ISMS.online's Cyber ​​Essentials Toptips efter vores gencertificeringssucces

Vi er glade for at kunne fortælle, at ISMS.online har opnået gencertificering til Cyber ​​Essentials, den britiske regeringsstøttede cybersikkerhedsordning. Vores gencertificering bekræfter, at vi har fortsat med at adressere sårbarheder og implementeret effektive cybersikkerhedskontroller på tværs af virksomheden, hvilket sikrer et robust forsvar mod en række cybertrusler. 

Du kan gennemgå ISMS.onlines Cyber ​​Essentials-certificering og de mange andre cyberstandarder, vi vedligeholder i vores Trust Center.

Med vores succesfulde gencertificering til Cyber ​​Essentials deler vi information om Cyber ​​Essentials-ordningen, indsigt fra vores IMS-manager, Mike Jennings, i, hvad vi lærte under gencertificeringen, og de tilgange, din organisation kan tage for at opnå certificering.

Hvad er Cyber ​​Essentials?

Cyber ​​Essentials-ordningen, støttet af den britiske regering, giver organisationer mulighed for at demonstrere deres engagement i cybersikkerhed og forhindre de mest almindelige cyberangreb, som ofte er afhængige af en organisations manglende beredskab.

Certificering er påkrævet for organisationer, der byder på nogle offentlige kontrakter, såsom dem, der involverer håndtering af følsomme og personlige oplysninger eller leverer visse tekniske produkter eller tjenester.

Cyber ​​Essentials dækker fem kerneområder:

• Firewall implementering
• Sikker konfiguration af netværk og brugerenheder
• Styring af sikkerhedsopdateringer
• Brugeradgangskontrol
• Beskyttelse af malware

Niveauer af Cyber ​​Essentials Assessment

Cyber ​​Essentials indebærer en selvevaluering. Organisationer vurderer sig selv i forhold til de fem områder, der er dækket af Cyber ​​Essentials, og en kvalificeret bedømmer verificerer uafhængigt de leverede oplysninger.

Cyber ​​Essentials Plus er en teknisk audit, hvor en assessor besøger organisationens kontorer for at udføre tests. Det skal gennemføres inden for tre måneder efter Cyber ​​Essentials-certificering.

Omkostningerne ved Cyber ​​Essentials-certificering afhænger af størrelsen af ​​din organisation og, for Cyber ​​Essentials Plus, størrelsen og kompleksiteten af ​​dit netværk.

Hvorfor skal min organisation få Cyber ​​Essentials certificeret?

Mike Jennings, IMS Manager hos ISMS.online, siger: "Ikke kun sikrer Cyber ​​Essentials, at du kører din organisation sikkert ved at levere bedste praksis grundlæggende informationssikkerhedspolitikker og kontroller, men det forbedrer også dit omdømme som en betroet leverandør. Derudover kan certificering give et niveau af 'gratis' cyberforsikring underlagt visse kriterier."

Hvis du allerede er det ISO 27001 og ISO 27701 certificeret, er der flere grunde til, at du kan overveje Cyber ​​Essentials-certificering til din virksomhed:

• Du har muligvis en kunde, der kontraktmæssigt kræver, at din organisation er certificeret (og som nævnt er certificering ofte et behov for offentlige kontrakter)
• Cyber ​​Essentials-certificering opbygger tillid og forsikrer kunderne om, at du har specifikke tekniske implementeringer
• Du kan bedre sikre dine it-systemer mod cyberangreb
• Certificering kan tiltrække nye kundeemner og ny forretning i vidende om, at du har cybersikkerhedsforanstaltninger på plads
• Efter Cyber ​​Essentials-certificering kan din organisation være berettiget til gratis cybersikkerhedsforsikring. Alle detaljer er tilgængelige på IASME.co.uk.

Mike deler: "At have et ISO 27001-kompatibelt informationssikkerhedsstyringssystem (ISMS) hjælper enormt med at opnå Cyber ​​Essentials-certificering, da mange af politikkerne og kontrollerne allerede er etableret og kan levere beviser for at opfylde CE-kravene, hvilket gør processen mere effektiv. 

“Der er nogle subtile forskelle i den information, der kræves til CE sammenlignet med ISO 27001; Men ved hjælp af CE-rammen leveret af ISMS.online er denne information let optagelig og tilgængelig, alt sammen på ét sted."

Sådan nærmer du dig Cyber ​​Essentials-certificering

Et opdateret sæt krav til it-infrastruktur (v3.1) blev udstedt i april 2023 af National Cyber ​​Security Center (NCSC). Dette sæt krav, kendt som Montpelier-profilen, er en vigtig læsning for alle organisationer, der overvejer vurdering for at forstå, hvad der kræves for at overholde Cyber ​​Essentials. Faktisk vil du som en del af certificeringsprocessen blive spurgt, om du har læst dette dokument.

Du kan også downloade det komplette spørgsmålssæt som forberedelse til vurderingen og inden du indsender dine svar via onlineportalen. Spørgsmålssættet kan downloades gratis fra IASMEs hjemmeside. En invitation til onlineportalen sendes til din udpegede repræsentant, når vurderingsgebyret er betalt.

Et Cyber ​​Essentials-beredskabsværktøj er også tilgængeligt fra IASME for at hjælpe din virksomhed med at forberede sig for overholdelse.

Mike siger: "Der er visse oplysninger, du skal dele for Cyber ​​Essentials, som ikke er et krav for overholdelse af ISO-standarder. Dette vedrører hovedsageligt at identificere software builds af slutbrugeraktivbasen for at sikre, at de overholder de seneste udgivelser, der stadig understøttes af sikkerhedsopgraderinger. 

"Dette fremhæver de subtile forskelle mellem CE- og ISO 27001-overholdelse, hvor CE er mere rigid og binær i sine krav sammenlignet med ISO 27001, der er risikobaseret og giver mulighed for en vis fleksibilitet afhængig af risikoniveauet og hvordan det styres."

Hvordan ISMS.online nærmede sig Cyber ​​Essentials-gencertificering

Din it-ansvarliges involvering er afgørende for vurderingen, da du skal specificere alle bruger- og netværksenheder, herunder operativsystemets versionsnummerering og eventuelle anvendte cloudtjenester.

Med vores IT-chef involveret sammensætter vi vores dedikerede Cyber ​​Essentials-vurderingsteam. Teamet gennemgik derefter Cyber ​​Essentials-kravdokumentet og spørgsmålssættet for at identificere områder, der har behov for potentielle ændringer i politikken eller konfigurationen.

Mike tilføjer: "Dette var en gencertificering af CE, så vi var allerede klar over Montpelier-kravene, selvom det var nødvendigt at kontrollere, om der skete subtile ændringer i kravene i forhold til sidste år. Der så ud til at være mere detaljeret påkrævet i OS build-niveauer for at opfylde kravene i år. Vi skulle også opgradere et af vores systems OS-niveauer."

Vi overvejede også omfanget af vurderingen. Som med andre typer certificeringer som ISO 27001, anbefaler vi, at hele organisationen inkluderes i omfanget af din Cyber ​​Essentials-vurdering. Din organisation er kun berettiget til gratis cyberforsikring, hvis hele organisationen er omfattet.

Da omfanget var besluttet, besvarede teamet spørgsmål, der dækkede de fem tekniske områder, der vedrører vores netværk og brugerenheder. Listen nedenfor er ikke udtømmende, og der skal altid henvises til kravdokument og spørgsmålssæt. Når det er sagt, inkluderer vigtige overvejelser:

• Firewalls skal installeres ved netværksgrænser. Hvis hjemmearbejdere bruger enheder uden VPN, skal software-firewalls inkluderes i enhedernes operativsystemer.
• Du skal angive alle bruger- og netværksenheder, inklusive operativsystemer, versioner og mobile enheder. Bemærk: Selvom det ikke er en specifik Cyber ​​Essentials-kontrol, formueforvaltning bør betragtes som en kernesikkerhedsfunktion og kan hjælpe din organisation med at opfylde de tekniske kontroller
• Alle de cloud-tjenester, som din organisation bruger, er også i omfang
• Alle applikationers højrisiko- og kritiske sikkerhedsopdateringer skal installeres inden for 14 dage efter udgivelsen. Dette inkluderer også firmware på firewalls og routere
• Du skal have tekniske kontroller og politikker for bruger- og administratorkonti og godkendelse. Multi-faktor autentificering skal bruges til alle cloud-tjenester
• Alle enheder skal beskyttes mod malware enten ved at have anti-malware software installeret og/eller begrænse installationen af ​​applikationer, fx ved at bruge en app store.

Hvis du allerede har implementeret informationssikkerhedskontroller eller er i overensstemmelse med ISO 27001, vil dine eksisterende politikker hjælpe med at besvare nogle spørgsmål.

ISMS.onlines bedste tips til at opnå cybernødvendigheder

1. Brug dokumentet Krav til IT-infrastruktur (v3.1) til at finde ud af, hvad der anses for at være i og uden for scope vedrørende medbring din egen enhed (BYOD), fjernarbejde, trådløse enheder, brugerenheder og cloud-tjenester.
2. Ansvaret for implementeringskontrollerne, hvad enten det er organisationen eller cloud-udbyderen, vil afhænge af typen af ​​cloud-tjeneste: IaaS, PaaS eller SaaS.
3. Montpelier-spørgsmålssættet giver også vejledning, der angiver, hvor kravet er obligatorisk for overholdelse. Dit Cyber ​​Essentials-vurderingsteam bør gennemgå spørgsmålssættet før indsendelse.
4. Inden den kan indsendes til den uafhængige bedømmer, skal selvevalueringssvaret attesteres af et medlem af organisationens direktion.
5. Du vil muligvis modtage feedback til yderligere afklaring eller nødvendige ændringer. Du skal gennemføre eventuelle ændringer inden for to arbejdsdage før genindsendelse.

Når du har gennemført processen, får du besked om, at du har bestået Cyber ​​Essentials-certificeringen. Certificering lader din organisation demonstrere over for dine kunder og kundeemner, at du har sikret din it mod cyberangreb. Dit certifikat er gyldigt i 12 måneder.

Din Cyber ​​Essentials-succeshistorie starter her

Hvis du ønsker at starte din rejse til Cyber ​​Essentials-overholdelse, kan ISMS.online hjælpe.

Vores compliance-platform muliggør en enkel, sikker og bæredygtig tilgang til databeskyttelse og informationsstyring med Cyber ​​Essentials og over 100 andre rammer, herunder ISO 27001, NIST, GDPR, HIPAA og mere. Lås op for din konkurrencefordel i dag.