Wir freuen uns, mitteilen zu können, dass ISMS.online die erneute Zertifizierung nach Cyber ​​Essentials erhalten hat, dem von der britischen Regierung geförderten Cybersicherheitsprogramm. Unsere erneute Zertifizierung bestätigt, dass wir uns weiterhin um Schwachstellen kümmern und im gesamten Unternehmen wirksame Cybersicherheitskontrollen implementiert haben, um eine robuste Verteidigung gegen eine Reihe von Cyberbedrohungen zu gewährleisten. 

Nutze einfach das Überprüfen Sie die Cyber ​​Essentials-Zertifizierung von ISMS.online und die vielen anderen Cyber-Standards, die wir in unserem Trust Center pflegen.

Anlässlich unserer erfolgreichen Rezertifizierung nach Cyber ​​Essentials geben wir Informationen zum Cyber ​​Essentials-Programm weiter. Außerdem geben wir Einblicke von unserem IMS-Manager Mike Jennings in unsere Erkenntnisse aus der Rezertifizierung und informieren Sie über die Ansätze, die Ihre Organisation verfolgen kann, um die Zertifizierung zu erreichen.

Was ist Cyber ​​Essentials?

Das von der britischen Regierung geförderte Programm „Cyber ​​Essentials“ ermöglicht es Organisationen, ihr Engagement für die Cybersicherheit unter Beweis zu stellen und die häufigsten Cyberangriffe zu verhindern, die oft auf die mangelnde Vorbereitung einer Organisation zurückzuführen sind.

Für Organisationen, die sich um bestimmte Regierungsaufträge bewerben, ist eine Zertifizierung erforderlich. Dies betrifft beispielsweise den Umgang mit vertraulichen und persönlichen Daten oder die Bereitstellung bestimmter technischer Produkte oder Dienstleistungen.

Cyber-Grundlagen deckt fünf Kernbereiche ab:

  • Firewall-Implementierung
  • Sichere Konfiguration von Netzwerk- und Benutzergeräten
  • Verwaltung von Sicherheitsupdates
  • Benutzerzugriffssteuerung
  • Malware Schutz

Ebenen der Cyber ​​Essentials-Bewertung

Cyber-Grundlagen beinhaltet eine Selbstbewertung. Organisationen bewerten sich selbst anhand der fünf von Cyber ​​Essentials abgedeckten Bereiche und ein qualifizierter Gutachter überprüft die bereitgestellten Informationen unabhängig.

Cyber ​​Essentials Plus ist ein technisches Audit, bei dem ein Gutachter die Büros der Organisation besucht, um Tests durchzuführen. Es muss innerhalb von drei Monaten nach der Cyber ​​Essentials-Zertifizierung abgeschlossen sein.

Die Kosten für die Cyber ​​Essentials-Zertifizierung hängen von der Größe Ihrer Organisation und, bei Cyber ​​Essentials Plus, von der Größe und Komplexität Ihres Netzwerks ab.

Warum sollte meine Organisation eine Cyber ​​Essentials-Zertifizierung erwerben?

Mike Jennings, IMS-Manager bei ISMS.online, sagt: „Cyber ​​Essentials sorgt nicht nur dafür, dass Sie Ihr Unternehmen sicher führen, indem es Ihnen grundlegende Richtlinien und Kontrollen zur Informationssicherheit nach bewährten Verfahren bietet, sondern stärkt auch Ihren Ruf als vertrauenswürdiger Lieferant. Darüber hinaus kann Ihnen die Zertifizierung unter bestimmten Kriterien eine Art „kostenlose“ Cyber-Versicherung bieten.“

Wenn Sie es bereits sind ISO 27001 und ISO 27701 zertifiziert sind, gibt es mehrere Gründe, warum Sie für Ihr Unternehmen eine Cyber ​​Essentials-Zertifizierung in Betracht ziehen könnten:

  • Möglicherweise haben Sie einen Kunden, der vertraglich eine Zertifizierung Ihrer Organisation verlangt (und wie bereits erwähnt, ist eine Zertifizierung häufig eine Voraussetzung für Regierungsaufträge).
  • Die Cyber ​​Essentials-Zertifizierung schafft Vertrauen und gibt Kunden die Gewissheit, dass Sie über spezifische technische Implementierungen verfügen
  • Sie können Ihre IT-Systeme besser vor Cyberangriffen schützen
  • Die Zertifizierung kann neue Interessenten und neue Geschäfte anziehen, da Sie wissen, dass Sie über Cybersicherheitsmaßnahmen verfügen.
  • Nach der Cyber ​​Essentials-Zertifizierung hat Ihr Unternehmen möglicherweise Anspruch auf eine kostenlose Cybersicherheitsversicherung. Ausführliche Informationen finden Sie unter IASME.co.uk.

Mike teilt mit: „Ein ISO 27001-konformes Informationssicherheits-Managementsystem (ISMS) hilft enorm beim Erreichen der Cyber ​​Essentials-Zertifizierung, da viele der Richtlinien und Kontrollen bereits etabliert sind und den Nachweis erbringen können, dass die CE-Anforderungen erfüllt werden, was den Prozess effizienter macht. 

„Es gibt einige subtile Unterschiede bei den für CE erforderlichen Informationen im Vergleich zu ISO 27001. Mithilfe des von ISMS.online bereitgestellten CE-Frameworks können diese Informationen jedoch problemlos aufgezeichnet und abgerufen werden, und zwar an einem Ort.“

So gehen Sie die Cyber ​​Essentials-Zertifizierung an

Im April 3.1 wurde vom National Cyber ​​Security Centre (NCSC) ein aktualisierter Satz von Anforderungen an die IT-Infrastruktur (v2023) herausgegeben. Dieser Satz von Anforderungen, bekannt als Montpelier-Profil, ist eine wichtige Lektüre für alle Organisationen, die eine Bewertung in Erwägung ziehen, um zu verstehen, was für die Einhaltung der Cyber ​​Essentials erforderlich ist. Tatsächlich werden Sie im Rahmen des Zertifizierungsprozesses gefragt, ob Sie dieses Dokument gelesen haben.

Sie können den vollständigen Fragensatz auch zur Vorbereitung auf die Prüfung und vor dem Absenden Ihrer Antworten über das Online-Portal herunterladen. Der Fragensatz kann kostenlos von der IASME-Website heruntergeladen werden. Eine Einladung zum Online-Portal wird Ihrem benannten Vertreter gesendet, sobald die Prüfungsgebühr bezahlt wurde.

Außerdem ist bei IASME ein Cyber ​​Essentials-Readiness-Tool erhältlich, das Ihr Unternehmen bei der Vorbereitung unterstützt. für die Einhaltung.

Mike sagt: „Es gibt bestimmte Informationen, die Sie für Cyber ​​Essentials weitergeben müssen, die jedoch keine Voraussetzung für die Einhaltung der ISO-Standards sind. Dies bezieht sich hauptsächlich auf die Identifizierung der Software-Builds der Endbenutzer-Asset-Basis, um sicherzustellen, dass sie den neuesten Versionen entsprechen, die noch durch Sicherheitsupgrades unterstützt werden. 

„Dies verdeutlicht die subtilen Unterschiede zwischen der Einhaltung von CE und ISO 27001. CE hat in seinen Anforderungen strengere und binärere Vorgaben als ISO 27001, das risikobasiert ist und eine gewisse Flexibilität je nach Risikograd und Risikomanagement zulässt.“

Wie ISMS.online die Rezertifizierung von Cyber ​​Essentials angegangen ist

Die Mitwirkung Ihres IT-Managers ist für die Bewertung von entscheidender Bedeutung, da Sie alle Benutzer- und Netzwerkgeräte einschließlich der Versionsnummer des Betriebssystems und aller verwendeten Cloud-Dienste angeben müssen.

Unter Einbeziehung unseres IT-Managers haben wir unser spezielles Cyber ​​Essentials-Bewertungsteam zusammengestellt. Anschließend überprüfte das Team das Cyber ​​Essentials-Anforderungsdokument und den Fragenkatalog, um Bereiche zu identifizieren, in denen möglicherweise Richtlinien- oder Konfigurationsänderungen erforderlich sind.

Mike fügt hinzu: „Dies war eine CE-Neuzertifizierung, daher waren uns die Montpelier-Anforderungen bereits bekannt, obwohl wir prüfen mussten, ob es im Vergleich zum letzten Jahr geringfügige Änderungen bei den Anforderungen gab. Es schien, als wäre eine höhere Granularität bei den OS-Build-Levels erforderlich, um die Anforderungen dieses Jahr zu erfüllen. Wir mussten außerdem eines der OS-Levels unserer Systeme aktualisieren.“

Wir haben auch den Umfang der Bewertung berücksichtigt. Wie bei anderen Arten von Zertifizierungen wie ISO 27001 empfehlen wir, die gesamte Organisation in den Umfang Ihrer Cyber ​​Essentials-Bewertung einzubeziehen. Ihre Organisation hat nur dann Anspruch auf eine kostenlose Cyber-Versicherung, wenn die gesamte Organisation im Umfang enthalten ist.

Nachdem der Umfang festgelegt war, beantwortete das Team Fragen zu den fünf technischen Bereichen unseres Netzwerks und unserer Benutzergeräte. Die folgende Liste ist nicht vollständig und es sollte immer auf das Anforderungsdokument und den Fragenkatalog verwiesen werden. Wichtige Überlegungen sind jedoch:

  • An den Netzwerkgrenzen müssen Firewalls installiert werden. Wenn Heimarbeiter Geräte ohne VPN verwenden, müssen Software-Firewalls in die Betriebssysteme der Geräte integriert werden.
  • Sie müssen alle Benutzer- und Netzwerkgeräte detailliert beschreiben, einschließlich Betriebssysteme, Versionen und Mobilgeräte. Hinweis: Obwohl es sich nicht um eine spezifische Cyber ​​Essentials-Kontrolle handelt, Vermögensverwaltung sollte als zentrale Sicherheitsfunktion betrachtet werden und kann Ihrer Organisation helfen, die technischen Kontrollen zu erfüllen
  • Alle Cloud-Dienste, die Ihre Organisation nutzt, fallen ebenfalls in den Geltungsbereich
  • Alle risikoreichen und kritischen Sicherheitsupdates für Anwendungen müssen innerhalb von 14 Tagen nach der Veröffentlichung installiert werden. Dies gilt auch für Firmware auf Firewalls und Routern.
  • Sie müssen über technische Kontrollen und Richtlinien für Benutzer- und Administratorkonten sowie die Authentifizierung verfügen. Für alle Cloud-Dienste muss eine Multi-Faktor-Authentifizierung verwendet werden.
  • Alle Geräte müssen vor Malware geschützt werden, indem entweder eine Anti-Malware-Software installiert wird und/oder die Installation von Anwendungen eingeschränkt wird, z. B. durch die Verwendung eines App Stores.

Wenn Sie bereits implementiert haben Sie verfügen über Informationssicherheitskontrollen oder sind mit ISO 27001 konform, Ihre bestehenden Richtlinien helfen bei der Beantwortung einiger Fragen.

Die besten Tipps von ISMS.online zum Erreichen der Cyber ​​Essentials

  1. Verwenden Sie das Dokument „Anforderungen an die IT-Infrastruktur (v3.1)“, um festzustellen, was in Bezug auf BYOD (Bring Your Own Device), Remote-Arbeit, drahtlose Geräte, Benutzergeräte und Cloud-Dienste als innerhalb des Geltungsbereichs liegend betrachtet wird und was nicht.
  2. Die Verantwortung für die Implementierungskontrollen, ob bei der Organisation oder beim Cloud-Anbieter, hängt von der Art des Cloud-Dienstes ab: IaaS, PaaS oder SaaS.
  3. Der Montpelier-Fragensatz enthält auch Hinweise darauf, wo die Anforderung zur Einhaltung zwingend erforderlich ist. Ihr Cyber ​​Essentials-Bewertungsteam sollte den Fragensatz vor der Übermittlung überprüfen.
  4. Bevor die Antwort auf die Selbsteinschätzung dem unabhängigen Gutachter vorgelegt werden kann, muss sie von einem Mitglied der Geschäftsleitung der Organisation bestätigt werden.
  5. Möglicherweise erhalten Sie Feedback zur weiteren Erläuterung oder zu erforderlichen Änderungen. Sie müssen alle Änderungen innerhalb von zwei Arbeitstagen vor der erneuten Übermittlung abschließen.

Nach erfolgreichem Abschluss des Prozesses erhalten Sie die Bestätigung, dass Sie die Cyber ​​Essentials-Zertifizierung bestanden haben. Mit der Zertifizierung kann Ihr Unternehmen Ihren Kunden und Interessenten nachweisen, dass Sie Ihre IT gegen Cyberangriffe abgesichert haben. Ihr Zertifikat ist 12 Monate gültig.

Ihre Cyber ​​Essentials-Erfolgsgeschichte beginnt hier

Wenn Sie Ihre Reise zur Cyber ​​Essentials-Compliance beginnen möchten, kann ISMS.online Ihnen helfen.

Unsere Compliance-Plattform ermöglicht einen einfachen, sicheren und nachhaltigen Ansatz für Datenschutz und Informationsmanagement mit Cyber ​​Essentials und über 100 anderen Frameworks, darunter ISO 27001, NIST, Datenschutz, HIPAA und mehr. Sichern Sie sich noch heute Ihren Wettbewerbsvorteil.