Was ist die Cyber Essentials-Selbstbewertung?
Die Cyber Essentials-Selbstbewertung ist der zentrale Fragebogen des Cyber Essentials-Programms der britischen Regierung. Sie wird im Auftrag des National Cyber Security Centre (NCSC) von IASME durchgeführt und fordert Ihr Unternehmen auf, schriftlich zu bestätigen, dass es fünf technische Kontrollmechanismen implementiert hat, die Schutz vor den häufigsten internetbasierten Angriffen bieten. Ein Mitglied der Geschäftsleitung genehmigt Ihre Antworten, Sie reichen den Fragebogen über das IASME-Portal ein, und ein Gutachter prüft Ihre Angaben und erteilt (oder verweigert) die Zertifizierung.
Obwohl es sich um eine „Selbstbewertung“ handelt, ist der Prozess nicht informell. Ihre Erklärung ist eine vertragliche Zusage gegenüber einer Zertifizierungsstelle, und der Gutachter wird Antworten ablehnen, die nicht die erforderlichen Details enthalten oder Ihrem angegebenen Geltungsbereich widersprechen. Die meisten gescheiterten Erstversuche resultieren eher aus übereilten, ungetesteten Antworten als aus fehlenden Kontrollen. Daher soll Ihnen dieser Leitfaden helfen, Nachweise vorzubereiten, Ihren Geltungsbereich korrekt abzugrenzen und die vom IASME-Gutachter erwarteten präzisen Antworten zu geben. Die zugrunde liegende technische Basis, auf der Ihre Erklärung basiert, finden Sie in unserer Erläuterung zu [hier fehlende Information einfügen]. Anforderungen der Cyber EssentialsBevor Sie den SAQ selbst öffnen, arbeiten Sie bitte unsere folgenden Schritte durch: Checkliste Cyber Essentials Um sicherzustellen, dass Umfang, Nachweise und Kontrollen bereit sind, ist es darauf ausgelegt, dieselben Lücken aufzudecken, die ein Gutachter bemängeln würde.
Der Fragebogen umfasst rund 80 Fragen zu den fünf Kontrollbereichen. Jede Frage ist binär – man erfüllt die Kontrollbedingung entweder oder nicht –, aber die meisten Fragen erfordern zusätzlich eine kurze schriftliche Erläuterung, inwiefern man die Bedingung erfüllt. ISMS.online Speichert Ihre Antworten, Nachweise und Begründungen an einem Ort, sodass Sie diese bei der Verlängerung und während eines Cyber Essentials Plus-Audits wiederverwenden können.
Wie ist die Selbsteinschätzung aufgebaut?
Der Fragebogen ist in drei logische Teile gegliedert. Wenn Sie sich die Struktur vorab im Kopf verinnerlichen, beschleunigt das den Beantwortungsprozess erheblich.
- Unternehmensinformationen und Tätigkeitsbereich — Rechtseinheit, Branche, Größe, Standort und eine schriftliche Beschreibung dessen, was zum Geltungsbereich gehört und was nicht. Dies bestimmt alle nachfolgenden Antworten.
- Versicherungserklärung — Einige Fragen zur inkludierten Cyberversicherung für in Großbritannien ansässige Organisationen mit einem Umsatz unter 20 Millionen Pfund.
- Technische Kontrollen — Der Hauptteil des Fragebogens. Rund 80 Fragen, die in fünf Kontrollthemen unterteilt sind. Jedes Thema prüft einen anderen Aspekt Ihrer Umgebung.
Entscheidend ist, dass Ihre Antworten im Abschnitt zu den technischen Kontrollen gelten müssen für alles Im Rahmen des von Ihnen angegebenen Umfangs. Sollten Sie einen Teil des Geschäfts ausschließen, müssen Sie dies klar angeben und diesen Bereich eindeutig abgrenzen. Unvollständige Antworten sind neben nicht unterstützter Software im Geltungsbereich der häufigste Grund für eine erneute Einreichung.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Was sind die fünf Kontrollbereiche und welche Fragen werden jeweils gestellt?
Die fünf technischen Kontrollthemen sind die gleichen, egal ob Sie sich für Cyber Essentials oder Cyber Essentials entscheiden. Cyber Essentials PlusDer Unterschied besteht darin, dass Plus zusätzlich ein unabhängiges technisches Audit vor Ort oder per Fernzugriff durchführt; die Selbsteinschätzung bildet die Grundlage dafür. Die folgende Tabelle fasst zusammen, was die einzelnen Kontrollbereiche umfassen und welche Fragen Sie erwarten können.
| Kontrollbereich | Was es abdeckt | Beispielfragen |
|---|---|---|
| 1. Firewalls und Internet-Gateways | Grenzfirewalls schützen Ihr Büronetzwerk, zusätzlich gibt es hostbasierte Firewalls auf Geräten, die außerhalb des Büros verwendet werden (z. B. im Homeoffice oder an flexiblen Arbeitsplätzen). | Ändern Sie die Standardpasswörter Ihrer Firewall? Sind die Regeln für eingehenden Datenverkehr dokumentiert, genehmigt und überprüft? Sind administrative Schnittstellen vom Internet abgeschirmt oder durch Multi-Faktor-Authentifizierung geschützt? |
| 2. Sichere Konfiguration | Entfernen von Standardkonten, ungenutzter Software und unnötigen Diensten von Servern, Endgeräten, Mobilgeräten und Cloud-Diensten. | Haben Sie nicht verwendete Benutzerkonten entfernt oder deaktiviert? Wurden die Standardpasswörter auf allen betroffenen Geräten geändert? Ist die automatische Ausführung deaktiviert? Sind die Anmeldeinformationen zum Entsperren des Geräts mindestens 6 Zeichen lang und gegen Brute-Force-Angriffe geschützt? |
| 3. Benutzerzugriffskontrolle | Kontoerstellung, Berechtigungsverwaltung, Trennung von Administrator- und Standardkonten sowie Multi-Faktor-Authentifizierung bei Cloud-Diensten. | Gibt es einen dokumentierten Genehmigungsprozess für Benutzerkonten? Werden Administratorkonten ausschließlich für administrative Aufgaben verwendet? Ist die Multi-Faktor-Authentifizierung (MFA) für Benutzer und Administratoren in allen Cloud-Diensten aktiviert? Werden die Konten ausscheidender Mitarbeiter umgehend gelöscht? |
| 4. Malware-Schutz | Anti-Malware, Zulassungslisten für Anwendungen oder Sandboxing auf allen betroffenen Geräten, einschließlich BYOD und Mobilgeräten. | Welcher Malware-Schutzmechanismus wird auf den jeweiligen Gerätetypen verwendet? Werden die Signaturen täglich aktualisiert? Wird Benutzern die Ausführung von Software aus nicht vertrauenswürdigen Quellen untersagt? |
| 5. Verwaltung von Sicherheitsupdates | Patchen von Betriebssystemen, Anwendungen und Firmware innerhalb festgelegter Zeiträume; Entfernung nicht mehr unterstützter Software. | Ist die automatische Aktualisierung, wo möglich, aktiviert? Werden risikoreiche und kritische Updates innerhalb von 14 Tagen nach Veröffentlichung installiert? Wird Software verwendet, die vom Hersteller nicht mehr unterstützt wird? |
Wie definiert man seinen Geltungsbereich korrekt?
Der häufigste Grund für das Scheitern von Organisationen oder die Notwendigkeit, Fragen erneut zu beantworten, ist ein unzureichend definierter Umfang. Daher ist es wichtig, diesen Umfang sorgfältig festzulegen. Er muss alle Bereiche Ihrer Organisation umfassen, über die ein Angreifer realistischerweise an Ihre sensiblen Daten gelangen könnte. Die Standardoption und ausdrücklich empfohlene ist „gesamte Organisation“. Sie können den Umfang jedoch auch nach Geschäftsbereichen festlegen, sofern Sie eine klare technische und physische Trennung zwischen den relevanten und nicht relevanten Bereichen nachweisen können.
Für welche Option Sie sich auch entscheiden, Sie müssen in der Lage sein, diese zu beschreiben und zu belegen:
- Betroffene Benutzer — Alle Mitarbeiter, Auftragnehmer und Dritte mit Zugriff auf die betroffenen Systeme, einschließlich Remote-Mitarbeiter. Kundenkonten Ihrer eigenen Dienste sind nicht betroffen.
- Betroffene Geräte — Sämtliche Laptops, Desktop-Computer, Tablets, Mobiltelefone und Server, die zum Zugriff auf Organisationsdaten oder -dienste verwendet werden, einschließlich persönlich besessener Geräte (BYOD), die für dienstliche E-Mails oder Dateien verwendet werden.
- Geltungsbereich — Büros, Heimarbeitsplätze und alle von Ihnen betriebenen Rechenzentren oder Colocation-Einrichtungen.
- Cloud-Dienste im Geltungsbereich — Sämtliche Software-as-a-Service-, Platform-as-a-Service- und Infrastructure-as-a-Service-Dienste, die Organisationsdaten enthalten. Seit dem Update von 2022 ist die Cloud explizit eingeschlossen und kann nicht mehr ausgeschlossen werden.
Beschreiben Sie den Geltungsbereich in einfacher Sprache, bevor Sie technische Fragen beantworten. Können Sie die Grenzen nicht präzise beschreiben, kann der Gutachter nicht bestätigen, ob Ihre Kontrollmaßnahmen ausreichend sind.
Wie sollten Sie sich vorbereiten, bevor Sie den Fragebogen öffnen?
Der Großteil der Arbeit findet statt, bevor Sie sich im IASME-Portal anmelden. Wenn Sie die richtigen Nachweise vorlegen, verkürzt sich die Bearbeitungszeit von Wochen auf Tage.
Erstellen Sie ein Anlagenverzeichnis
Führen Sie alle Geräte, Server, Cloud-Dienste und Benutzerkontos im Geltungsbereich auf, einschließlich Betriebssystem- bzw. Softwareversion, Datum des letzten Updates und zugewiesenem Benutzer. Dies ist das wichtigste Dokument für die Selbstbewertung und wird bei der Verlängerung wiederverwendet. ISMS.online Beinhaltet ein Anlagenregister, das direkt den Kontrollbereichen von Cyber Essentials zugeordnet ist, sodass Sie jederzeit eine auf den jeweiligen Anwendungsbereich zugeschnittene Liste abrufen können.
Sammeln Sie Richtliniendokumente
Sie benötigen keine tausendseitige Richtliniensammlung, aber der Prüfer erwartet prägnante, schriftliche Prozessbeschreibungen zu folgenden Themen: Genehmigung und Abmeldung von Benutzerkonten, Patching, Passwort- und MFA-Standards, Malware-Schutz und Homeoffice. Kurze, aktuelle und freigegebene Dokumente sind längeren und theoretischen Dokumentationen vorzuziehen.
Sammeln Sie Belege.
Geben Sie für jeden Kontrollbereich den Screenshot, den Konfigurationsexport oder den Systembericht an, den Sie im Falle einer Überprüfung vorlegen würden. Bei der Einreichung für Cyber Essentials müssen Sie keine Nachweise hochladen (bei Cyber Plus ist dies anders), der Prüfer kann diese jedoch anfordern. Sie benötigen sie außerdem bei der Verlängerung und bei jedem Plus-Audit. Gängige Nachweise sind: MDM-Konfigurationsbildschirme, Richtlinien für bedingten Zugriff, Patching-Dashboards, Kontoüberprüfungen und Firewall-Regelexporte.
Vor dem Spaziergang die Fragen
Der vollständige Fragenkatalog ist vor der Einreichung bei IASME erhältlich. Lesen Sie ihn sorgfältig durch, markieren Sie alle Fragen, die Sie nicht sicher mit „Ja“ beantworten können, und nutzen Sie diese Liste als Ihren Plan zur Fehlerbehebung. Unvorbereitet an die Prüfung heranzugehen, ist der häufigste Grund, warum Unternehmen zwei Versuche bezahlen müssen.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Wie werden die Fragen bewertet und was führt zum Nichtbestehen?
Jede Frage der technischen Kontrolle ist binär: Ja oder Nein. Es gibt keine Teilpunkte. Um die Zertifizierung zu erhalten, müssen Sie jede relevante Frage in den fünf Kontrollbereichen mit „Ja“ (oder einer gleichwertigen, konformen Antwort) beantworten können.
Für die meisten Fragen verlangt IASME zusätzlich eine kurze Freitext-Erläuterung, in der Sie beschreiben, wie Sie die Kontrollvorgabe erfüllen. Die Prüfer bewerten diese Erläuterungen anhand von drei Kriterien: Ist die Antwort fachlich korrekt? Stimmt sie mit den übrigen Angaben im Fragebogen überein? Deckt sie alle relevanten Gerätetypen oder Dienstleistungen ab? Ein „Ja“ ohne weitere Erläuterung oder eine Erläuterung, die einer vorherigen Antwort widerspricht, führt zu einer Nachfrage oder zum Nichtbestehen der Prüfung.
Wenn der Prüfer Mängel feststellt, haben Sie innerhalb von zwei Werktagen nach Erhalt des Feedbacks die Möglichkeit, diese zu beheben und Ihre Unterlagen kostenlos erneut einzureichen. Versäumen Sie diese Frist, müssen Sie den Zertifizierungsprozess (und die damit verbundenen Kosten) von vorne beginnen. Deshalb ist die Vorabprüfung der Fragen und Nachweise so wichtig – sobald die Frist beginnt, bleibt Ihnen nur sehr wenig Zeit für Korrekturen.
Was sind die häufigsten Fallstricke bei der Selbsteinschätzung?
Dieselbe Handvoll Probleme ist für den Großteil der nicht ausgefüllten und erneut eingereichten Fragebögen verantwortlich. Wenn Sie diese im Voraus kennen, können Sie sie in Ihre Vorabprüfungen einbeziehen.
- Nicht unterstützte Software im Geltungsbereich Ein einzelner Windows Server 2012 R2, eine ältere macOS-Version auf dem Laptop eines Geschäftsführers oder eine veraltete Java-Laufzeitumgebung führen zu einem Fehler im Abschnitt „Verwaltung von Sicherheitsupdates“. Führen Sie entweder ein Upgrade durch, isolieren Sie das System hinter einer streng geschützten Firewall oder entfernen Sie es vor der Einreichung.
- BYOD ohne angemessene Kontrollen Wenn Mitarbeiter private Smartphones oder Laptops für den Zugriff auf geschäftliche E-Mails oder Dateien nutzen, fallen diese Geräte unter die Regelungen und müssen alle fünf Kontrollkriterien erfüllen. BYOD-Geräte, die nicht unter Mobile Device Management (MDM) oder bedingten Zugriff fallen, gehören zu den häufigsten Fehlerquellen.
- Cloud-Dienste werden als nicht relevant betrachtet Seit 2022 fallen alle Cloud-Dienste, die Organisationsdaten speichern, unter die Regelung, darunter Microsoft 365, Google Workspace und alle von Ihrem Team genutzten SaaS-Lösungen. Die Multi-Faktor-Authentifizierung (MFA) ist für diese Dienste obligatorisch.
- Administratorkonten, die für die tägliche Arbeit verwendet werden — Domänenadministratorkonten dürfen nicht zum Lesen von E-Mails oder zum Surfen im Internet verwendet werden. Separate Konten sind erforderlich.
- MFA-Lücken — Jeder Cloud-Dienst, der MFA unterstützt, muss diese für alle Benutzer und Administratoren aktivieren. Dienstkonten ohne MFA müssen dokumentiert und auf andere Weise geschützt werden.
- Unklare Beschreibungen des Geltungsbereichs — „Geschäftstätigkeiten in Großbritannien“ ist kein Geltungsbereich. „Acme Ltd, Büro in Großbritannien, 42 Mitarbeiter-Laptops, Microsoft 365, AWS-Produktions-VPC“ hingegen schon.
Fast alle diese Probleme lassen sich vermeiden, indem Sie vor dem Öffnen des offiziellen Fragebogens eine interne Vorabprüfung anhand der veröffentlichten Fragen durchführen. Einen ungefähren Zeitplan inklusive Korrekturmaßnahmen finden Sie in unserer Übersicht. wie lange Cyber Essentials von Anfang bis Ende dauert.
Wie reicht man die Unterlagen ein und was passiert dann?
Die Einreichung erfolgt vollständig über das IASME Cyber Essentials-Portal. Sie erwerben Ihre Bewertung (die Preise sind nach Unternehmensgröße gestaffelt; siehe unseren Leitfaden). Cyber Essentials Kosten), erhalten Sie ein Portalkonto, füllen Sie den Fragebogen online aus und reichen Sie ihn zur Überprüfung durch den Gutachter ein.
- Über das Portal einreichen — Ein Unterzeichner auf Vorstandsebene bestätigt vor der Einreichung die Richtigkeit der Antworten.
- Überprüfung durch den Gutachter (in der Regel 1–3 Werktage) — Ein von IASME akkreditierter Gutachter prüft Ihre Antworten anhand der veröffentlichten Cyber Essentials-Anforderungen für IT-Infrastrukturen.
- Ergebnis — Entweder erhalten Sie eine positive Bewertung (Zertifikat wird ausgestellt, Eintrag im IASME-Register) oder eine Rückmeldung, in der die festgestellten Verstöße aufgeführt werden.
- Erneute Einreichung (falls erforderlich) Sie haben zwei Werktage Zeit, die Probleme zu beheben und die Unterlagen erneut einzureichen. Ein Korrekturversuch ist kostenlos; für weitere Versuche ist ein erneuter Kauf erforderlich.
- Zertifizierungsanforderungen Bei erfolgreichem Bestehen erhalten Sie ein 12-monatiges Cyber Essentials-Zertifikat. Optional erhalten Sie außerdem eine Cyberversicherung, sofern Sie die Voraussetzungen erfüllen.
Wenn Sie anschließend die Zertifizierung Cyber Essentials Plus absolvieren möchten, müssen Sie dies innerhalb von drei Monaten nach Bestehen Ihrer Selbsteinschätzung tun. Andernfalls müssen Sie den Fragebogen zuerst erneut ausfüllen.
Warum sollten Sie ISMS.online für die Cyber Essentials Selbstbewertung wählen?
- Vorgefertigter Fragebogen-Arbeitsbereich - ISMS.online Es spiegelt den IASME-Fragenkatalog wider, sodass Sie Antworten intern entwerfen, überprüfen und genehmigen können, bevor sie im Portal veröffentlicht werden.
- Integriertes Anlagenregister — Alle relevanten Geräte, Benutzer und Cloud-Dienste werden an einem Ort erfasst, inklusive Patch-Status und Eigentumsverhältnissen zum Nachweis.
- Richtlinienvorlagen, die auf die fünf Kontrollmechanismen abgestimmt sind — Anpassbare Richtlinien für Firewalls, sichere Konfiguration, Zugriffskontrolle, Malware-Schutz und Sicherheitsupdate-Management, geschrieben für britische KMU, nicht für Großunternehmen.
- Evidenzbibliothek — Laden Sie Screenshots, Exporte und Konfigurations-Snapshots einmalig hoch und verknüpfen Sie diese mit allen relevanten Steuerelementen zur Überprüfung durch den Gutachter oder für ein zukünftiges Plus-Audit.
- Zusammenarbeit und Freigabe — Weisen Sie die Fragen dem richtigen Verantwortlichen zu, verfolgen Sie den Fortschritt und holen Sie die Zustimmung des Vorstands ein, bevor Sie die Fragen an die IASME senden.
- Erneuerungsbereit — Die Antworten, Beweise und die Anlagenliste des Vorjahres bleiben erhalten, sodass die Erneuerung eher einer Anpassung als einem kompletten Neustart gleicht.
- Multi-Framework-Nutzung — Die gleichen Beweise stützen ISO 27001 , SOC 2 und andere Frameworks, die Sie als nächstes anwenden könnten, damit Ihre Arbeit im Bereich Cyber Essentials niemals verworfen wird.
Verwandte Leitfäden zu Cyber Essentials
Setzen Sie Ihre Reise zu Cyber Essentials mit den anderen Leitfäden dieser Reihe fort:
- Anforderungen an Cyber Essentials — Die fünf Kontrollbereiche, die Festlegung des Untersuchungsbereichs und welche Nachweise die Gutachter berücksichtigen.
- Cyber Essentials Kosten — IASME-Preisstaffelung, Zuschlagskosten, versteckte Kosten und 3-Jahres-Gesamtkosten für britische Unternehmen.
- Lohnt sich Cyber Essentials? — Eine ehrliche Einschätzung der Vorteile, Nachteile und wer tatsächlich eine Zertifizierung benötigt.
- Anforderungen für Cyber Essentials Plus — Das technische Audit, die Schwachstellenscans und die Vorteile von Plus gegenüber der Basiszertifizierung.
- Wie lange dauert der Kurs Cyber Essentials? — Typischer Zeitplan in Großbritannien, beschleunigte Verfahren und Faktoren, die den Prozess verlangsamen.
- Cyber Essentials-Verlängerung — Der 12-Monats-Zyklus, die Kontrolländerungen im Jahr 2026 und wie man sich 60 Tage vorher darauf vorbereiten kann.
- Cyber-Grundlagen für kleine Unternehmen — SMB-spezifische Preisgestaltung, Leistungsumfang und Kosten-Nutzen-Analyse.
- Cyber Essentials vs ISO 27001 — Vergleich von Umfang, Kosten, Zeitaufwand und Anerkennung.
Häufig gestellte Fragen
Wie lange dauert die Durchführung der Cyber Essentials-Selbstbewertung?
Gut vorbereitete britische KMU benötigen für die Selbsteinschätzung in der Regel zwei bis drei Wochen: etwa eine Woche für die Bedarfsanalyse und die Sammlung von Nachweisen, eine Woche für die Erstellung und interne Überprüfung der Antworten und einige Tage für die Einreichung und Beantwortung des Feedbacks der Prüfer. Organisationen, die vor Beginn der Selbsteinschätzung keine Anpassungen, Sicherheitsmaßnahmen oder eine vollständige Implementierung der Multi-Faktor-Authentifizierung (MFA) vorgenommen haben, sollten mit sechs bis acht Wochen rechnen, da die Behebung der Mängel und nicht der Papierkram den größten Zeitaufwand darstellt.
Müssen wir auch private Geräte (BYOD) miteinbeziehen?
Ja, wenn diese Geräte für den Zugriff auf Unternehmensdaten, geschäftliche E-Mails, Dateien oder Cloud-Dienste verwendet werden. Die einzige Möglichkeit, BYOD vom Geltungsbereich auszuschließen, besteht darin, den Zugriff auf alle relevanten Inhalte technisch zu blockieren, beispielsweise durch die Durchsetzung von Zugriffsrichtlinien, die ein verwaltetes Gerät erfordern. Wenn BYOD zulässig ist, muss es alle fünf Kontrollkriterien genauso erfüllen wie ein Firmengerät.
Was passiert, wenn wir die Selbsteinschätzung nicht bestehen?
Sie erhalten vom IASME-Gutachter eine Rückmeldung, in der die konkreten Abweichungen aufgeführt sind. Sie haben zwei Werktage Zeit, diese kostenlos zu beheben und Ihre Unterlagen erneut einzureichen. Sollten Sie die Probleme innerhalb dieses Zeitraums nicht beheben können, wird Ihr Antrag abgelehnt und Sie müssen eine neue Bewertung erwerben, um es erneut zu versuchen. Aus diesem Grund ist es so wichtig, vor dem Öffnen des offiziellen Fragebogens eine interne Vorbewertung anhand des veröffentlichten Fragenkatalogs durchzuführen.
Reicht die Selbsteinschätzung allein aus, oder benötigen wir Cyber Essentials Plus?
Eine Selbsteinschätzung (manchmal auch „Basis“-Cyber Essentials genannt) ist für die meisten Verträge des öffentlichen Sektors im Vereinigten Königreich gemäß den Richtlinien der Zentralregierung und zur allgemeinen Absicherung der Lieferkette ausreichend. Cyber Essentials Plus beinhaltet zusätzlich ein unabhängiges technisches Audit und wird zunehmend für Verträge mit dem Verteidigungsministerium, Datenverarbeiter im Nationalen Gesundheitsdienst (NHS) und größere Unternehmensbeschaffungen gefordert. Falls vertragliche Anforderungen bestehen, prüfen Sie den Wortlaut; andernfalls ist die Selbsteinschätzung der Standardbeginn.
Wer in der Organisation muss die Selbsteinschätzung unterzeichnen?
Ein Unterzeichner auf Vorstandsebene – in der Regel ein Direktor, CEO, Eigentümer oder CISO – muss bestätigen, dass die Antworten im Fragebogen nach bestem Wissen und Gewissen korrekt sind, bevor dieser an die IASME übermittelt wird. Diese Bestätigung ist vertraglich bindend; daher sollte der Unterzeichner die Antworten sorgfältig prüfen und nicht einfach absegnen. ISMS.online unterstützt den internen Prüfprozess, sodass der Unterzeichner eine saubere, genehmigte Version und nicht einen halb bearbeiteten Entwurf sieht.
Wie oft müssen wir die Selbsteinschätzung wiederholen?
Die Cyber Essentials-Zertifizierung ist 12 Monate gültig. Um Ihre Zertifizierung aufrechtzuerhalten, führen Sie jährlich eine neue Selbsteinschätzung durch. Der Fragebogen für die Verlängerung ist derselbe wie der ursprüngliche. Wenn Sie Ihr Anlagenverzeichnis, Ihre Richtlinien und Nachweise in der Zwischenzeit aktualisiert haben, dauert die Verlängerung in der Regel nur wenige Tage statt Wochen. Weitere Informationen finden Sie auf unserer Übersichtsseite. Cyber-Grundlagen für den umfassenderen Kontext des Vorhabens.
