ISMS.online erhält zum ersten Mal die Cyber Essentials-Zertifizierung

Von Mike Jennings • 7 September 2023

Wir freuen uns, Ihnen mitteilen zu können, dass ISMS.online die Cyber Essentials-Zertifizierung erhalten hat, was unseren Dienstleistungen ein zusätzliches Maß an Vertrauen verleiht und robuste und wirksame Cybersicherheitskontrollen in unserem gesamten Unternehmen bestätigt. Du kannst Sehen Sie sich unsere Zertifizierung und die vielen anderen Cyber-Standards an, die wir in unserem Trust Center pflegen.

Nachdem wir den Prozess zur Erlangung von Cyber Essentials (CE) durchlaufen haben, möchten wir einiges von dem, was wir dabei gelernt haben, weitergeben: die Definition der Zertifizierung, warum Sie sie möglicherweise erwerben müssen und welche Ansätze Unternehmen verfolgen können, um diese zu erreichen.

Was sind Cyber-Essentials?

Cyber-GrundlagenObwohl weniger umfassend als Standards wie ISO 27001, hat es eine eher technische Ausrichtung in Bezug auf Ihre Geräte und Netzwerkkonfiguration. Es umfasst fünf Bereiche:

Firewall-Implementierung
Sichere Konfiguration von Netzwerk- und Benutzergeräten
Verwaltung von Sicherheitsupdates,
Benutzerzugriffssteuerung
Malware Schutz

Cyber Essentials stellt den Basisstandard der britischen Regierung für Cybersicherheit im Vereinigten Königreich dar und wird vom IASME-Konsortium verwaltet.

Es gibt zwei Bewertungsebenen:

Cyber-Grundlagen
– ist eine unabhängig verifizierte Selbstbewertung, bei der sich Organisationen anhand von fünf grundlegenden Sicherheitskontrollen bewerten und ein qualifizierter Gutachter die bereitgestellten Informationen überprüft.
Cyber Essentials+

– ist ein technisches Audit, bei dem ein Gutachter die Büros der Organisation besucht, um Tests durchzuführen. Das CE+-Audit muss innerhalb von drei Monaten nach der CE-Zertifizierung abgeschlossen sein.

Die Kosten für die Cyber Essentials-Zertifizierung hängen von der Größe Ihres Unternehmens und bei Cyber Essentials+ von der Größe und Komplexität Ihres Netzwerks ab.

Warum sollten Unternehmen eine Cyber Essentials-Zertifizierung anstreben?

Warum, fragen Sie sich vielleicht, sollten Sie Cyber Essentials in Betracht ziehen, wenn Sie bereits nach ISO 27001 und ISO 27701 zertifiziert sind? Es kann mehrere Gründe geben:

Es handelt sich um eine vertragliche Anforderung eines Kunden (und häufig um eine Notwendigkeit für Regierungsverträge).
Baut Vertrauen auf und versichert Kunden, dass Sie über spezifische technische Implementierungen verfügen
um Ihre IT vor Cyber-Angriffen zu schützen
Gewinnen Sie neue Geschäfte mit dem Wissen, dass Sie über Cyber-Sicherheitsmaßnahmen verfügen
Ein zusätzlicher Vorteil besteht darin, dass Ihr Unternehmen nach der CE-Zertifizierung möglicherweise Anspruch auf eine kostenlose Cybersicherheitsversicherung hat. Ausführliche Informationen finden Sie unter: IASME.co.uk.

Praktische Ansätze zur Cyber Essentials-Zertifizierung

Ein neuer Satz von Anforderungen an die IT-Infrastruktur (v3.1), auch bekannt als Montpelier-Profil, wurde Anfang April 2023 vom NCSC herausgegeben. Dies ist eine unverzichtbare Lektüre für alle Organisationen, die sich einer Bewertung nähern, um die CE-Konformitätsanforderungen zu verstehen. Eine spezielle Frage lautet, ob dieses Dokument im Rahmen des Zertifizierungsprozesses gelesen wurde.

Zur Vorbereitung auf die Prüfung und vor der Übermittlung Ihrer Antworten über das Online-Portal empfiehlt es sich auch, den vollständigen Fragensatz herunterzuladen. Der Fragensatz kann kostenlos von der IASME-Website heruntergeladen werden. Sobald die Bewertungsgebühr bezahlt wurde, wird eine Einladung zum Online-Portal an Ihren benannten Vertreter gesendet.

Bei IASME ist auch ein Cyber Essentials-Bereitschaftstool erhältlich, das bei Bedarf bei der Vorbereitung auf CE hilft.

Wie ISMS.online die Cyber Essentials-Zertifizierung angegangen ist

Wir haben ein kleines Team zusammengestellt und das Anforderungsdokument und den Fragensatz überprüft, um alle Bereiche zu ermitteln, in denen potenzielle Richtlinien- oder Konfigurationsänderungen erforderlich sind.

Hervorzuheben ist, dass die Angabe aller Benutzer- und Netzwerkgeräte erforderlich ist, einschließlich der Versionsnummer des Betriebssystems und aller verwendeten Cloud-Dienste. Der IT-Manager der Organisation sollte ein wichtiges Teammitglied sein, das an der Bewertung beteiligt ist.

Eine erste Überlegung für das Team war der Umfang der Bewertung. Wir empfehlen, wie bei anderen Arten von Zertifizierungen auch die gesamte Organisation in die Bewertung einzubeziehen. Beachten Sie auch, dass Ihre Organisation nur dann Anspruch auf eine kostenlose Cyber-Versicherung hat, wenn die gesamte Organisation in den Versicherungsschutz einbezogen ist.

Anschließend galt es, Fragen zu den fünf technischen Bereichen rund um unser Netzwerk und unsere Endgeräte zu beantworten. Die Aufzählung erhebt keinen Anspruch auf Vollständigkeit und es sollte immer auf das Anforderungsdokument und den Fragensatz verwiesen werden. Einige wichtige Überlegungen sind jedoch:

Firewalls müssen an Netzwerkgrenzen eingesetzt werden – wenn Heimarbeiter Geräte verwenden und kein VPN verwenden, müssen Software-Firewalls in das Betriebssystem der Geräte integriert werden.
Es ist erforderlich, alle Benutzer- und Netzwerkgeräte detailliert anzugeben, einschließlich Betriebssystemen, Versionen und Mobilgeräten. Hinweis: Obwohl es sich nicht um eine spezifische CE-Kontrolle handelt, Vermögensverwaltung sollte als zentrale Sicherheitsfunktion betrachtet werden und kann dazu beitragen, die technischen Kontrollen einzuhalten.
Alle Cloud-Dienste, die die Organisation nutzt, fallen ebenfalls in den Geltungsbereich.
Die risikoreichen und kritischen Sicherheitsupdates aller Anwendungen müssen innerhalb von 14 Tagen nach Veröffentlichung installiert werden. Dazu gehört auch Firmware auf Firewalls und Routern.
Es sind technische Kontrollen und Richtlinien für Benutzer- und Administratorkonten sowie die Authentifizierung erforderlich. MFA muss für alle Cloud-Dienste verwendet werden.
Alle Geräte müssen vor Malware geschützt werden, indem entweder Anti-Malware-Software installiert ist und/oder die Installation von Anwendungen eingeschränkt wird, z. B. durch die Nutzung eines App Stores.

Falls Sie es bereits überlegt haben Sie verfügen über Informationssicherheitskontrollen oder sind mit ISO 27001 konform, Ihre bestehenden Richtlinien helfen bei der Beantwortung einiger Fragen.

Unsere Top-Tipps für den Umgang mit Cyber Essentials

Das Dokument „Anforderungen an die IT-Infrastruktur (v3.1)“ legt fest, was in Bezug auf BYOD, Remote-Arbeit, drahtlose Geräte, Benutzergeräte und Cloud-Dienste in den Geltungsbereich fällt und was nicht.
Die Verantwortung für die Implementierungskontrollen, ob bei der Organisation oder beim Cloud-Anbieter, hängt von der Art des Cloud-Dienstes ab: IaaS, PaaS oder SaaS.
Der kostenlos herunterladbare Montpelier-Fragensatz enthält außerdem Anleitungen, die angeben, wo die Anforderung für die Einhaltung zwingend erforderlich ist. Das Bewertungsteam sollte den Fragensatz vor der Einreichung über das Portal überprüfen.
Die Antwort auf die Selbstbewertung muss von einem Mitglied des Führungsteams der Organisation bestätigt werden, bevor die Übermittlung an den unabhängigen Gutachter abgeschlossen werden kann.
Möglicherweise erhalten Sie Feedback zur weiteren Klärung oder für erforderliche Änderungen. Alle Änderungen müssen innerhalb von zwei Arbeitstagen vor der erneuten Einreichung abgeschlossen sein.

Sobald Sie den Prozess erfolgreich abgeschlossen haben, erhalten Sie die Meldung, dass Sie die Cyber Essentials-Zertifizierung bestanden haben und auch Ihre Organisation kann Ihren Kunden und Interessenten nachweisen, dass Sie Ihre IT gegen Cyber-Angriffe abgesichert haben. Ihr Zertifikat ist 12 Monate gültig.

Ihre Cyber Essentials-Erfolgsgeschichte beginnt hier

Wenn Sie Ihre Reise zur Cyber Essentials-Compliance beginnen möchten, kann ISMS.online Ihnen helfen.

Unsere Compliance-Plattform ermöglicht einen einfachen, sicheren und nachhaltigen Ansatz für Datenschutz und Informationsmanagement mit Cyber Essentials und über 100 anderen Frameworks, darunter ISO 27001, NIST, Datenschutz, HIPPA und mehr. Erkennen Sie noch heute Ihren Wettbewerbsvorteil.

Sprechen Sie mit einem Experten

Mike Jennings

Mike ist der Manager des Integrierten Managementsystems (IMS) hier bei ISMS.online. Zusätzlich zu seiner täglichen Verantwortung, dafür zu sorgen, dass das IMS-Sicherheitsvorfallsmanagement, Bedrohungsinformationen, Korrekturmaßnahmen, Risikobewertungen und Audits effektiv verwaltet und auf dem neuesten Stand gehalten werden, ist Mike ein zertifizierter leitender Auditor für ISO 27001 und ist dies auch weiterhin Er vertieft seine weiteren Fähigkeiten in den Bereichen Informationssicherheit und Datenschutzmanagement-Standards und -Frameworks, darunter Cyber Essentials, ISO 27001 und viele mehr.