Mikä on kyberasioiden perusteiden tarkistuslista?
Cyber Essentials -tarkistuslista on käytännöllinen, hakemusta edeltävä luettelo konfiguraatioista, todisteista ja päätöksistä, jotka Yhdistyneen kuningaskunnan organisaation on oltava valmiina ennen itsearviointikyselyn (SAQ) täyttämistä. Se kattaa laajuuden, viisi valvonta-aluetta, pilvipalvelut, monivaiheisen todennuksen, korjauspäivitykset ja Cyber Essentials Plus -ohjelmaan sovellettavat lisätarkastukset.
Cyber Essentials on Yhdistyneen kuningaskunnan hallituksen tukema sertifiointijärjestelmä, jota IASME hallinnoi National Cyber Security Centren puolesta. Järjestelmässä testataan, onko palomuurisi, laitteesi, tilisi, haittaohjelmasuojauksesi ja ohjelmistopäivityksesi konfiguroitu puolustettavan lähtötason mukaisesti. Alla oleva tarkistuslista käy läpi kaikki useimpien hakijoiden kohtaamat tarkastukset, jotta voit korjata puutteet ennen hakemuksen lähettämistä sen sijaan, että se tapahtuisi vasta epäonnistuneen arvioinnin jälkeen. Katso järjestelmän koko taustatiedot verkkosivultamme. Kyberasioiden perusteet -keskus; katso kunkin rivikohdan taustalla olevat hallintatiedot Kyberturvallisuusvaatimukset.
Käy jokainen osio läpi järjestyksessä. Rastita jo täytettyjä kohtia, listaa aukot toimenpiteinä, joilla on omistaja ja määräpäivä, ja varaa arviointi vasta, kun jokainen rivi on joko valmis tai siihen on dokumentoitu poikkeus. Asiakkaat, jotka käyttävät ISMS.online tallentaa jokaisen alla olevan kohdan seurattavaksi kontrolliksi linkitettyine todisteineen, jotta sama tarkistuslista ohjaa vuosittainen uudistusjakso sekä ensimmäinen sertifikaatti.
Miten Cyber Essentials -projektin laajuus määritellään?
Ennen kuin kosket mihinkään tekniseen hallintaan, sinun on tiedettävä, mitä laajuus sisältää. Laajuus on tärkein yksittäinen päätös Cyber Essentials -projektissa, ja sen muuttaminen myöhemmin maksaa aikaa ja rahaa.
- Päätä, koskeeko toiminta koko organisaatiota vai onko sen laajuus selkeästi määritelty osajoukko (nimetty osasto, liiketoimintayksikkö tai ympäristö).
- Listaa kaikki työmaat ja etätyöntekijän sijainnit, joissa tehdään tehtävään kuuluvaa työtä.
- Dokumentoi verkot, jotka yhdistävät tutkimukseen kuuluvia laitteita: yrityksen lähiverkot, Wi-Fi, VPN-verkot ja mahdollinen mobiilidatan käyttö.
- Inventoi jokainen sovelluksen piiriin kuuluva käyttäjätili (työntekijät, urakoitsijat, käyttöoikeudella varustetut kolmannet osapuolet).
- Inventaarion laatiminen kaikista mittausalueen laitteista: kannettavat tietokoneet, pöytäkoneet, palvelimet, matkapuhelimet, tabletit ja verkkolaitteet.
- Listaa kaikki organisaatiodatan käsittelyyn tai tallentamiseen käytetyt pilvipalvelut (SaaS, PaaS, IaaS).
- Tunnista mahdolliset BYOD-järjestelyt (bring-your-own-device) ja varmista, kuuluvatko kyseiset laitteet tämän järjestelyn piiriin.
- Vahvista selkeä tekninen raja laajuusalueen sisäisten ja ulkopuolisten ympäristöjen välillä (erillinen verkko, hakemisto tai vuokraaja), jos käytät alijoukkoa.
- Kirjaa laajuuskuvauksesi kirjallisesti ja pyydä se kiinteistön omistajaa, jolla on määräysvalta kiinteistöön.
Jos laajuus kasvaa jatkuvasti löydettyäsi lisää laitteita, pilvisovelluksia tai varjo-IT:tä, se on juuri se löydös, jonka esiin tuomiseen järjestelmä on suunniteltu. On parempi löytää se nyt kuin arvioinnin aikana.
Miten palomuurit ja reitittimet konfiguroidaan?
Jokaisen internetiin yhteyden muodostavan laitteen sekä itse verkon rajan on sijaittava oikein määritetyn palomuurin (tai vastaavan verkkolaitteen) takana.
- Jokaisen internetiin yhdistetyn palomuurin ja reitittimen oletussalasana on vaihdettu vahvaan ja yksilölliseen vaihtoehtoiseen salasanaan.
- Todentamattomat saapuvat yhteydet estetään oletusarvoisesti.
- Jokaisella palvelun sallivalla saapuvan liikenteen palomuurisäännöllä on dokumentoitu liiketoimintatapaus ja omistaja.
- Saapuvan liikenteen säännöt, joita ei enää tarvita, on poistettu.
- Isäntäpohjaiset (ohjelmisto)palomuurit ovat käytössä kannettavissa tietokoneissa ja muissa laitteissa, joita käytetään yritysverkon ulkopuolella.
- Etäkäyttö palomuureille internetistä on joko poistettu käytöstä tai suojattu monivaiheisella todennuksella tai IP-sallittujen osoitteiden listalla, ja tähän on dokumentoitu liiketoiminnan tarve.
- Etätyöntekijät käyttävät joko internet-palveluntarjoajan reitittimiä, joiden oletussalasana on muutettu, tai luottavat yrityksen kannettavan tietokoneen omaan isäntäpohjaiseen palomuuriin.
Kerättävät todisteet: palomuurin toimittaja ja versio, kuvakaappaukset tai vahvistukset, jotka vahvistavat järjestelmänvalvojan salasanan vaihdon, luettelo saapuvan liikenteen säännöistä perusteluineen ja vahvistus siitä, että isäntälaitteiden palomuurit ovat käytössä koko laitekannan alueella.
Mitä turvallinen konfigurointi vaatii?
Suojattu kokoonpano poistaa laitteiden ja ohjelmistojen oletusarvoiset heikkoudet: käyttämättömät tilit, esimerkkisalasanat, demosisällön ja liian sallivan jakamisen.
- Käyttäjätilit ja ohjelmistot, joita et tarvitse, on poistettu tai poistettu käytöstä (bloatware, oletusarvoiset järjestelmänvalvojan tilit, passiiviset käyttäjätilit).
- Laitteiden, tilien ja palveluiden oletus- tai arvattavissa olevat salasanat on muutettu.
- Automaattisesti suoritettavat ominaisuudet, jotka suorittavat koodia siirrettävältä tietovälineeltä, on poistettu käytöstä.
- Käyttäjien on tunnistettava itsensä ennen kuin he voivat käyttää organisaation tietoja tai palveluita.
- Monivaiheinen todennus (MFA) on pakotettu kaikille järjestelmänvalvojan tileille kaikissa pilvipalveluissa.
- MFA on käytössä tavallisille pilvikäyttäjille aina, kun alusta sitä tukee.
- Salasanan pituus on vähintään 12 merkkiä, jos MFA:ta ei ole käytössä, tai 8 merkkiä MFA:n kanssa tai 8 merkkiä rajoituksen tai lukituksen kanssa.
- Tekstiviestipohjainen monitodentaminen on korvattu (tai täydennetty) todennussovelluksilla tai laitteistotunnisteilla mahdollisuuksien mukaan.
- Wi-Fi-vierasverkot on eristetty yrityksen lähiverkosta.
Tämä on se kontrollialue, josta useimmat organisaatiot löytävät eniten odottamatonta työtä, joten aloita se projektisi alkuvaiheessa. Yhdistä tässä olevat tarkistukset omiin tavoitteisiisi. Kyberasioiden itsearviointi vastauksia ennen lähettämistä.
Miten käyttäjien pääsynhallinta toimii käytännössä?
Käyttäjien käyttöoikeuksien hallinta rajoittaa, kuka voi tehdä mitä järjestelmissäsi, ja varmistaa, että tilit poistetaan ihmisten poistuessa.
- Dokumentoitu käyttäjätilin luomis- ja hyväksymisprosessi on olemassa, ja sitä noudatetaan.
- Käyttäjät todentuvat vahvoilla, yksilöllisillä tunnistetiedoilla ennen kuin he pääsevät käyttämään laajuusjärjestelmiä.
- Liittymis-/muutto-/lähtömenettely poistaa tai poistaa käytöstä tilit viipymättä, kun henkilö vaihtaa roolia tai lähtee.
- Monivaiheinen todennus on pakollinen pilvipalveluissa kaikille käyttäjille, jos alusta tukee sitä, ja ehdoitta kaikille järjestelmänvalvojan tileille.
- Järjestelmänvalvojan tilit ovat erillään päivittäisistä käyttäjätileistä; järjestelmänvalvojat eivät selaa verkkoa tai lue sähköposteja etuoikeutetulla tilillään.
- Järjestelmänvalvojan oikeuksilla varustettujen käyttäjien luetteloa on tarkistettu viimeisten 12 kuukauden aikana ja kaikki perusteettomat oikeudet on poistettu.
- Jaetut tilit (jos sellaisia on) dokumentoidaan, perustellaan, ne on suojattu MFA:lla ja niillä on omistaja.
Kerättävät todisteet: liittymis-/muutto-/lähtömenettely, luettelo järjestelmänvalvojista ja kunkin liiketoimintatapaus, MFA-määritysten kuvakaappaukset tärkeimmiltä pilvialustoiltasi ja näyte äskettäin käytöstä poistetuista lähtötileistä.
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
Miten haittaohjelmien torjunta tulisi määrittää?
Jokainen tutkimukseen kuuluva laite on suojattava haitallista koodia vastaan haittaohjelmien torjuntaohjelmistolla, sovellusten sallittujen luetteloinnilla tai hiekkalaatikolla.
- Yksi kolmesta hyväksytystä mekanismista (haittaohjelmien torjunta, sovellusten sallittujen listaus tai hiekkalaatikko) on käytössä jokaisessa testausalueeseen kuuluvassa laitteessa.
- Haittaohjelmien torjuntamääritelmät ja -moottorit päivittyvät automaattisesti.
- Haittaohjelmien torjunta on määritetty tarkistamaan tiedostot niiden käytön yhteydessä ja tarkistamaan verkkosivut.
- Yhteydet tunnettuihin haitallisiin verkkosivustoihin estetään, jos haittaohjelmien torjuntatuote tarjoaa kyseisen ominaisuuden.
- Jos sovellusten sallittujen listaa käytetään, hyväksyttyjen lista on olemassa ja estää muiden sovellusten suorittamisen.
- Jos käytetään hiekkalaatikkoa (iOS, Android, tietyt hallitut Windows-koontiversiot), jokainen sovellus toimii omassa hiekkalaatikossaan.
- Mobiililaitteet asentavat sovelluksia vain virallisista sovelluskaupoista (Apple App Store, Google Play) tai hallinnoidusta yrityskaupasta.
- Kaikki hallitsemattomat BYOD-laitteet on joko siirretty MDM:n piiriin tai poistettu siitä.
Yleisin ongelma on työntekijän henkilökohtainen Mac, jota käytetään työsähköpostiin ilman rekisteröintiä ja näkyvyyttä IT-osastolle. Joko rekisteröi laite hallintaan tai lopeta sen käyttö työssä.
Miten tietoturvapäivitysten hallinta toimii?
Kaiken arvioinnin piiriin kuuluvan ohjelmiston on oltava tuettua, lisensoitua ja päivitettyä. Käytöstä poistetut käyttöjärjestelmät, selaimet, laajennukset, laiteohjelmistot ja sovellukset eivät läpäise arviointia kokonaan.
- Jokainen sovelluksen piiriin kuuluvien laitteiden käyttöjärjestelmä on lisensoitu ja saa edelleen toimittajan tietoturvapäivityksiä.
- Jokainen sovelluksen piiriin kuuluvilla laitteilla oleva sovellus on lisensoitu ja saa edelleen toimittajan tietoturvapäivityksiä.
- Reitittimien, palomuurien, kytkimien ja tukiasemien laiteohjelmistoihin tehdään edelleen toimittajien päivityksiä.
- Selainlaajennukset ja -laajennukset ovat lisensoituja ja ajan tasalla.
- Automaattiset päivitykset ovat käytössä aina, kun toimittaja niitä tarjoaa.
- Vakavuusasteen ja kriittisen tason tietoturvapäivitykset asennetaan 14 päivän kuluessa julkaisusta (14 päivän sääntö).
- Kuukausittaisia palvelinten huoltovälejä on tarkistettu sen varmistamiseksi, etteivät ne ylitä 14 päivän korjausikkunaa.
- Ohjelmisto- ja laiteohjelmistoversioista on olemassa luettelo, joten näet yhdellä silmäyksellä, mitä laajuus sisältää ja missä tilassa se on.
14 päivän korjausikkunan ylittäminen on yleisin syy siihen, miksi organisaatiot eivät saa Cyber Essentials Plus -ohjelmaa. Sisäänrakennettu korjausten seuranta kuukausittaiseen vaatimustenmukaisuussykliin.
Miten pilvipalvelut sopivat tarkistuslistalle?
Pilvipalvelut, jotka käsittelevät tai tallentavat organisaatiotietoja, kuuluvat soveltamisalaan. Kunkin kontrollin jaettu vastuu riippuu palvelumallista.
- Jokainen organisaation käyttämä SaaS-sovellus (Microsoft 365, Google Workspace, Salesforce, Xero jne.) on lueteltu resurssiluettelossasi.
- Jokainen PaaS-ympäristö (App Service, App Runner, Heroku jne.) on listattu ja sovelluskerros on korjattu.
- Jokaista IaaS-palvelinta (EC2, Azure VM, Compute Engine) kohdellaan kuin se olisi paikallinen palvelin, jossa on korjaukset, haittaohjelmat ja palomuurit hallinnassasi.
- MFA:ta käytetään poikkeuksetta kaikilla pilvijärjestelmänvalvojan tileillä.
- MFA on käytössä pilvipalveluiden vakiokäyttäjille, jos alusta tukee sitä.
- Vuokralaisten tietoturvan oletusasetukset (Microsoft 365:n tietoturvan oletusasetukset, Google Workspacen tietoturva-asetukset, AWS-suojakaiteet) on tarkistettu ja tarvittaessa tiukennettu.
- Pilvipalvelun järjestelmänvalvojan tilit ovat erillään päivittäisistä käyttäjätileistä.
- Varjo-IT (yrityskortin tai verkkotunnuksen kautta rekisteröityneet SaaS-sovellukset) on tarkistettu ja joko otettu mukaan arviointiin tai poistettu käytöstä.
Aloita helposti henkilökohtaisella tuote-esittelyllä
Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.
Miten valmistaudut Cyber Essentials Plus -kurssiin?
Cyber Essentials Plus lisää itsearvioinnin lisäksi riippumattoman teknisen tarkastuksen. Arvioija ottaa näytteitä laitteistasi, suorittaa haavoittuvuusskannauksia ja testaa, että vahvistamasi hallintalaitteet todella toimivat. Useimmat Plusin epäonnistumiset ovat ennustettavissa; käytä tätä tarkistuslistaa niiden välttämiseksi.
- Itsearviointisi vastaukset heijastavat ympäristön nykytilaa, eivät tavoiteltua tulevaisuutta.
- Edustava otos laitteista on päivitetty 14 päivän aikana tänään, ei kolme kuukautta sitten.
- Haittaohjelmien torjunta on aktiivinen ja raportoi jokaisesta näytteistetystä laitteesta.
- Pilvitilien MFA on vahvistettu kirjautumalla sisään tuoreesta selainistunnosta, ei tarkistamalla käytäntösivua.
- Sähköpostin ja verkon suodatus on määritetty estämään tunnetut haitalliset linkit ja liitteet.
- USB-laitteiden ja irrotettavien tietovälineiden käsittely vastaa esimerkkilaitteiden dokumentoitua käytäntöäsi.
- Auditointi-ikkunan päivämäärät on varattu riittävän aikaisin, jotta voit toimia auditointia edeltävän puuteanalyysin perusteella.
- Olet nimennyt jonkun tekniseksi yhteyshenkilöksi tarkastuksen ajaksi ja hänellä on järjestelmänvalvojan oikeudet.
- Olet varmuuskopioinut kaikki esimerkkilaitteet ennen niiden testaamista siltä varalta, että auditoinnin aikana tapahtuu muutoksia.
Katso tekninen laajuus kohdasta Cyber Essentials Plus -vaatimukset tarkkojen testien osalta, joita arvioijat suorittavat, ja meidän Cyber Essentialsin hinta sivu tyypilliselle Plus-hintaluokalle.
Mitkä ovat yleisimmät puutteet ennen lähettämistä?
Jopa hakijat, joilla on kehittyneet turvallisuustoiminnot, kohtaavat samoja muutamia puutteita. Suorita tämä lyhyt tarkistus ennen hakemuksen lähettämistä:
- Kotityöntekijän kotona internet-palveluntarjoajan toimittamassa reitittimessä on edelleen sen oletusarvoinen järjestelmänvalvojan salasana.
- Pitkäaikaisella työntekijällä on kertyneet järjestelmänvalvojan oikeudet aiemmista rooleista.
- Jaetulla talouspostilaatikolla tai sosiaalisen median kirjautumistunnuksella ei ole MFA:ta eikä dokumentoitua omistajaa.
- Vähintään yhdessä laitteessa on edelleen Windowsin tai vanhan selaimen tukematon versio.
- Kuukausittainen palvelimen huoltosuunnitelma on siirtänyt kriittisen korjauksen 14 päivän rajan yli.
- BYOD-henkilökohtainen puhelin lukee yrityksen sähköpostit MDM:n ulkopuolella.
- SaaS-sovellus, joka sisältää asiakastietoja, rekisteröityi henkilökohtaisella kortilla, eikä sitä koskaan inventoitu.
- Vieras-Wi-Fi-verkko jakaa saman lähetystoimialueen yrityksen lähiverkon kanssa.
Seuraa kutakin löytöä toimintona, jolla on omistaja ja määräpäivä. Kun lista on selkeä, olet valmis lähettämään sen. Jos pienennät työn kokoa ensimmäistä kertaa, oppaamme kuinka kauan Cyber Essentials kestää asettaa realistisia odotuksia.
Kyberasioiden tarkistuslistan yhteenvetotaulukko
| Osa | Focus | Tyypillisiä todisteita |
|---|---|---|
| rajaukseen | Päätä koko organisaatio vs. osajoukko; inventoi toimipaikat, käyttäjät, laitteet, verkot, pilvipalvelut ja BYOD. | Kirjallinen laajuuslausunto, omaisuusluettelo, osajoukon rajojen kuvaus. |
| Palomuurit ja reitittimet | Oletussalasanat muutettu; saapuvan liikenteen säännöt dokumentoitu; isäntäpalvelimet käytössä; etähallinnan suojaus käytössä. | Palomuurin versio, salasanan vaihdon vahvistus, sääntöluettelo, isäntäkoneen palomuurin kattavuus. |
| Suojattu kokoonpano | Bloatware poistettu; oletussalasanat muutettu; MFA pilvihallinnassa; salasanan pituus 12 tai 8+MFA. | Koontistandardi, MFA:n valvontakäytäntö, salasanakäytäntö, esimerkkilaitteiden näyttökuvat. |
| Käyttäjän käytön valvonta | Liittymis-/lähtöprosessi; järjestelmänvalvojan erottaminen; vuosittainen järjestelmänvalvojan tarkastus; monitoiminen vahvistus kaikille pilvikäyttäjille. | JML-menettely, ylläpitäjän käyttäjäluettelo, MFA-konfiguraatiotodisteet, poistumiskiellon esimerkki. |
| Haittaohjelmien suojaus | Haittaohjelmien torjunta, salli listaus tai hiekkalaatikko kaikilla laitteilla; mobiilisovellukset virallisista kaupoista. | Päätepisteiden kattavuusraportti, mobiilisovelluksen lähdekoodikäytäntö, MDM-rekisteröintitietue. |
| Tietoturvapäivitysten hallinta | Kaikki ohjelmistot tuettuja ja lisensoituja; kriittiset korjauspäivitykset 14 päivän kuluessa; laiteohjelmisto katettu. | Ohjelmistoluettelo, joka sisältää toimittajan tuen tilan, korjauspäivitysten käyttöönottoraportin ja käyttöiän päättymisen korvaussuunnitelman. |
| Pilvipalvelut | SaaS-, PaaS- ja IaaS-inventaariot tehty; MFA järjestelmänvalvojan puolella; vuokralaisten oletusarvot tarkistettu; varjo-IT poistettu. | Pilviresurssien rekisteri, MFA-todisteet, tietoturvaongelmien vahvistus, varjo-IT-tarkastus. |
| Plus-valmius | Live-tilan vahvistus; näytelaitteen korjauspäivityksen tila; MFA vahvistettu kirjautumisella; auditoinnin logistiikka varattu. | Auditointia edeltävä puuteanalyysi, esimerkki korjauspäivitysraportista, MFA:n varmennusloki, auditoinnin varauksen vahvistus. |
Jos vertailet Cyber Essentialsia laajemmat viitekehyksetMeidän Kyberturvallisuusasiat vs. ISO 27001 opas selittää, mihin kukin sopii, ja monet Yhdistyneen kuningaskunnan organisaatiot, jotka sertifioivat Cyber Essentialsin, etenevät sitten ISO 27001 or SOC 2 asiakkaiden kysynnän kasvaessa.
Miksi valita ISMS.online kyberturvallisuuden perusteisiin?
- Valmiiksi kartoitettu tarkistuslista — Jokainen tämän tarkistuslistan rivi on jo olemassa seurattuna ohjausobjektina ISMS.online, joten arvioit koko järjestelmää vasten rakentamatta sitä uudelleen alusta alkaen.
- Todisteet yhdessä paikassa — Liitä kuvakaappaukset, määritysviennit ja liittyjä-/poistujatietueet jokaiseen ohjausobjektiin kerran ja käytä niitä sitten uudelleen uusimisiin, Plus-auditointeihin ja muihin kehyksiin.
- Soveltamisala ja omaisuusrekisteri — Kirjaa laajuusalueeseen kuuluvat käyttäjät, laitteet, verkot ja pilvipalvelut jäsenneltyyn rekisteriin, jotta laajuusraja on dokumentoitu ja auditoitavissa.
- Toimenpiteeseen johtavan kuilun seuranta — Jokaisesta tarkistuslistan aukosta tulee oma toiminto, jolla on omistaja ja määräpäivä, joten mikään ei lipsahda sen tunnistamisen ja korjaamisen välille.
- Uusimisvalmis — Alusta pitää todistusaineistosi ajan tasalla vuosittaisten jaksojen välillä, joten seuraava todistus on päivitys, ei alusta aloittaminen.
- Monikehysten vipuvaikutus — Cyber Essentials -todisteet ISMS.online myös ruokkii ISO 27001, SOC 2 ja NIS 2 työ, minkä vuoksi Cyber Essentials -ratkaisua pidemmälle edenneet asiakkaat pysyvät alustalla.
- Tuhansien organisaatioiden luottama - ISMS.online tukee kaikenkokoisia yrityksiä niiden vaatimustenmukaisuuden saavuttamisessa, ensikertalaisista Cyber Essentials -hakijoista globaaleihin monisertifiointiryhmiin.
UKK
Onko olemassa virallista kyberturvallisuuden tarkistuslistaa?
IASME julkaisee virallisen itsearviointikyselyn (SAQ), joka on käytännössä arvioijan tarkistuslista. Tämän sivun valmiustarkistuslista peilaa samoja viittä tarkistusaluetta ja lisää laajuus-, pilvi- ja Plus-tarkastukset, jotka useimmat hakijat tarvitsevat ennen SAQ:hen pääsemistä. Sen läpikäyminen ensin tekee SAQ:sta vahvistustehtävän pikemminkin kuin selvitystehtävän.
Kuinka kauan Cyber Essentials -tarkistuslistan läpikäyminen kestää?
Pienessä organisaatiossa, jossa on kypsä IT, tarkistuslistan läpikäyminen ja todisteiden kerääminen vie pari päivää. Aikaa vievät juuri sen esiin nostamat puutteet: monitoimiohjelmistojen käyttöönotto, korjausten kiinnikurominen ja omaa laitettasi koskevat päätökset voivat kukin kestää useita viikkoja. Useimmat hakijat varaavat tarkistuslistan aloittamisesta itsearviointikyselyn lähettämiseen neljästä kahteentoista viikkoa.
Tarvitsenko Cyber Essentials Plus -ohjelmaan eri tarkistuslistan?
Viisi valvonta-aluetta ovat identtiset, mutta Plus-palveluun lisätään teknisiä tarkastuksia: haavoittuvuustarkistuksia, laitenäytteiden testausta, MFA-vahvistusta reaaliaikaisella kirjautumisella ja sähköpostin/verkon suodatustestejä. Tämän tarkistuslistan Plus-valmiusosio kattaa lisätarkastukset. Nopein tie Plus-palveluun on sertifioida ensin Cyber Essentials, korjata kaikki esiin tulleet ongelmat ja varata Plus-palvelu kolmen kuukauden kuluessa sen jälkeen.
Mikä on yleisin syy siihen, miksi organisaatiot eivät läpäise tarkistuslistaa?
Kaksi ongelmaa on vallitsevia: ainakin yhdellä laitteella edelleen käytössä oleva käyttöiän lopussa oleva ohjelmisto ja 14 päivän ikkunan ulkopuolella puuttuvat korjauspäivitykset. Molemmat on helppo korjata, kun ne havaitaan, mutta molemmat voivat myös pysäyttää arvioinnin, jos ne havaitaan auditoinnin aikana valmiustarkistuslistan sijaan.
Koskeeko tarkistuslista etätyöntekijöitä ja BYOD-työntekijöitä?
Kyllä. Kaikki organisaation dataan tai palveluihin käytettävät laitteet kuuluvat tämän piiriin, mukaan lukien kotikannettavat ja työsähköpostiin käytettävät henkilökohtaiset puhelimet. Laitteet, joita käytetään yksinomaan äänipuheluihin, tekstiviesteihin tai kaksivaiheiseen todennukseen, eivät kuulu tämän piiriin. Kotona käytettävissä yrityksen kannettavissa tietokoneissa on oltava oma isäntäpohjainen palomuuri käytössä, ja kotiverkon on oltava vihamielinen.
Miten tarkistuslista kehittyy vuodesta toiseen?
IASME päivittää kysymyssarjaa noin vuosittain. Viimeaikaiset päivitykset ovat vahvistaneet pilvipalveluiden monivaiheisen todennuksen odotuksia, selventäneet SaaS-, PaaS- ja IaaS-vastuita, tunnustaneet salasanattoman ja biometrisen todennuksen sekä nimenomaisesti laajentaneet 14 päivän korjausikkunaa laiteohjelmistoon. Viiden ohjausalueen rakenne pysyy vakaana; yksityiskohdat tiukkenevat jokaisen päivityksen myötä.
