Cyber Essentials eller ISO 27001: Hvad skal du vælge?
Hvis du vejer dig Cyber Essentials mod ISO 27001, du er ikke alene. Britiske virksomheder får rutinemæssigt at vide, at de har brug for den ene, den anden eller begge dele, og mærkningerne alene gør ikke det rigtige svar indlysende. Det er meget forskellige ordninger, der er designet til forskellige målgrupper, men de introduceres ofte i den samme samtale om cybersikkerhed og leverandørsikring.
Her er den korte version. Cyber Essentials er en grundlæggende ordning støttet af den britiske regering, der bekræfter, at du har fem centrale tekniske kontroller på plads. Den er hurtig, billig og velkendt i hele den britiske offentlige sektor og SMV'ers forsyningskæder. ISO 27001 er en international standard for et informationssikkerhedsstyringssystem (ISMS). Det er bredere, dybere, tager længere tid at opnå og har vægt hos både virksomheder og udenlandske købere. De fleste britiske virksomheder ender med at gøre begge dele, i den rækkefølge, fordi hver enkelt åbner en anden dør.
Denne side beskriver forskellene i detaljer, hjælper dig med at beslutte, hvilken der passer til din situation i dag, og forklarer, hvordan ISMS.online understøtter begge veje fra en enkelt platform.
Hvad er Cyber Essentials og ISO 27001 i praksis?
Cyber Essentials er en certificeringsordning støttet af den britiske regering, der drives af IASME på vegne af National Cyber Security Centre (NCSC). Den fokuserer på fem tekniske kontroller: firewalls, sikker konfiguration, brugeradgangskontrol, malwarebeskyttelse og administration af sikkerhedsopdateringer. Du foretager din egen evaluering ud fra et spørgeskema (og for Cyber Essentials Plus verificerer en teknisk revision dine svar). Målet er at forsvare dig mod de mest almindelige, opportunistiske internetbårne angreb.
ISO 27001 er den internationale standard for informationssikkerhedsstyring. Det er ikke en tjekliste over tekniske kontroller; det er en ramme for at drive informationssikkerhed som en forretningsdisciplin. Du definerer omfanget af dit ISMS, identificerer og håndterer informationssikkerhedsrisici, sætter mål, uddanner personale, udfører interne revisioner og forbedrer løbende. ISO 27001:2022 refererer til 93 bilag A-kontroller på tværs af organisatoriske, menneskelige, fysiske og teknologiske temaer, men du anvender kun dem, der er relevante for dine risici. Certificering udstedes af et uafhængigt UKAS-akkrediteret certificeringsorgan efter en revision i to trin.
Den forskel, en fokuseret teknisk basislinje versus et fuldt styringssystem, er roden til alle andre forskelle mellem de to ordninger.
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
Hvordan er Cyber Essentials og ISO 27001 sammenlignelige?
Tabellen nedenfor opsummerer de forskelle, som britiske købere oftest spørger om. Brug den til at triangulere den rigtige ordning for din fase, dit marked og din kundesammensætning.
| Dimension | Cyber Essentials | ISO 27001 |
|---|---|---|
| Anvendelsesområde | Fem tekniske kontroller, der dækker internetbaserede systemer og slutbrugerenheder | Fuldt informationssikkerhedsstyringssystem plus 93 Annex A-kontroller anvendt på risikobasis |
| Pris | Fra £330 + moms (selvvurdering) op til omkring £3,000 + moms for Cyber Essentials Plus, afhængigt af organisationens størrelse | Typisk £3,000 til £15,000+ i gebyrer til certificeringsorganer over en treårig cyklus plus intern implementeringsindsats og eventuel konsulentbistand |
| Tid til at certificere | 2 til 4 uger efter kontrolforanstaltningerne er på plads | 6 til 18 måneder, afhængigt af startløbetid, omfang og ressourcer |
| Anerkendelse | Kun i Storbritannien; bredt anerkendt i den offentlige sektor og SMV'ers forsyningskæder i Storbritannien | International; anerkendt globalt af virksomheders indkøb, regulatorer og partnere |
| Dybde | Grundlæggende cyberhygiejne mod almindelige internetbårne trusler | Risikobaseret styringssystem, der dækker mennesker, processer og teknologi på tværs af hele informationslivscyklussen |
| Fornyelse | Årlig recertificering (samme gebyr hvert år) | Treårig certificeringscyklus med årlige overvågningsrevisioner og en fuld recertificeringsrevision i det tredje år |
| Hvem det passer til | Britiske SMV'er, startups, leverandører til Forsvarsministeriet/den centrale regering, organisationer, der byder på arbejde i den offentlige sektor i Storbritannien | Virksomheder, scale-ups, B2B SaaS, regulerede brancher og enhver virksomhed, der betjener internationale kunder eller store kunder |
Hvor meget koster Cyber Essentials og ISO 27001, og hvor lang tid tager det?
Omkostninger og tid er normalt de to faktorer, der bestemmer rækkefølgen. Selvevalueringen af Cyber Essentials starter ved £330 + moms for en mikroorganisation og stiger i niveauer efter antal medarbejdere, og topper op til £500 + moms for større organisationer. Cyber Essentials Plus tilføjer en ekstern teknisk revision og ligger typisk mellem £1,500 og £3,000 + moms afhængigt af størrelsen og kompleksiteten af dit miljø. Der er flere detaljer om Prisoversigt for Cyber Essentials og på hvad der rent faktisk vurderes i Krav til Cyber EssentialsDe fleste organisationer gennemfører certificeringen på to til fire uger fra en stående start, forudsat at de underliggende kontroller allerede er konfigureret.
ISO 27001 er en anden investeringsskala. Alene gebyrer for certificeringsorganer ligger typisk på mellem 3,000 og 15,000 pund over den treårige cyklus, skaleret med antallet af medarbejdere, lokationer og ISMS-omfang. De største omkostninger er interne: implementering af ledelsessystemet, udarbejdelse af politikker, udførelse af en risikovurdering, uddannelse af personale, udførelse af interne revisioner og udarbejdelse af dokumentation. Realistiske tidslinjer er seks til ni måneder for organisationer med modne kontroller og et fokuseret omfang, og tolv til atten måneder for dem, der starter fra bunden.
Afvejningen er, hvad hver certificering åbner op for. Cyber Essentials overvinder hurtigt en indkøbshindring. ISO 27001 tager længere tid, men besvarer et meget større spørgsmål for køberen: Driver I informationssikkerhed som en styret, løbende forbedrende disciplin?
Hvilken certificering efterspørger dine kunder egentlig?
Det ærlige svar på "hvilket er bedst" er "alt efter hvad dine kunder og tilsynsmyndigheder genkender". I praksis kan det fordeles i tre dele.
Indkøbere i den offentlige sektor i Storbritannien overvældende mange spørger efter Cyber Essentials. Det er obligatorisk for kontrakter fra den centrale regering, der involverer håndtering af personlige oplysninger eller levering af visse IKT-produkter og -tjenester, og det optræder som et standardspørgsmål i de fleste offentlige indkøbsrammer. Cyber Essentials Plus er påkrævet, hvor leverandøren har adgang til mere følsomme systemer eller data, herunder det meste af Forsvarsministeriets arbejde.
Britiske SMV-forsyningskæder i stigende grad efterspørger Cyber Essentials, dels fordi deres egne større kunder forstærker behovet. Hvis dine købere er baseret i Storbritannien og i mellemklassen, er Cyber Essentials ofte nok i sig selv, især i starten.
Virksomheds- og internationale købere Bed om ISO 27001. Det er det centrale sprog for B2B-sikkerhedsspørgeskemaer i Europa, Nordamerika og Asien. Hvis du sælger til FTSE 100-virksomheder, globale SaaS-platforme, finansielle servicevirksomheder eller regulerede brancher, vil du blive bedt om ISO 27001 før snarere end senere, og et rent ISMS vil forkorte uger med sikkerhedsgennemgang.
Hvis du stadig er usikker på, om udgiften betaler sig tilbage, Er Cyber Essentials det værd guidede gennemgange af den typiske pipeline og forsikringsydelser.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Skal du lave både Cyber Essentials og ISO 27001?
For de fleste britiske virksomheder, der betjener en blandet kundebase, er svaret ja – og rækkefølgen er vigtig. At udføre Cyber Essentials først og derefter ISO 27001 er den mest almindelige rækkefølge, af tre grunde.
Cyber Essentials er en lavrisiko-styrkefunktion. At opnå certificering inden for et par uger tvinger dig til at opgøre enheder, låse firewalls, dokumentere patch-takten og stramme brugeradgangen. Alle disse aktiviteter er også dokumentation, du skal bruge til ISO 27001 Annex A-kontroller. Du får et anerkendt certifikat, en hurtig indkøbsgevinst og et forspring på ISO 27001 i ét træk.
Det mindsker risikoen ved implementeringen af ISO 27001. De fleste resultater af ISO 27001-revisionen vedrører tekniske kontrolområder: konfiguration, adgang, patches og malware-forsvar. Hvis du lukker disse huller i forhold til Cyber Essentials-standarden, før du starter ISO 27001, fokuserer din ISMS-revision på modenhed af ledelsessystemer, hvilket normalt er en mere behagelig samtale.
Det giver dig mulighed for at vokse op til ISO 27001. Et lille team kan med en beskeden indsats håndtere Cyber Essentials, mens de opbygger ISMS'et i baggrunden. Når kundeefterspørgsel eller pres fra bestyrelsen får jer til at rette mod ISO 27001, starter I fra et kendt godt teknisk udgangspunkt i stedet for fra nul.
Der er også betydelig overlapning at drage fordel af. Cyber Essentials knytter sig direkte til en delmængde af ISO 27001:2022 Annex A-kontrollerne, især inden for det teknologiske tema. Den dokumentation, du genererer for Cyber Essentials (firewallregler, patchrapporter, MFA-konfiguration, antivirusrapportering), overføres direkte til din ISO 27001 Statement of Applicability og risikohåndteringsregistre.
Hvornår er Cyber Essentials nok i sig selv?
For et bredere overblik over alle britiske ordninger, som læserne normalt vurderer – inklusive SOC 2 og NIS 2 – se vores Guide til cybersikkerhedscertificering i Storbritannien.
Cyber Essentials er nok i sig selv, når tre ting er sande: dine kunder er baseret i Storbritannien, dine købere beder ikke om ISO 27001 eller SOC2, og dine informationsaktiver og risikoeksponering er beskeden. Typiske eksempler omfatter konsulentfirmaer, der udelukkende er tilgængelige i Storbritannien, små udbydere af administrerede tjenester, der betjener britiske SMV'er, professionelle servicefirmaer (juridiske, regnskabsmæssige, designmæssige) der primært byder på arbejde i den offentlige sektor eller mellemstore virksomheder i Storbritannien, og startups i den tidlige fase før deres første virksomhedsaftale.
Du bør planlægge ud over Cyber Essentials, så snart et af følgende bliver sandt: du påtager dig virksomhedskunder, du ekspanderer internationalt, du behandler mængder af personlige eller finansielle data, du træder ind i en reguleret sektor, eller dine sikkerhedsspørgeskemaer begynder at bede om et ISMS, ISO 27001 eller SOC 2.
Hvorfor vælge ISMS.online til Cyber Essentials og ISO 27001?
ISMS.online er bygget til at understøtte begge ordninger fra en enkelt platform, så det arbejde, du udfører for Cyber Essentials, overføres direkte til ISO 27001 i stedet for at ligge i et separat regneark.
- Begge rammer samlet ét sted — Færdigbyggede indholds-, kontrol- og evidensskabeloner til Cyber Essentials og ISO 27001:2022, der er knyttet til hinanden, så du kan vurdere én gang og bruge evidensen to gange.
- Adopter, tilpas, tilføj metodologi — Start med vores prækonfigurerede ISMS, tilpas det til din virksomhed, og tilføj kun det, der er unikt for dig, i stedet for at bygge fra en blank side.
- Indlevering af Cyber Essentials er klar — Registrer de fem kontrolområder, gem enhedsoversigter, MFA-beviser og patching-poster, og eksporter alt, hvad du behøver til IASME-vurdering.
- Klar til ISO 27001-revision — Risikovurdering, anvendelighedserklæring, politikbibliotek, intern revision og ledelsesgennemgangsmoduler bygget op omkring standarden, med kontrolkortlægning, der fremhæver overlap med Cyber Essentials.
- Tillid fra britiske virksomheder — ISMS.online bruges af organisationer i hele Storbritannien og internationalt til at administrere Cyber Essentials, ISO 27001 og andre rammer side om side.
- Altid tilgængelig vejledning — Indbygget virtuel coach, supportteam og instruktionsmateriale guider dig i hvert trin, så du ikke behøver et separat konsulentopdrag for at blive certificeret.
- Vægte med dig — Tilføj yderligere rammer (SOC 2, ISO 27701, ISO 42001, NIS 2) efterhånden som dine kunders behov vokser, uden at skulle migrere til et nyt værktøj.
Relaterede Cyber Essentials-guider
Fortsæt din Cyber Essentials-rejse med de andre guider i denne serie:
- Krav til cybernødvendigheder — De fem kontrolområder, beslutninger om omfang og hvad evidensvurderere kigger efter.
- Pris på cybernødvendigheder — IASME-prisniveauer, plusomkostninger, skjulte omkostninger og 3-årige totaler for britiske virksomheder.
- Er cyber essentials det værd? — En ærlig vurdering af fordele, ulemper og hvem der rent faktisk har brug for certificering.
- Krav til Cyber Essentials Plus — Den tekniske revision, sårbarhedsscanninger og hvad Plus leverer ud over den grundlæggende certificering.
- Selvevaluering af cyberessensielle ting — SASQ-arbejdsgangen, omfang, evidens og almindelige faldgruber.
- Hvor lang tid tager det at lære cybernødvendigheder? — Typisk britisk tidslinje, hurtige muligheder og hvad der forsinker processen.
- Fornyelse af cybernødvendigheder — 12-månederscyklussen, kontrolændringer i 2026 og hvordan man forbereder sig 60 dage i forvejen.
- Cyber-essentielle ting til små virksomheder — SMB-specifik prisfastsættelse, omfang og cost-benefit-forhold.
Ofte Stillede Spørgsmål
Er ISO 27001 bedre end Cyber Essentials?
Den er bredere og dybere, men ikke automatisk "bedre" for din virksomhed. ISO 27001 er det rigtige valg, når du har brug for international anerkendelse eller et komplet informationssikkerhedsstyringssystem. Cyber Essentials er det rigtige valg, når du har brug for en hurtig, overkommelig og britisk anerkendt baseline. Mange britiske virksomheder har begge, fordi de besvarer forskellige indkøbsspørgsmål.
Dækker ISO 27001 alt i Cyber Essentials?
Stort set, ja. De tekniske kontroller i Cyber Essentials (firewalls, sikker konfiguration, adgangskontrol, malwarebeskyttelse, sikkerhedsopdateringer) er knyttet til ISO 27001:2022 Annex A-kontrollerne i temaet Teknologi. ISO 27001 dækker dog mange flere områder (governance, risikostyring, leverandørsikkerhed, forretningskontinuitet, HR-sikkerhed), som Cyber Essentials ikke adresserer. At have ISO 27001 opfylder ikke formelt et Cyber Essentials-krav i sig selv, så britiske købere, der specifikt anmoder om Cyber Essentials, vil stadig gerne se dette certifikat.
Skal jeg tage Cyber Essentials eller Cyber Essentials Plus før ISO 27001?
Hvis du kan, så prøv Cyber Essentials Plus. Den tekniske revision tvinger dig til at verificere dine kontroller i stedet for blot at selv bekræfte dem, hvilket er meget tættere på den evidensstandard, en ISO 27001-revisor vil kigge efter. Hvis budgettet er stramt, så start med selvvurderede Cyber Essentials, og planlæg derefter Cyber Essentials Plus samtidig med eller lige før din ISO 27001 fase 2-revision.
Vil ISO 27001-kunder acceptere Cyber Essentials som erstatning?
Normalt ikke. Virksomheder og internationale købere, der anmoder om ISO 27001, leder efter dokumentation for et administreret, risikobaseret informationssikkerhedsprogram, hvilket Cyber Essentials ikke leverer. Cyber Essentials kan hjælpe dig med at komme videre med et indledende sikkerhedsspørgeskema, men det vil sjældent alene afslutte et ISO 27001-indkøbskrav.
Hvor længe efter Cyber Essentials bør jeg starte ISO 27001?
Så snart du kan se ISO 27001 i horisonten i din salgspipeline. ISO 27001 tager typisk seks til atten måneder, så det er den rette ramme at arbejde sig baglæns fra en kundedeadline. Hvis du har Cyber Essentials Plus, kan du normalt starte ISO 27001-implementeringen parallelt med fornyelsescyklusser og genbruge den samme dokumentation for begge ordninger.
Kan ISMS.online hjælpe med både Cyber Essentials og ISO 27001 på samme tid?
Ja. ISMS.online administrerer begge frameworks fra ét arbejdsområde med foruddefinerede kontroller, så den dokumentation, du indsamler til Cyber Essentials, tæller med i din ISO 27001 Statement of Applicability. Det fjerner den dobbeltarbejde, der normalt følger med at køre to certificeringer side om side.
