We zijn verheugd om te delen dat ISMS.online de hercertificering heeft behaald voor Cyber Essentials, het door de Britse overheid gesteunde cybersecurityschema. Onze hercertificering bevestigt dat we kwetsbaarheden blijven aanpakken en effectieve cybersecuritycontroles in het hele bedrijf hebben geïmplementeerd, waarmee we een robuuste verdediging tegen een reeks cyberdreigingen garanderen.
Nu we de hercertificering voor Cyber Essentials met succes hebben afgerond, delen we informatie over het Cyber Essentials-programma, inzichten van onze IMS-manager Mike Jennings over wat we tijdens de hercertificering hebben geleerd en welke benaderingen uw organisatie kan volgen om de certificering te behalen.
Wat zijn cyber-essentials?
Met het Cyber Essentials-programma, dat wordt ondersteund door de Britse overheid, kunnen organisaties aantonen dat ze zich inzetten voor cyberbeveiliging en de meest voorkomende cyberaanvallen voorkomen. Deze aanvallen zijn vaak het gevolg van een gebrek aan voorbereiding van een organisatie.
Certificering is vereist voor organisaties die meedingen naar bepaalde overheidscontracten, bijvoorbeeld contracten waarbij gevoelige en persoonlijke informatie moet worden verwerkt of bepaalde technische producten of diensten moeten worden geleverd.
Cyberbenodigdheden bestrijkt vijf kerngebieden:
- Firewall-implementatie
- Veilige configuratie van netwerk- en gebruikersapparaten
- Beheer van beveiligingsupdates
- Gebruikerstoegangsbeheer
- Malware bescherming
Niveaus van Cyber Essentials-beoordeling
Cyberbenodigdheden omvat een zelfbeoordeling. Organisaties beoordelen zichzelf op de vijf gebieden die Cyber Essentials bestrijkt, en een gekwalificeerde assessor verifieert onafhankelijk de verstrekte informatie.
Cyber Essentials Plus is een technische audit waarbij een assessor de kantoren van de organisatie bezoekt om tests uit te voeren. Deze moet binnen drie maanden na de Cyber Essentials-certificering worden afgerond.
De kosten voor Cyber Essentials-certificering zijn afhankelijk van de grootte van uw organisatie en, voor Cyber Essentials Plus, de grootte en complexiteit van uw netwerk.
Waarom zou mijn organisatie Cyber Essentials-gecertificeerd moeten zijn?
Mike Jennings, IMS Manager bij ISMS.online, zegt: "Cyber Essentials zorgt er niet alleen voor dat u uw organisatie veilig runt door best-practice basisinformatiebeveiligingsbeleid en -controles te bieden, maar het verbetert ook uw reputatie als betrouwbare leverancier. Bovendien kan certificering een niveau van 'gratis' cyberverzekering bieden, onderworpen aan bepaalde criteria."
Als je dat al bent ISO 27001 en ISO 27701 gecertificeerd, zijn er verschillende redenen waarom u Cyber Essentials-certificering voor uw bedrijf zou kunnen overwegen:
- Het kan zijn dat u een klant hebt die contractueel vereist dat uw organisatie gecertificeerd is (en zoals gezegd is certificering vaak een vereiste voor overheidscontracten).
- Cyber Essentials-certificering bouwt vertrouwen op en verzekert klanten ervan dat u specifieke technische implementaties hebt
- U kunt uw IT-systemen beter beveiligen tegen cyberaanvallen
- Certificering kan nieuwe prospects en nieuwe zaken aantrekken in de wetenschap dat u cyberbeveiligingsmaatregelen heeft getroffen
- Na Cyber Essentials-certificering komt uw organisatie mogelijk in aanmerking voor gratis cybersecurityverzekering. Volledige details zijn beschikbaar op IASME.co.uk.
Mike vertelt: “Het hebben van een ISO 27001-conform informatiebeveiligingsmanagementsysteem (ISMS) helpt enorm bij het behalen van de Cyber Essentials-certificering, omdat veel van de beleidsregels en controles al zijn vastgesteld en bewijs kunnen leveren om te voldoen aan de CE-vereisten, waardoor het proces efficiënter wordt.
“Er zijn enkele subtiele verschillen in de informatie die vereist is voor CE vergeleken met ISO 27001; echter, met behulp van het CE-raamwerk dat wordt aangeboden door ISMS.online, is deze informatie eenvoudig vast te leggen en toegankelijk, allemaal op één plek.”
Hoe u Cyber Essentials-certificering kunt benaderen
Een bijgewerkte set vereisten voor IT-infrastructuur (v3.1) werd in april 2023 uitgegeven door het National Cyber Security Centre (NCSC). Deze set vereisten, bekend als het Montpelier-profiel, is een essentiële leesstof voor alle organisaties die een beoordeling overwegen om te begrijpen wat er vereist is voor Cyber Essentials-naleving. Als onderdeel van het certificeringsproces wordt u zelfs gevraagd of u dit document hebt gelezen.
U kunt ook de volledige vragenset downloaden ter voorbereiding op de beoordeling en voordat u uw antwoorden via het online portaal indient. De vragenset kan gratis worden gedownload van de IASME-website. Een uitnodiging voor het online portaal wordt naar uw aangewezen vertegenwoordiger gestuurd zodra de beoordelingskosten zijn betaald.
Er is ook een Cyber Essentials-gereedheidstool beschikbaar van IASME om uw bedrijf te helpen zich voor te bereiden voor naleving.
Mike zegt: "Er is bepaalde informatie die je moet delen voor Cyber Essentials die geen vereiste is voor naleving van ISO-normen. Dit heeft voornamelijk betrekking op het identificeren van de softwarebuilds van de End User-assetbase om ervoor te zorgen dat ze voldoen aan de nieuwste releases die nog steeds worden ondersteund door beveiligingsupgrades.
“Dit benadrukt de subtiele verschillen tussen CE- en ISO 27001-naleving, waarbij CE strenger en binair is in zijn vereisten vergeleken met ISO 27001, dat op risico's is gebaseerd en enige flexibiliteit toestaat, afhankelijk van het risiconiveau en de manier waarop dat wordt beheerd.”
Hoe ISMS.online de hercertificering van Cyber Essentials heeft aangepakt
De betrokkenheid van uw IT-manager is van cruciaal belang voor de beoordeling, omdat u alle gebruikers- en netwerkapparaten moet specificeren, inclusief de versienummering van het besturingssysteem en alle gebruikte cloudservices.
Met onze IT-manager erbij hebben we ons speciale Cyber Essentials-beoordelingsteam samengesteld. Het team heeft vervolgens het Cyber Essentials-vereistendocument en de vragenset beoordeeld om gebieden te identificeren die potentiële beleids- of configuratiewijzigingen nodig hebben.
Mike voegt toe: "Dit was een hercertificering van CE, dus we waren al op de hoogte van de Montpelier-vereisten, hoewel het nodig was om te controleren of er subtiele wijzigingen in de vereisten waren ten opzichte van vorig jaar. Er leek meer granulariteit vereist te zijn in OS-buildniveaus om aan de vereisten van dit jaar te voldoen. We moesten ook een van de OS-niveaus van onze systemen upgraden."
We hebben ook rekening gehouden met de scope van de beoordeling. Net als bij andere soorten certificeringen zoals ISO 27001, raden we aan dat de hele organisatie wordt opgenomen in de scope van uw Cyber Essentials-beoordeling. Uw organisatie komt alleen in aanmerking voor gratis cyberverzekering als de hele organisatie binnen de scope valt.
Nadat de scope was bepaald, beantwoordde het team vragen over de vijf technische gebieden met betrekking tot ons netwerk en gebruikersapparaten. De onderstaande lijst is niet uitputtend en er moet altijd worden verwezen naar het vereistendocument en de vragenset. Dat gezegd hebbende, zijn belangrijke overwegingen:
- Firewalls moeten worden ingezet op netwerkgrenzen. Als thuiswerkers apparaten gebruiken zonder VPN, moeten softwarefirewalls worden opgenomen in de besturingssystemen van de apparaten.
- U moet alle gebruikers- en netwerkapparaten, inclusief besturingssystemen, versies en mobiele apparaten, gedetailleerd weergeven. Opmerking: Hoewel dit geen specifieke Cyber Essentials-controle is, vermogensbeheer moet worden beschouwd als een kernbeveiligingsfunctie en kan uw organisatie helpen te voldoen aan de technische controles
- Alle clouddiensten die uw organisatie gebruikt, vallen ook binnen de scope
- Alle applicaties met een hoog risico en kritieke beveiligingsupdates moeten binnen 14 dagen na release worden geïnstalleerd. Dit omvat ook firmware op firewalls en routers
- U moet technische controles en beleid hebben voor gebruikers- en beheerdersaccounts en authenticatie. Multi-factor authenticatie moet worden gebruikt voor alle cloudservices
- Alle apparaten moeten worden beschermd tegen malware, door anti-malwaresoftware te installeren en/of de installatie van applicaties te beperken, bijvoorbeeld door gebruik te maken van een app store.
Als u al hebt geïmplementeerd informatiebeveiligingscontroles of voldoen aan ISO 27001, kan uw bestaande beleid een aantal vragen helpen beantwoorden.
De beste tips van ISMS.online voor het bereiken van cyber essentials
- Gebruik het document Vereisten voor IT-infrastructuur (v3.1) om te bepalen wat wel en niet binnen het bereik valt met betrekking tot BYOD (Bring Your Own Device), werken op afstand, draadloze apparaten, gebruikersapparaten en cloudservices.
- De verantwoordelijkheid voor de implementatiecontroles, of het nu de organisatie of de cloudprovider is, zal afhangen van het type cloudservice: IaaS, PaaS of SaaS.
- De Montpelier-vragenset biedt ook richtlijnen die aangeven waar de vereiste verplicht is voor naleving. Uw Cyber Essentials-beoordelingsteam moet de vragenset beoordelen voordat u deze indient.
- Voordat het zelfevaluatieantwoord aan de onafhankelijke beoordelaar kan worden voorgelegd, moet het worden bekrachtigd door een lid van het managementteam van de organisatie.
- U kunt feedback ontvangen voor verdere verduidelijking of vereiste wijzigingen. U moet alle wijzigingen binnen twee werkdagen voltooien voordat u ze opnieuw indient.
Zodra u het proces succesvol hebt afgerond, ontvangt u een melding dat u bent geslaagd voor de Cyber Essentials-certificering. Met de certificering laat uw organisatie aan uw klanten en prospects zien dat u uw IT hebt beveiligd tegen cyberaanvallen. Uw certificaat is 12 maanden geldig.
Uw succesverhaal over Cyber Essentials begint hier
Als u uw reis naar naleving van Cyber Essentials wilt beginnen, kan ISMS.online u helpen.
Ons complianceplatform maakt een eenvoudige, veilige en duurzame aanpak van gegevensprivacy en informatiebeheer mogelijk met Cyber Essentials en meer dan 100 andere raamwerken, waaronder ISO 27001, NIST, GDPR, HIPAA en meer. Ontgrendel vandaag nog uw concurrentievoordeel.
