Mikä on kyberturvallisuussertifiointi?
Kyberturvallisuussertifiointi on riippumaton vahvistus siitä, että organisaatio täyttää määritellyt tietoturvakontrollit. Isossa-Britanniassa sertifioinnit jaetaan kolmeen ryhmään: valtion tukemat järjestelmät, kuten Cyber Essentials ja Cyber Essentials Plus, kansainväliset hallintajärjestelmästandardit, kuten ISO 27001ja varmennusraportit, kuten SOC 2NIS 2 toimii näiden rinnalla pikemminkin sääntelyvelvollisuutena kuin vapaaehtoisena sertifiointina.
Ostajat, sääntelyviranomaiset, vakuutusviranomaiset ja toimitusketjun kumppanit vaativat yhä useammin todisteita siitä, että heidän kanssaan työskentelevät toimittajat täyttävät tunnustetun standardin. Oikea sertifiointi riippuu siitä, kuka sitä pyytää, missä myyt ja kuinka kypsiä turvallisuustoimintojesi on oltava. Tämä opas erittelee viisi järjestelmää, joita Yhdistyneen kuningaskunnan organisaatiot kohtaavat useimmin, mitä kukin niistä kattaa, mitä ne maksavat ja kenelle ne sopivat.
ISMS.online on alusta, jota brittiläiset organisaatiot käyttävät kaikkien kyberturvallisuussertifiointien suorittamiseen yhdessä paikassa kartoittamalla todisteet ja kontrollit kerran Cyber Essentials-, ISO 27001-, SOC 2- ja NIS 2 -standardien välillä sen sijaan, että työ tehtäisiin uudelleen jokaista järjestelmää varten.
Miksi Yhdistyneen kuningaskunnan organisaatiot hankkivat kyberturvallisuussertifikaatteja?
Lähes jokaisessa näkemässämme sertifiointiprojektissa on mukana viisi kuljettajaa:
- Hankintavaatimukset — Yhdistyneen kuningaskunnan keskushallinnon sopimukset edellyttävät Cyber Essentials -vaatimuksia toimittajilta, jotka käsittelevät henkilötietoja tai tiettyjä ICT-palveluita (hankintapolitiikkaa koskeva huomautus 09/14). Puolustusministeriö edellyttää Cyber Essentials- tai Cyber Essentials Plus -vaatimuksia asiaankuuluvilta toimittajilta DEFCON 658 -standardin mukaisesti. Monet yksityisen sektorin ostajat toistavat saman vaatimuksen toimittajien kelpuutusprosesseissaan.
- Asiakaskysyntä — Yritysasiakkaat lähettävät yhä useammin turvallisuuskyselylomakkeita ennen allekirjoittamista. Nykyinen ISO 27001- tai SOC 2 -sertifikaatti korvaa usein 200 kysymyksen kyselylomakkeen yhdellä liitteellä.
- Toimialakohtainen sääntely — NIS 2 (EU:ssa) ja Yhdistyneen kuningaskunnan vastaava järjestelmä edellyttävät kriittisten alojen olennaisilta ja tärkeiltä toimijoilta kyberturvallisuuskontrollien ja tapahtumien raportoinnin osoittamista.
- Kybervakuutus — Vakuutusyhtiöt pyytävät rutiininomaisesti todisteita perusvalvonnasta ennen vakuutuksen tekemistä. Kyberturvallisuussertifikaatti riittää usein pk-yrityksille; suuremmat tai korkeamman riskin vakuutetut tarvitsevat yhä useammin ISO 27001- tai SOC 2 -standardin.
- Sisäinen varmennus — Hallitukset ja tarkastusvaliokunnat käyttävät riippumatonta sertifiointia todisteena siitä, että niiden hyväksymät kontrollit todella ovat olemassa ja toimivat.
Jos et vielä tiedä, mikä ajuri sopii sinulle, oppaamme aiheesta Onko Cyber Essentials hintansa arvoinen? käy läpi lähtötason järjestelmän kustannus-hyötylaskelman, ja valinta selkeytyy siitä eteenpäin.
Mitkä ovat tärkeimmät Yhdistyneen kuningaskunnan kyberturvallisuussertifikaatit?
Ison-Britannian kyberturvallisuussertifiointialaa hallitsee viisi järjestelmää. Neljä ensimmäistä ovat vapaaehtoisia sertifiointeja, jotka vaihtelevat Iso-Britannian erityisestä Cyber Essentials -perheestä kansainvälisesti tunnustettuihin standardeihin, kun taas viides on pikemminkin sääntelyvelvoite kuin varsinainen sertifiointi. Useimmilla Yhdistyneen kuningaskunnan organisaatioilla on ajan myötä useampi kuin yksi näistä asiakkaiden kysynnän, toimialan ja maantieteellisen alueen kehittyessä.
Cyber Essentials: Ison-Britannian hallituksen tukema aloituspiste
Cyber Essentials on Yhdistyneen kuningaskunnan hallituksen tukema sertifiointijärjestelmä, joka käynnistettiin vuonna 2014 ja jota nyt valvoo National Cyber Security Centre (NCSC). IASME on ollut ainoa akkreditointielin huhtikuusta 2020 lähtien. Se testaa viisi teknistä valvonta-aluetta (palomuurit ja reitittimet, turvallinen konfigurointi, käyttäjien pääsynhallinta, haittaohjelmien torjunta ja tietoturvapäivitysten hallinta) jokaisessa laajuusalueeseen kuuluvassa laitteessa ja pilvipalvelussa.
Tärkeimmät tiedot:
- Format: Itsearviointikysely IASME-akkreditoidun arvioijan tarkastama
- Voimassa: 12 kuukautta, uusitaan vuosittain
- Kustannukset: 330 punnasta + alv mikro-organisaatioille (1–9 työntekijää) aina 500 puntaan + alv suurille organisaatioille (yli 250 työntekijää); katso Cyber Essentialsin hinta täydellinen hinnoitteluerittely
- Tyypillinen aikajana: 4–12 viikkoa aloituksesta todistukseen
- Bonus: Tukikelpoiset Yhdistyneen kuningaskunnan organisaatiot, joiden liikevaihto on alle 20 miljoonaa puntaa, saavat ilmaisen kybervastuuvakuutuksen, jonka arvo on 25 000 puntaa.
- Paras: Ison-Britannian pk-yritykset kilpailevat valtion töistä; suuryritysten toimittajat; vakuutusvaatimukset; ensimmäinen virallinen sertifiointi
Cyber Essentials on edullisin ja nopein kyberturvallisuussertifiointi Isossa-Britanniassa. Se on myös suorin hankinta-arvoltaan se, koska Ison-Britannian hallitus ja monet yksityiset ostajat määräävät sen nimeltä. Rivi riviltä -valmiustyössä meidän... Kyberasioiden perusteet -tarkistuslista käy läpi jokaisen shekin ennen lähettämistä.
Cyber Essentials Plus: itsenäisesti auditoitu varmistus
Cyber Essentials Plus käyttää samoja viittä valvonta-aluetta kuin Cyber Essentials, mutta siihen lisätään riippumaton tekninen tarkastus. IASME-akkreditoitu arvioija skannaa näytelaitteita, varmistaa monivaiheisen todennuksen reaaliaikaisella kirjautumisella, testaa sähköpostin ja verkon suodatuksen ja vahvistaa, että vahvistamasi valvonta toimii käytännössä.
- Format: SAQ sekä edustavan laiteotoksen käytännön tekninen tarkastus
- Voimassa: 12 kuukautta
- Kustannukset: Tyypillisesti 1 500–3 000 puntaa Cyber Essentialsin perushinnan lisäksi ympäristön monimutkaisuudesta riippuen
- Aikajana: 1–2 viikkoa Cyber Essentials -ohjelman lisäksi, kun valmiustyöt ovat valmiit
- Paras: Puolustusministeriön tai korkean riskin toimitusketjujen toimittajat (DEFCON 658), ostajat, jotka erityisesti vaativat Plus-standardia, sekä organisaatiot, jotka käyttävät Plus-standardia ponnahduslautana ISO 27001 -standardin saavuttamiseen.
Viisi teknistä valvonta-aluetta on dokumentoitu yksityiskohtaisesti Cyber Essentials Plus -vaatimuksetJos vertailet CE- ja CE Plus -tasoja, ratkaiseva tekijä on yleensä se, vaatiiko tietty sopimus tai vakuutuksenantaja Plus-tasoa.
ISO 27001: kansainvälinen tietoturvallisuuden hallinnan sertifiointi
ISO/IEC 27001 on kansainvälinen standardi tietoturvallisuuden hallintajärjestelmille (ISMS). Siinä missä Cyber Essentials testaa viittä teknistä valvontaa, ISO 27001 sertifioi kokonaisvaltaisen hallintajärjestelmän: riskilähtöisen viitekehyksen, joka kattaa hallinnon, käytännöt, omaisuudenhallinnan, toimittajien turvallisuuden, tietoturvaloukkauksiin reagoinnin, liiketoiminnan jatkuvuuden ja 93 erityistä liitteessä A olevaa valvontaa (vuoden 2022 tarkistus; lyhennetty 114:stä vuoden 2013 versiossa).
- Format: Vaiheen 1 dokumentaatiotarkastus, sitten vaiheen 2 toteutustarkastus, sitten valvontatarkastukset joka vuosi ja täydellinen uudelleensertifiointitarkastus joka kolmas vuosi
- Voimassa: 3 vuotta uudelleensertifiointien välillä, vuosittainen valvonta
- Kustannukset: Tyypillisesti 3 000–15 000 puntaa+ Yhdistyneen kuningaskunnan pk-yrityksille, riippuen sertifioinnin laajuudesta ja valitusta sertifiointilaitoksesta
- Aikajana: 4–9 kuukautta ensimmäiselle sertifioinnille; pidempi monimutkaisille organisaatioille
- Paras: Kansainvälisesti myyvät organisaatiot, B2B SaaS, säännellyt sektorit, kaikki, joiden asiakkaat pyytävät ISMS-sertifikaattia nimeltä
ISO 27001 on kyberturvallisuussertifiointien kultastandardi maailmanlaajuisesti. Useimmat yritysasiakkaat odottavat toimittajiltaan sen; monet Yhdistyneen kuningaskunnan organisaatiot käyttävät perustana Cyber Essentials -sertifikaattia ja siirtyvät sitten ISO 27001 -sertifikaattiin asiakkaiden kysynnän kasvaessa. Katso lisätietoja standardin syvyyden, laajuuden ja tunnustuksen eroista kohdasta Kyberturvallisuusasiat vs. ISO 27001; katso tarkemmat tiedot tarkastusprosessista ISO 27001 -sertifikaatti.
SOC 2: varmuus yhdysvaltalaisille asiakkaille ja SaaS-palveluntarjoajille
SOC 2 (Service Organisation Control 2) on yhdysvaltalainen varmennusraportti, joka on laadittu American Institute of CPAs:n (AICPA) asettamien standardien mukaisesti. Se arvioi palveluorganisaatiota viiden luottamuspalvelukriteerin (turvallisuus, saatavuus, käsittelyn eheys, luottamuksellisuus ja yksityisyys) perusteella. Turvallisuus on pakollinen ja muut valinnaiset kriteerit laajuuden mukaan.
- Format: Tyyppi 1 (ajankohdan mukainen suunnitteluarviointi) tai tyyppi 2 (toiminnan tehokkuus 3–12 kuukauden havainnointi-ikkunan aikana)
- Voimassa: SOC 2 tuottaa raportin eikä todistusta; raportit uusitaan tyypillisesti vuosittain.
- Kustannukset: 15 000–100 000 puntaa+ riippuen laajuudesta, mukana olevista kriteereistä ja havaintoikkunasta
- Aikajana: Tyypin 2 havainnointiaika on 3–12 kuukautta; valmiustyöt lisäävät tyypillisesti 2–4 kuukautta
- Paras: SaaS-palveluntarjoajat, jotka myyvät Yhdysvaltoihin, asiakastietoja hallussaan pitävät palveluorganisaatiot, kaikki Yhdistyneen kuningaskunnan organisaatiot, joiden yhdysvaltalaiset asiakkaat pyytävät SOC 2:ta nimeltä
SOC 2:n ja ISO 27001:n vaatimukset ovat osittain päällekkäisiä. Atlantin molemmin puolin myyvät brittiläiset organisaatiot käyttävät usein molempia, ISMS.online yhteisenä todistusaineistona. Meidän SOC 2 hub kattaa kriteerit, valmiusprosessin ja miten se eroaa ISO 27001 -standardista.
NIS 2: sääntelyyn perustuva kyberturvallisuus keskeisille ja tärkeille toimijoille
NIS 2 on EU:n toisen sukupolven verkko- ja tietoturvadirektiivi, ja Iso-Britannia on ottanut käyttöön vastaavan kansallisen järjestelmän. Se ei ole sertifiointi, vaan sääntelyvaatimus kriittisten alojen (energia, liikenne, pankkitoiminta, rahoitusmarkkinainfrastruktuurit, terveydenhuolto, juomavesi, digitaalinen infrastruktuuri, julkishallinto, avaruus, postipalvelut, jätehuolto, kemikaalien valmistus ja jakelu, elintarvikkeet, lääkinnällisten laitteiden valmistus ja tietyt digitaalisten palveluntarjoajat) olennaisille ja tärkeille toimijoille.
- Format: Sääntelyyn perustuva velvoite toteuttaa määritellyt kyberturvallisuusriskien hallintatoimenpiteet ja poikkeamien raportointiaikataulut
- Voimassa: Jatkuva, sääntelyviranomaisen valvonnassa
- Kustannukset: Ei sertifiointimaksua; kustannukset aiheutuvat itse kontrolleista, jotka usein ovat ISO 27001 -standardin mukaisia
- Aikajana: Vaiheittainen käyttöönotto; soveltamisalaan kuuluvien organisaatioiden tulisi ottaa se käyttöön nyt
- Paras: Kaikki direktiivin nojalla olennaiseksi tai tärkeäksi yksiköksi luokitellut organisaatiot; myös näiden yksiköiden toimittajat kärsivät epäsuorasti
NIS 2 on joskus se laukaiseva tekijä, joka työntää organisaation Cyber Essentialsista ISO 27001 -standardiin, koska ISO 27001 tarjoaa jäsennellyn tavan osoittaa direktiivin edellyttämät riskienhallintatoimenpiteet. NIS 2 keskus käy läpi tarkastuksen piiriin kuuluvat sektorit ja erityisvelvoitteet.
Vertailu: Yhdistyneen kuningaskunnan kyberturvallisuussertifikaatit yhdellä silmäyksellä
| Sertifiointi | Laajuus | Tyypilliset kustannukset (pk-yritykset Isossa-Britanniassa) | Tyypillinen aikajana | Voimassaolo | Parhaiten sopiva |
|---|---|---|---|---|---|
| Cyber Essentials | 5 teknistä tarkastusta, itsearvioitu | Alkaen 330 puntaa + alv | 4 – 12 viikkoa | 12 kuukautta | Ison-Britannian pk-yritykset, valtion sopimukset, vakuutukset, ensimmäinen sertifiointi |
| Cyber Essentials Plus | Samat viisi kontrollia + riippumaton tarkastus | Lisää 1 500–3 000 puntaa+ | +1–2 viikkoa | 12 kuukautta | MOD-toimittajat, sopimukset edellyttävät Plus-standardia, ISO 27001 -standardin mukainen askelma |
| ISO 27001 | Täydellinen tietoturvan hallintajärjestelmä, 93 liitteen A mukaista valvontaa, hallinto | 3,000 15,000–XNUMX XNUMX+ £ | 4–9 kuukautta | 3 vuotta (vuosittainen seuranta) | Kansainvälinen myynti, B2B SaaS, säännellyt sektorit |
| SOC 2 (tyyppi 2) | 5 Luottamuspalveluiden kriteerit, toiminnan tehokkuus | 15,000 100,000–XNUMX XNUMX+ £ | 3–12 kuukauden havainnointi | Vuosikatsaus | SaaS-myynti Yhdysvaltoihin, palveluorganisaatiot |
| NIS 2 | Olennaisten/tärkeiden toimijoiden sääntelyyn liittyvä kyberriskien hallinta | Upotettu toimintoihin | Jatkuva | Jatkuva | Kriittisen infrastruktuurin sektorit ja niiden toimittajat |
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Miten valitset kyberturvallisuussertifikaattien välillä?
Aloita kysymyksestä, joka käynnisti projektin. Oikea sertifiointi riippuu siitä, mitä (tai kuka) sitä pyytää.
- Yhdistyneen kuningaskunnan hallituksen sopimus tai puolustusministeriön toimittaja — Aloita Cyber Essentials -kurssilla ja lisää sitten Plus-kursseja, jos niitä erikseen vaaditaan. Tämä on nimetty määräyksiin PPN 09/14 ja DEFCON 658.
- Kybervakuutus — Cyber Essentials riittää yleensä pk-yrityksille. Suuremmat tai korkeamman riskin vakuutetut saattavat tarvita ISO 27001 -standardin.
- Yritysasiakas pyytää ISMS-sertifikaattia — ISO 27001. Asiakkaat mainitsevat tämän lähes aina erikseen.
- Yhdysvalloissa toimiva SaaS-asiakas pyytää varmennusraporttia — SOC 2 (yleensä tyyppi 2, kun suhde on vakiintunut).
- NIS 2 tai vastaava sääntelyvelvoite — Toteuta asetuksen edellyttämät kontrollit; monet organisaatiot käyttävät ISO 27001 -standardia jäsentämiskehyksenä tämän osoittamiseksi.
- Ensimmäinen sertifiointi, jota ei ohjaa tietty ostaja — Cyber Essentials. Se on edullisin, nopein ja sillä on selkein hankinta-arvo Isossa-Britanniassa, ja työsi heijastuu suoraan ISO 27001 -standardiin, jos etenet.
Useimmilla Yhdistyneen kuningaskunnan organisaatioilla on ajan myötä useampi kuin yksi. Tyypillinen eteneminen näyttää tältä: Cyber Essentials → Cyber Essentials Plus → ISO 27001 → SOC 2, kun yhdysvaltalaiset asiakkaat ilmestyvät. Kontrollit ovat päällekkäisiä niin paljon, että seuraavan sertifioinnin ylläpitäminen on vaiheittaista eikä alusta aloittamista – edellyttäen, että sinulla on yksi näyttökerros, joka yhdistää kontrollit eri järjestelmien välillä.
Entä jos tarvitset useita sertifikaatteja?
Cyber Essentialsin, ISO 27001:n ja SOC 2:n suorittaminen erikseen on kallista. Kaikki kolme pyytävät samoja todisteita (palomuurisäännöt, MFA-konfiguraatio, liittyjien/lähtejien tiedot, resurssien inventaario, korjauspäivitysraportit), vain eri muodoissa. Useimmiten ne päätyvät kolmeen paikkaan ja kolmeen päivityssykliin.
Vaihtoehto on tallentaa jokainen kontrolli ja jokainen todiste kerran, kartoittaa se jokaiseen sen täyttämään järjestelmään. ISMS.online tekee – yksi tietoturvajärjestelmä, joka sisältää Cyber Essentials-, ISO 27001-, SOC 2- ja NIS 2 -standardien mukaiset valvontajärjestelmät samanaikaisesti, ja todisteet linkitetään kerran ja niitä voidaan käyttää uudelleen kaikkialla. Asiakkaat, jotka aloittavat Cyber Essentialsin käytön ISMS.online ovat usein puolivälissä ISO 27001 -valmiutta, kun asiakaskysyntä saapuu.
Mitä yleisiä väärinkäsityksiä kyberturvallisuussertifioinnista on?
- "Sertifiointi tarkoittaa, että olemme turvassa." Sertifiointi tarkoittaa, että täytät määritellyt valvontavaatimukset tiettynä ajankohtana. Se ei tarkoita, etteikö sinua voisi rikkoa. Käsittele sertifikaattia todisteena ohjelmasta, älä tuloksena.
- ”Cyber Essentials ja ISO 27001 ovat sama asia.” Eivät ole. Cyber Essentials kattaa viisi teknistä valvonta-aluetta; ISO 27001 sertifioi täydellisen tietoturvallisuuden hallintajärjestelmän, joka kattaa hallinnon, riskit ja 93 erityistä valvontaa.
- "Tarvitsemme sekä ISO 27001- että SOC 2 -standardin ensimmäisestä päivästä lähtien." Yleensä ei. Useimmat brittiläiset organisaatiot aloittavat suurimman nykyisen ostajansa tarvitsemasta toimittajasta ja lisäävät toisen toimittajan, kun kansainvälinen myynti sitä tarvitsee.
- "Pilvipalveluntarjoajamme sertifiointi kattaa meidät." Pilvipalveluntarjoajasi sertifikaatti kattaa heidän infrastruktuurinsa, ei vuokralaisesi kokoonpanoa, käyttöoikeuksia tai tietojen käsittelyä. Tarvitset silti oman sertifikaatin.
- "Sertifiointi on kertaluonteinen projekti." Jokaisella kyberturvallisuussertifikaatilla on vuosittainen tai kolmivuotinen uusimissykli. Käsittele sitä toimintaohjelmana, älä projektina.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Miksi valita ISMS.online kyberturvallisuussertifiointiin?
- Yksi alusta, jokainen järjestelmä — Cyber Essentials, Cyber Essentials Plus, ISO 27001, SOC 2 ja NIS 2 on kaikki valmiiksi kartoitettu ISMS.online, jossa kontrollit ovat yhdenmukaisia eri järjestelmien välillä, joten todisteita käytetään uudelleen eikä niitä kirjoiteta uudelleen.
- Yksi ainoa todisteiden lähde — Liitä kuvakaappaus tai dokumentti kerran ja linkitä se kaikkiin sen täyttämiin ominaisuuksiin kaikissa sertifioinneissa. Ei päällekkäisyyksiä eikä versionmuutoksia.
- Riskirekisteri ja tietoturvallisuuden hallintajärjestelmän laajuus — Kirjaa tietovarannot, riskit ja käsittelyt jäsenneltyyn tietoturvan hallintajärjestelmään (ISMS), joka täyttää ISO 27001 -lausekkeen vaatimukset ja tukee SOC 2 -kertomustasi.
- Valmiiksi laaditut käytännöt ja menettelytavat — Kirjasto valmiiksi kirjoitettuja käytäntöjä, jotka on linjattu kunkin järjestelmän hallintalaitteisiin, joten aloitat toimivasta lähtökohdasta tyhjän asiakirjan sijaan.
- Auditointivalmiina — Valvonta-auditoinnit, uudelleensertifiointiauditoinnit ja SOC2-havaintoikkunat ovat helpompia, kun alusta seuraa todisteiden tuoreutta, toimenpiteiden omistajia ja määräpäiviä automaattisesti.
- Tuhansien organisaatioiden luottama - ISMS.online tukee kaikenkokoisia yrityksiä ensikertalaisista Cyber Essentials -hakijoista globaaleihin monisertifiointiryhmiin.
- Asiakkaan menestys, joka on kulkenut sen läpi — Käyttöönottotuki ihmisiltä, jotka ovat itse sertifioituneet samojen järjestelmien mukaisesti, eivätkä vain myyneet alustaa.
UKK
Mikä on paras kyberturvallisuussertifiointi Ison-Britannian pk-yritykselle?
Useimmille Yhdistyneen kuningaskunnan pk-yrityksille oikea lähtökohta on Cyber Essentials. Se on kustannustehokkain sertifiointi, nopein saavuttaa ja Yhdistyneen kuningaskunnan hallituksen hankintojen PPN 09/14 -asetuksen mukainen. Cyber Essentials Plus tulee seuraavana, jos sopimus tai toimitusketju sitä vaatii. Siirry ISO 27001 -sertifiointiin, kun yritysasiakkaiden kysyntä tai kansainvälinen myynti ilmenee.
Onko Cyber Essentials kansainvälisesti tunnustettu kyberturvallisuussertifikaatti?
Cyber Essentials on Iso-Britannia-kohtainen. Sen tunnustavat Ison-Britannian hallitus, Ison-Britannian vakuutusyhtiöt ja monet yksityiset ostajat Isossa-Britanniassa, mutta sillä ei ole suoraa painoarvoa Ison-Britannian ulkopuolella. ISO 27001 on vastaava kansainvälisesti tunnustettu sertifiointi, ja SOC 2 on Yhdysvaltojen hallitseva varmennusraportti. Maailmanlaajuisesti myyvät Ison-Britannian organisaatiot siirtyvät yleensä Cyber Essentialsista ISO 27001- tai SOC 2 -standardiin.
Paljonko kyberturvallisuussertifiointi maksaa Isossa-Britanniassa?
Kustannukset vaihtelevat suuresti. Cyber Essentials -sertifiointi alkaa 330 punnasta + alv pienimmille organisaatioille. Cyber Essentials Plus -sertifiointiin lisätään tyypillisesti 1 500–3 000 puntaa auditoinnista. ISO 27001 -sertifioinnin hinta vaihtelee 3 000 punnasta hyvin pienille organisaatioille yli 15 000 puntaan monimutkaisille auditointialueille. SOC 2 Type 2 -sertifioinnin hinta vaihtelee 15 000 punnasta yli 100 000 puntaan kriteereistä, laajuudesta ja havaintoikkunasta riippuen. NIS 2 -sertifiointiin ei liity sertifiointimaksua, mutta se edellyttää investointeja taustalla oleviin kontrolleihin.
Kuinka kauan kyberturvallisuussertifiointi kestää?
Cyber Essentials kestää tyypillisesti 4–12 viikkoa aloituksesta. Cyber Essentials Plus lisää 1–2 viikkoa ja lisäksi valmiustyön. ISO 27001 -sertifiointi kestää ensimmäistä kertaa pk-yritysten sertifioinnissa 4–9 kuukautta. SOC 2 Type 2 vaatii 3–12 kuukauden havainnointi-ikkunan valmiustyön lisäksi. NIS 2 on jatkuva: se ei ole kertaluonteinen projekti.
Kattaako kyberturvallisuussertifiointi GDPR:n?
Mikään sertifiointi yksinään ei takaa GDPR-vaatimustenmukaisuutta. Sekä ISO 27001 että SOC 2 kattavat monia GDPR:n edellyttämiä tietoturvatoimia. ISO 27701 laajentaa ISO 27001 -standardia erityisesti yksityisyyden hallintajärjestelmään. Mikään niistä ei korvaa Yhdistyneen kuningaskunnan GDPR:n mukaisia lakisääteisiä ja dokumentointiin liittyviä velvoitteita, mutta ne helpottavat huomattavasti tietoturvakontrollien osoittamista.
Pitääkö minun uusia sertifiointi joka vuosi?
Cyber Essentials- ja Cyber Essentials Plus -sertifikaatit ovat voimassa 12 kuukautta ja ne uusitaan vuosittain. ISO 27001 -standardi noudattaa kolmen vuoden sykliä, ja valvontatarkastukset tehdään vuosittain. SOC 2 -raportit päivitetään tyypillisesti vuosittain. NIS 2 on jatkuva velvoite eikä määräaikainen sertifiointi. Olipa käytössäsi mikä tahansa järjestelmä, käsittele sitä toimintaohjelmana eikä kertaluonteisena projektina.
