We zijn verheugd te kunnen meedelen dat ISMS.online de Cyber ​​Essentials-certificering heeft behaald, wat extra vertrouwen aan onze diensten toevoegt en robuuste en effectieve cyberbeveiligingscontroles in onze hele organisatie bevestigt. Jij kan bekijk onze certificering en de vele andere cyberstandaarden die we handhaven in ons Trust Center.

Nadat we het proces van het behalen van Cyber ​​Essentials (CE) hebben doorlopen, willen we iets delen van wat we onderweg hebben geleerd, de certificering definiëren, waarom u deze mogelijk moet behalen en welke aanpak organisaties kunnen volgen om deze te bereiken.

Wat is Cyber ​​Essentials?

Cyberbenodigdheden, hoewel minder breed dan standaarden zoals ISO 27001, heeft een meer technische inslag met betrekking tot uw apparaten en netwerkconfiguratie. Het bestrijkt vijf gebieden:

  • Firewall-implementatie
  • Veilige configuratie van netwerk- en gebruikersapparaten
  • Beheer van beveiligingsupdates,
  • Gebruikerstoegangsbeheer
  • Malware bescherming

 

Cyber ​​Essentials vertegenwoordigt de basisnorm van de Britse overheid voor cyberbeveiliging in het Verenigd Koninkrijk en wordt beheerd door het IASME-consortium.

Er zijn twee beoordelingsniveaus:

  • Cyberbenodigdheden 

    – is een onafhankelijk geverifieerde zelfbeoordeling, waarbij organisaties zichzelf beoordelen aan de hand van vijf basisveiligheidscontroles, en een gekwalificeerde beoordelaar de verstrekte informatie verifieert.

  • Cyberessentials+

– is een technische audit waarbij een beoordelaar de kantoren van de organisatie bezoekt om tests uit te voeren. De CE+ audit dient binnen drie maanden na CE-certificering afgerond te zijn.

De kosten voor Cyber ​​Essentials-certificering zijn afhankelijk van de grootte van uw organisatie en, voor Cyber ​​Essentials+, de omvang en complexiteit van uw netwerk.

Waarom moeten organisaties Cyber ​​Essentials-certificering nastreven?

Waarom, vraagt ​​u zich misschien af, zou u Cyber ​​Essentials overwegen als u al ISO 27001- en ISO 27701-gecertificeerd bent? Er kunnen verschillende redenen zijn:

  • Het is een contractuele vereiste van een klant (en vaak een behoefte aan overheidscontracten)
  • Bouwt vertrouwen op en stelt klanten gerust dat u over specifieke technische implementaties beschikt
  • om uw IT te beveiligen tegen cyberaanvallen
  • Trekt nieuwe klanten aan in de wetenschap dat u over cyberbeveiligingsmaatregelen beschikt
  • Een bijkomend voordeel is dat uw organisatie bij CE-certificering mogelijk in aanmerking komt voor een gratis cybersecurityverzekering. Volledige details zijn te vinden op: IASME.co.uk.

Praktische benaderingen van Cyber ​​Essentials-certificering

Een nieuwe set eisen voor de IT-infrastructuur (v3.1), ook wel het Montpelier-profiel genoemd, is eerder dit jaar, in april 2023, uitgegeven door het NCSC. Dit is een essentiële lectuur voor alle organisaties die een beoordeling benaderen om de CE-nalevingsvereisten te begrijpen. Een specifieke vraag luidt of dit document is gelezen als onderdeel van het certificeringsproces.

Ook is het goed om ter voorbereiding op het assessment en voordat u uw antwoorden via het online portaal indient, de volledige vragenset te downloaden. De vragenset kan gratis worden gedownload van de IASME-website. Zodra het taxatiebedrag is betaald, wordt er een uitnodiging voor het onlineportaal naar uw aangewezen vertegenwoordiger gestuurd.

Er is ook een Cyber ​​Essentials-gereedheidstool beschikbaar bij IASME om, indien nodig, te helpen bij de voorbereiding op CE.

Hoe ISMS.online Cyber ​​Essentials-certificering benaderde

We hebben een klein team samengesteld en het vereistendocument en de gestelde vragen beoordeeld om vast te stellen op welke gebieden mogelijke beleids- of configuratiewijzigingen nodig zijn.

Het is de moeite waard om te benadrukken dat het nodig is om alle gebruikers- en netwerkapparaten te specificeren, inclusief de versienummering van het besturingssysteem en alle gebruikte cloudservices. De IT-manager van de organisatie moet een essentieel teamlid zijn dat betrokken is bij de beoordeling.

Een eerste overweging voor het team was de reikwijdte van de beoordeling. Wij raden aan om, net als bij andere soorten certificeringen, de hele organisatie binnen de reikwijdte van de beoordeling te betrekken. Opvallend is verder dat uw organisatie alleen in aanmerking komt voor een gratis cyberverzekering als de gehele organisatie binnen scope is.

Het was toen een kwestie van het beantwoorden van vragen over de vijf technische gebieden met betrekking tot ons netwerk en onze gebruikersapparaten. Er mag geen uitputtende lijst worden opgesteld en er moet altijd worden verwezen naar het eisendocument en de gestelde vragen; Enkele belangrijke overwegingen zijn echter:

  • Firewalls moeten worden ingezet op netwerkgrenzen – als thuiswerkers apparaten gebruiken en geen VPN gebruiken, moeten softwarefirewalls worden opgenomen in het besturingssysteem van de apparaten.
  • Het is noodzakelijk om alle gebruikers- en netwerkapparaten in detail te beschrijven, inclusief besturingssystemen, versies en mobiele apparaten. Opmerking: Hoewel het geen specifieke CE-controle is, vermogensbeheer moet worden beschouwd als een kernbeveiligingsfunctie en kan helpen bij het voldoen aan de technische controles.
  • Alle clouddiensten waar de organisatie gebruik van maakt vallen ook onder de scope.
  • De risicovolle en kritieke beveiligingsupdates van alle applicaties moeten binnen 14 dagen na release worden geïnstalleerd. Dit omvat ook firmware op firewalls en routers.
  • Het is vereist om technische controles en beleid te hebben met betrekking tot gebruikers- en beheerdersaccounts en authenticatie. MFA moet worden gebruikt voor alle cloudservices.
  • Alle apparaten moeten tegen malware worden beschermd door antimalwaresoftware te installeren en/of de installatie van applicaties te beperken, bijvoorbeeld door een app store te gebruiken.

 

Als je al hebt overwogen informatiebeveiligingscontroles of voldoen aan ISO 27001, kan uw bestaande beleid een aantal vragen helpen beantwoorden.

Onze beste tips voor het benaderen van cyber-essentials

  1. Het document Vereisten voor IT-infrastructuur (v3.1) geeft aan wat er wel en niet binnen de reikwijdte valt met betrekking tot BYOD, werken op afstand, draadloze apparaten, gebruikersapparaten en clouddiensten.
  2. De verantwoordelijkheid voor de implementatiecontroles, of het nu de organisatie of de cloudprovider is, zal afhangen van het type cloudservice: IaaS, PaaS of SaaS.
  3. Er zijn ook richtlijnen in de gratis te downloaden Montpelier-vragenset, die aangeeft waar de vereiste verplicht is voor naleving. Het beoordelingsteam moet de gestelde vragen beoordelen voordat deze via het portaal worden ingediend.
  4. Het zelfbeoordelingsantwoord moet worden bekrachtigd door een lid van het managementteam van de organisatie voordat de indiening bij de onafhankelijke beoordelaar kan worden voltooid.
  5. Mogelijk ontvangt u feedback voor verdere verduidelijking of vereiste wijzigingen. Het is noodzakelijk om eventuele wijzigingen binnen twee werkdagen vóór herindiening door te voeren.

 

Wanneer u het proces succesvol heeft doorlopen, krijgt u bericht dat u de Cyber ​​Essentials-certificering heeft behaald. Ook uw organisatie kan aan uw klanten en prospects aantonen dat u uw IT heeft beveiligd tegen cyberaanvallen. Uw certificaat is 12 maanden geldig.

Uw succesverhaal over Cyber ​​Essentials begint hier

Als u uw reis naar naleving van Cyber ​​Essentials wilt beginnen, kan ISMS.online u helpen.

Ons complianceplatform maakt een eenvoudige, veilige en duurzame aanpak van gegevensprivacy en informatiebeheer mogelijk met Cyber ​​Essentials en meer dan 100 andere raamwerken, waaronder ISO 27001, NIST, GDPR, HIPPA en meer. Realiseer vandaag nog uw concurrentievoordeel.

Spreek met een expert