cyber essentials blog

ISMS.online opnår Cyber ​​Essentials-certificering første gang

Vi er glade for at kunne dele, at ISMS.online har opnået Cyber ​​Essentials-certificering, hvilket tilføjer yderligere niveauer af tillid til vores tjenester og bekræfter robuste og effektive cybersikkerhedskontroller på tværs af vores organisation. Du kan gennemgå vores certificering og de mange andre cyberstandarder, vi opretholder i vores Trust Center.

Efter at have gennemgået processen med at opnå Cyber ​​Essentials (CE), ønsker vi at dele noget af det, vi har lært undervejs, definere certificeringen, hvorfor du muligvis skal erhverve den, og hvilke tilgange organisationer kan tage for at opnå den.

Hvad er Cyber ​​Essentials?

Cyber ​​Essentials, selvom det er mindre bredt end standarder som ISO 27001, har det en mere teknisk hældning med hensyn til dine enheder og netværkskonfiguration. Det dækker fem områder:

  • Firewall implementering
  • Sikker konfiguration af netværk og brugerenheder
  • Administration af sikkerhedsopdateringer,
  • Brugeradgangskontrol
  • Beskyttelse af malware

 

Cyber ​​Essentials repræsenterer den britiske regerings grundlæggende standard for cybersikkerhed i Storbritannien og administreres af IASME-konsortiet.

Der er to niveauer af vurdering:

  • Cyber ​​Essentials 

    – er en uafhængig verificeret selvevaluering, hvor organisationer vurderer sig selv ud fra fem grundlæggende sikkerhedskontroller, og en kvalificeret bedømmer verificerer de afgivne oplysninger.

  • Cyber ​​Essentials+

– er en teknisk audit, hvor en assessor besøger organisationens kontorer for at udføre test. CE+-audit skal afsluttes inden for tre måneder efter CE-certificering.

Omkostningerne ved Cyber ​​Essentials-certificering afhænger af størrelsen af ​​din organisation og, for Cyber ​​Essentials+, størrelsen og kompleksiteten af ​​dit netværk.

Hvorfor skal organisationer forfølge Cyber ​​Essentials-certificering?

Hvorfor, spørger du måske, bør du overveje Cyber ​​Essentials, hvis du allerede er ISO 27001 & ISO 27701 certificeret? Der kan være flere årsager:

  • Det er et kontraktligt krav fra en kunde (og ofte et behov for offentlige kontrakter)
  • Opbygger tillid og forsikrer kunderne om, at du har specifikke tekniske implementeringer
  • at sikre din IT mod cyberangreb
  • Tiltrækker ny forretning i viden om, at du har cybersikkerhedsforanstaltninger på plads
  • En ekstra fordel er, at din organisation kan være berettiget til gratis cybersikkerhedsforsikring efter CE-certificering. Alle detaljer kan findes på: IASME.co.uk.

Praktiske tilgange til Cyber ​​Essentials-certificering

Et nyt sæt krav til it-infrastruktur (v3.1), også kendt som Montpelier-profilen, blev udstedt tidligere på året i april 2023 af NCSC. Dette er en vigtig læsning for alle organisationer, der nærmer sig vurdering, for at forstå kravene til CE-overholdelse. Et specifikt spørgsmål spørger, om dette dokument er blevet læst som en del af certificeringsprocessen.

Det er også godt at downloade det komplette spørgsmålssæt som forberedelse til vurderingen og inden du sender dine svar via onlineportalen. Spørgsmålssættet kan downloades gratis fra IASMEs hjemmeside. En invitation til onlineportalen sendes til din udpegede repræsentant, når vurderingsgebyret er betalt.

Et Cyber ​​Essentials-beredskabsværktøj er også tilgængeligt fra IASME for at hjælpe med at forberede CE, hvis det kræves.

Hvordan ISMS.online nærmede sig Cyber ​​Essentials-certificering

Vi samlede et lille team og gennemgik kravdokumentet og spørgsmålssættet for at afgøre, hvilke områder der har brug for potentielle ændringer i politik eller konfiguration.

Det er værd at fremhæve, at det er påkrævet at specificere alle bruger- og netværksenheder, inklusive versionsnummerering af operativsystemet og eventuelle anvendte cloudtjenester. Organisationens it-chef bør være et vigtigt teammedlem involveret i vurderingen.

En tidlig overvejelse for holdet var omfanget af vurderingen. Vi anbefaler, at hele organisationen tages med i vurderingen, ligesom ved andre typer certificeringer. Det er også bemærkelsesværdigt, at din organisation kun er berettiget til gratis cyberforsikring, hvis hele organisationen er i omfang.

Derefter var det et spørgsmål om at besvare spørgsmål, der dækkede de fem tekniske områder, der var relateret til vores netværk og brugerenheder. Ikke en udtømmende liste, og der bør altid henvises til kravdokumentet og spørgsmålssættet; nogle vigtige overvejelser er dog:

  • Firewalls skal installeres ved netværksgrænser – hvis hjemmearbejdere bruger enheder, ikke bruger en VPN, skal software-firewalls inkluderes i enhedernes OS.
  • Det er nødvendigt at detaljere alle bruger- og netværksenheder, inklusive operativsystemer, versioner og mobile enheder. Bemærk: Selvom det ikke er en specifik CE-kontrol, formueforvaltning bør betragtes som en kernesikkerhedsfunktion og kan hjælpe med at opfylde de tekniske kontroller.
  • Alle de cloud-tjenester, som organisationen bruger, er også i omfang.
  • Alle applikationers højrisiko- og kritiske sikkerhedsopdateringer skal installeres inden for 14 dage efter udgivelsen. Dette inkluderer også firmware på firewalls og routere.
  • Det er påkrævet at have tekniske kontroller og politikker vedrørende bruger- og administratorkonti og godkendelse. MFA skal bruges til alle Cloud-tjenester.
  • Alle enheder skal beskyttes mod malware enten ved at have anti-malware-software installeret og/eller ved at begrænse installationen af ​​applikationer, fx ved at bruge en app-butik.

 

Hvis du allerede har overvejet informationssikkerhedskontroller eller er i overensstemmelse med ISO 27001, vil dine eksisterende politikker hjælpe med at besvare nogle spørgsmål.

Vores bedste tips til at nærme sig cyberessentielle ting

  1. Dokumentet Krav til IT-infrastruktur (v3.1) guider, hvad der anses for i og uden for scope vedrørende BYOD, fjernarbejde, trådløse enheder, brugerenheder og cloud-tjenester.
  2. Ansvaret for implementeringskontrollerne, hvad enten det er organisationen eller cloud-udbyderen, vil afhænge af typen af ​​cloud-tjeneste: IaaS, PaaS eller SaaS.
  3. Der er også vejledning i Montpelier-spørgsmålssættet, der kan downloades gratis, der angiver, hvor kravet er obligatorisk for overholdelse. Vurderingsteamet bør gennemgå spørgsmålet, der er stillet før indsendelsen via portalen.
  4. Selvevalueringssvaret skal attesteres af et medlem af organisationens ledelse, før indsendelse til den uafhængige bedømmer kan afsluttes.
  5. Du vil muligvis modtage feedback til yderligere afklaring eller nødvendige ændringer. Det er nødvendigt at gennemføre eventuelle ændringer inden for to arbejdsdage før genindsendelse.

 

Når du har gennemført processen med succes, får du besked om, at du har bestået Cyber ​​Essentials-certificeringen, og din organisation kan også demonstrere over for dine kunder og kundeemner, at du har sikret din it mod cyberangreb. Dit certifikat er gyldigt i 12 måneder.

Din Cyber ​​Essentials-succeshistorie starter her

Hvis du ønsker at starte din rejse til Cyber ​​Essentials-overholdelse, kan ISMS.online hjælpe.

Vores compliance-platform muliggør en enkel, sikker og bæredygtig tilgang til databeskyttelse og informationsstyring med Cyber ​​Essentials og over 100 andre rammer, herunder ISO 27001, NIST, GDPR, HIPPA og mere. Indse din konkurrencefordel i dag.

Tal med en ekspert

Sidst redigeret: 31. januar 2024
Forfatter

Mike Jennings

Mike er Integrated Management System (IMS) Manager her på ISMS.online. Ud over hans daglige ansvar for at sikre, at IMS-sikkerhedshændelsesstyring, trusselsintelligens, korrigerende handlinger, risikovurderinger og revisioner administreres effektivt og holdes ajour, er Mike en certificeret lead auditor for ISO 27001 og fortsætter med at forbedre hans andre færdigheder inden for informationssikkerhed og privatlivsstyringsstandarder og rammer, herunder Cyber ​​Essentials, ISO 27001 og mange flere.

Se alle indlæg af Mike Jennings

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!