilladelsesliste over applikationer eller sandboxing på tværs af alle enheder inden for området, herunder BYOD og mobil. | Hvilken malware-beskyttelsesmekanisme bruges på hver enhedstype? Opdateres signaturer dagligt? Er brugerne forhindret i at køre software fra upålidelige kilder? |
| 5. Administration af sikkerhedsopdateringer | Programrettelser til operativsystemer, applikationer og firmware inden for definerede tidsrammer; fjernelse af ikke-understøttet software. | Er automatiske opdateringer aktiveret, hvor det er muligt? Er der installeret højrisiko- og kritiske opdateringer inden for 14 dage efter udgivelsen? Er der software i brug, som ikke længere understøttes af leverandøren? |
Hvordan definerer du dit omfang korrekt?
Omfang er den mest almindelige årsag til, at organisationer fejler eller er nødt til at gentage spørgsmål, så det betaler sig at være bevidst. Dit omfang skal dække de dele af din organisation, hvorigennem en angriber realistisk set kan nå dine følsomme data. Standardindstillingen og den stærkt foretrukne mulighed er "hele organisationen", men du kan anvende omfanget efter forretningsenhed, hvis du kan påvise en klar teknisk og fysisk adskillelse mellem de dele, der er inden for og uden for omfanget.
Uanset hvilken mulighed du vælger, skal du kunne beskrive og dokumentere:
- Brugere inden for rækkevidde — Alle medarbejdere, leverandører og tredjeparter med adgang til systemer inden for rammerne, herunder fjernarbejdere. Kundekonti på dine egne tjenester er uden for rammerne.
- Enheder inden for omfanget — Alle bærbare computere, stationære computere, tablets, mobiltelefoner og servere, der bruges til at få adgang til organisationsdata eller -tjenester, herunder personlige enheder (BYOD), der bruges til arbejds-e-mail eller -filer.
- Steder inden for omfanget — Kontorer, hjemmearbejdspladser og eventuelle datacentre eller samlokaliseringsfaciliteter, du driver.
- Cloud-tjenester omfattet — Al Software-as-a-Service, Platform-as-a-Service og Infrastructure-as-a-Service, der indeholder organisationsdata. Siden 2022-opdateringen er cloud eksplicit omfattet og kan ikke udelukkes.
Dokumentér omfanget i letforståeligt sprog, før du besvarer eventuelle tekniske spørgsmål. Hvis du ikke kan beskrive afgrænsningen præcist, vil assessoren ikke være i stand til at bekræfte, om dine kontroller er tilstrækkelige.
Hvordan skal du forberede dig, inden du åbner spørgeskemaet?
Det meste af arbejdet sker, før du logger ind på IASME-portalen. Når du kommer ind med den rigtige dokumentation, reduceres færdiggørelsestiden fra uger til dage.
Opbyg en aktivbeholdning
Angiv alle enheder, servere, cloudtjenester og brugerkonti i omfanget, sammen med operativsystem- eller softwareversion, dato for seneste opdatering og tildelt bruger. Dette er det mest nyttige artefakt til selvevalueringen og genbruges ved fornyelse. ISMS.online inkluderer et aktivregister, der knytter sig direkte til Cyber Essentials-kontrolområder, så du kan trække en omfangsnøjagtig liste når som helst.
Indsaml politiske dokumenter
Du behøver ikke et bibliotek med tusind siders politikker, men assessoren forventer at se lette, skriftlige processer, der dækker: godkendelse og afgang af brugerkonti, patches, adgangskode- og MFA-standarder, malwarebeskyttelse og hjemmearbejde. Korte, aktuelle og godkendte processer er lange og teoretiske.
Indsaml støttende beviser
For hvert kontrolområde skal du identificere det skærmbillede, den konfigurationseksport eller den systemrapport, du ville bruge, hvis du blev anfægtet. Du uploader ikke dokumentation ved indsendelse til Cyber Essentials (Plus er anderledes), men assessoren kan anmode om den, og du skal bruge den igen ved fornyelse og til enhver Plus-revision. Almindelige dokumentationselementer omfatter: MDM-konfigurationsskærme, politikker for betinget adgang, patching-dashboards, kontogennemgange og eksport af firewallregler.
Gå spørgsmålene igennem på forhånd
Det fulde spørgsmålssæt er tilgængeligt fra IASME inden indsendelse. Læs det fra ende til anden, marker alle spørgsmål, du ikke med sikkerhed kan svare "ja" til, og betragt listen som din afhjælpningsplan. At give op uden at skulle svare er den mest almindelige årsag til, at organisationer ender med at betale for to forsøg.
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
Hvordan bedømmes spørgsmål, og hvad udløser en fejl?
Alle spørgsmål om teknisk kontrol er binære: ja eller nej. Der gives ingen delvis point. For at opnå certificering skal du kunne svare "ja" (eller det tilsvarende svar) til alle relevante spørgsmål på tværs af de fem kontrolområder.
For de fleste spørgsmål kræver IASME også en kort forklaring i fritekst, der beskriver, hvordan du opfylder kontrolkravene. Bedømmerne bedømmer disse forklaringer ud fra tre tests: er svaret teknisk korrekt, er det i overensstemmelse med resten af spørgeskemaet, og dækker det alle enheds- eller tjenestetyper i omfanget. Et "ja" uden detaljer, eller en detalje, der modsiger et tidligere svar, vil udløse en anmodning om afklaring eller et blankt afslag.
Hvis assessoren påpeger manglende overholdelse, har du én chance for at rette problemerne og indsende igen uden ekstra omkostninger, forudsat at du gør det inden for to hverdage efter modtagelsen af feedbacken. Går du glip af denne periode, starter du certificeringen (og betaler) forfra. Derfor er det så værdifuldt at gennemgå spørgsmålene og dokumentationen på forhånd – du har meget lidt tid til at afhjælpe problemet, når tiden starter.
Hvad er de mest almindelige faldgruber i selvevaluering?
De samme håndfuld problemer tegner sig for størstedelen af de mislykkede og genindsendte spørgeskemaer. Ved at kende dem på forhånd kan du integrere dem i dine kontroller før flyvningen.
- Ikke-understøttet software inden for omfanget — En enkelt Windows Server 2012 R2-computer, en gammel MacOS-version på en direktørs bærbare computer eller en ældre Java-runtime vil ikke bestå afsnittet om administration af sikkerhedsopdateringer. Enten opgrader den, adskil den uden for rækkevidde bag en tæt kontrolleret firewall, eller fjern den før indsendelse.
- BYOD uden ordentlig kontrol — Hvis medarbejdere bruger personlige telefoner eller bærbare computere til at få adgang til arbejdsmails eller -filer, er disse enheder omfattet og skal opfylde alle fem kontroltemaer. BYOD (Tank med egen enhed), der ikke er omfattet af mobilenhedsadministration eller betinget adgang, er et af de største fejlpunkter.
- Cloud-tjenester behandlet som uden for anvendelsesområdet — Siden 2022 er alle cloudtjenester, der indeholder organisationsdata, omfattet, herunder Microsoft 365, Google Workspace og alle SaaS-tjenester, som dit team bruger. MFA på disse tjenester er obligatorisk.
- Admin-konti brugt til dagligt arbejde — Domæneadministratorkonti må ikke bruges til at læse e-mail eller surfe på nettet. Separate konti er påkrævet.
- MFA-huller — Enhver cloud-tjeneste, der understøtter MFA, skal have det aktiveret for alle brugere og administratorer. Tjenestekonti uden MFA skal dokumenteres og beskyttes på anden vis.
- Vage beskrivelser af omfanget — "Aktiviteter i Storbritannien" er ikke et omfang. "Acme Ltd, kontor i Storbritannien, 42 bærbare computere til medarbejdere, Microsoft 365, AWS-produktions-VPC" er.
Du kan undgå næsten alle disse ved at køre en intern forhåndsvurdering i forhold til det offentliggjorte spørgsmålssæt, før du åbner det officielle spørgeskema. For en vejledende tidslinje inklusive afhjælpning, se vores oversigt over hvor lang tid tager det at få Cyber Essentials fra start til slut.
Hvordan indsender man, og hvad sker der derefter?
Indsendelse håndteres udelukkende via IASME Cyber Essentials-portalen. Du køber din vurdering (prisen er trindelt efter organisationsstørrelse; se vores guide til Pris på Cyber Essentials), modtage en portalkonto, udfylde spørgeskemaet online og indsende det til gennemgang af assessor.
- Indsend via portalen — En underskriver på bestyrelsesniveau bekræfter, at svarene er nøjagtige inden indsendelse.
- Vurderingsmandsgennemgang (typisk 1-3 hverdage) — En IASME-akkrediteret assessor gennemgår dine svar i forhold til de offentliggjorte Cyber Essentials Requirements for IT Infrastructure.
- Resultat — Du modtager enten et bestået certifikat (udstedt certifikat, opført i IASME-registeret) eller feedback, der identificerer manglende overholdelse.
- Genindsendelse (hvis nødvendigt) — Du har to hverdage til at afhjælpe problemerne og indsende den igen. Ét gratis forsøg på afhjælpning er inkluderet; yderligere forsøg kræver et nyt køb.
- Certificering — Beståelse resulterer i et 12-måneders Cyber Essentials-certifikat. Du modtager også valgfri cyberforsikring, hvis du er berettiget.
Hvis du har til hensigt at følge op med Cyber Essentials Plus, skal du gøre det inden for tre måneder efter, at du har bestået din selvevaluering. Ellers skal du først udfylde spørgeskemaet igen.
Hvorfor vælge ISMS.online til selvevaluering af cyberessensielle færdigheder?
- Forudbygget spørgeskema-arbejdsområde — ISMS.online afspejler IASME-spørgsmålssættet, så du kan udarbejde, gennemgå og godkende svar internt, før de når portalen.
- Integreret aktivregister — Spor alle enheder, brugere og cloudtjenester i systemet ét sted, med patchstatus og ejerskab klar til dokumentation.
- Politikskabeloner tilpasset de fem kontroller — Redigerbare politikker for firewalls, sikker konfiguration, adgangskontrol, malwarebeskyttelse og styring af sikkerhedsopdateringer, skrevet til britiske SMV'er, ikke virksomheder.
- Bevisbibliotek — Upload skærmbilleder, eksportbilleder og konfigurationssnapshots én gang, og link dem til alle relevante kontroller til gennemgang af assessorer eller en fremtidig Plus-revision.
- Samarbejde og godkendelse — Tildel spørgsmål til den rette ejer, spor fremskridt og indhent godkendelse på bestyrelsesniveau inden indsendelse til IASME.
- Klar til fornyelse — Sidste års svar, dokumentation og aktivliste er bevaret, så fornyelse er en deltaøvelse snarere end en fuld genstart.
- Multi-framework gearing — De samme beviser understøtter ISO 27001, SOC2 og andre frameworks, du måtte tage i brug bagefter, så dit Cyber Essentials-arbejde aldrig er noget, du smider væk.
Relaterede Cyber Essentials-guider
Fortsæt din Cyber Essentials-rejse med de andre guider i denne serie:
- Krav til cybernødvendigheder — De fem kontrolområder, beslutninger om omfang og hvad evidensvurderere kigger efter.
- Pris på cybernødvendigheder — IASME-prisniveauer, plusomkostninger, skjulte omkostninger og 3-årige totaler for britiske virksomheder.
- Er cyber essentials det værd? — En ærlig vurdering af fordele, ulemper og hvem der rent faktisk har brug for certificering.
- Krav til Cyber Essentials Plus — Den tekniske revision, sårbarhedsscanninger og hvad Plus leverer ud over den grundlæggende certificering.
- Hvor lang tid tager det at lære cybernødvendigheder? — Typisk britisk tidslinje, hurtige muligheder og hvad der forsinker processen.
- Fornyelse af cybernødvendigheder — 12-månederscyklussen, kontrolændringer i 2026 og hvordan man forbereder sig 60 dage i forvejen.
- Cyber-essentielle ting til små virksomheder — SMB-specifik prisfastsættelse, omfang og cost-benefit-forhold.
- Cyber Essentials vs. ISO 27001 — Omfang, omkostninger, tid og anerkendelse sammenlignet.
Ofte Stillede Spørgsmål
Hvor lang tid tager det at gennemføre selvevalueringen af Cyber Essentials?
De fleste velforberedte britiske SMV'er bruger to til tre uger på selvevalueringen fra start til slut: cirka en uge til at afgrænse og indsamle dokumentation, en uge til at udarbejde og gennemgå svar internt og et par dage til at indsende og svare på eventuel feedback fra assessorer. Organisationer, der ikke har opdateret, hærdet eller udrullet MFA før start, bør forvente seks til otte uger, fordi afhjælpning, ikke papirarbejde, bliver flaskehalsen.
Skal vi inkludere personlige (BYOD) enheder i omfanget?
Ja, hvis disse enheder bruges til at få adgang til organisationsdata, arbejdsmail, filer eller cloudtjenester. Den eneste måde at holde BYOD uden for rammerne er at teknisk blokere dem fra at få adgang til noget inden for rammerne, for eksempel ved at håndhæve politikker for betinget adgang, der kræver en administreret enhed. Hvis BYOD er tilladt, skal den opfylde alle fem kontroltemaer på samme måde som en virksomhedsenhed.
Hvad sker der, hvis vi ikke består selvevalueringen?
Du modtager feedback fra IASME-assessoren, der identificerer de specifikke manglende overholdelser. Du har én gratis chance til at afhjælpe problemerne og indsende dem igen inden for to arbejdsdage. Hvis du ikke kan løse problemerne inden for dette tidsrum, lukkes ansøgningen, og du skal købe en ny vurdering for at prøve igen. Derfor er det så vigtigt at køre en intern forhåndsvurdering i forhold til det offentliggjorte spørgsmålssæt, før du åbner det officielle spørgeskema.
Er selvevalueringen nok i sig selv, eller har vi brug for Cyber Essentials Plus?
Selvevaluering alene (undertiden kaldet "grundlæggende" Cyber Essentials) er tilstrækkelig for de fleste offentlige kontrakter i Storbritannien under den centrale regerings baseline og for generel sikring af forsyningskæden. Cyber Essentials Plus tilføjer en uafhængig teknisk revision og er i stigende grad påkrævet for MOD-kontrakter, NHS-databehandlere og indkøb af større virksomheder. Hvis du har et kontraktligt krav, skal du kontrollere ordlyden; ellers er selvevalueringen det standardmæssige udgangspunkt.
Hvem i organisationen skal underskrive selvevalueringen?
En underskriver på bestyrelsesniveau – typisk en direktør, administrerende direktør, ejer eller CISO – skal bekræfte, at svarene i spørgeskemaet er nøjagtige efter deres bedste overbevisning, før det indsendes til IASME. Denne underskrift er kontraktlig, så underskriveren bør gennemgå svarene, ikke blot godkende dem. ISMS.online understøtter den interne gennemgangsproces, så underskriveren ser en ren, godkendt version i stedet for et halvt redigeret udkast.
Hvor ofte skal vi gentage selvevalueringen?
Cyber Essentials-certificeringen varer i 12 måneder. For at forblive certificeret skal du udfylde en ny selvevaluering årligt. Fornyelsesspørgeskemaet er det samme som det oprindelige, men hvis du har holdt dit aktivregister, politikker og dokumentation opdateret i mellemtiden, tager fornyelsen normalt et par dage i stedet for uger. Se vores hub-side på Cyber Essentials for den bredere ordningskontekst.
