Kuinka kauan Cyber Essentialsin saaminen Isoon-Britanniaan kestää?
Rehellinen vastaus on, että Cyber Essentials -konsultointi kestää tyypillisesti kahdesta kahdeksaan viikkoa alusta loppuun., ja keskimääräinen brittiläinen yritys saavuttaa sertifioinnin neljästä kuuteen viikkoon. Jos tekniset hallintajärjestelmäsi ovat jo hyvässä kunnossa ja projektia johtaa omistautunut omistaja, sertifiointi voidaan saada jopa kolmesta viiteen arkipäivään mennessä. Jos ympäristösi on sekava tai laajuus on epäselvä, aikataulu voi venyä reilusti yli kahdeksaan viikkoon.
Suurin osa tästä vaihtelusta liittyy pikemminkin valmisteluvaiheeseen kuin itse arviointiin. Kun itsearviointikyselylomake on toimitettu IASME-akkreditoidulle sertifiointielimelle, arvioijan tarkistus suoritetaan yleensä yhdestä kolmeen arkipäivään, ja sertifikaatti myönnetään yleensä 24 tunnin kuluessa läpäisystä. Todellinen kysymys on, kuinka kauan sinulla kestää valmistautua lähettämään kyselylomake luottavaisin mielin.
Tämä opas jakaa matkan vaihe vaiheelta ja selittää, miten Cyber Essentials Plus -vaatimukset lisää tähän erillisen neljästä kuuteen viikkoa kestävän tarkastusikkunan ja osoittaa käytännön tekijät, jotka joko nopeuttavat tai viivästyttävät Yhdistyneen kuningaskunnan yritysten työskentelyä sopimus- tai tarjouskilpailuajan jälkeen.
Miltä vaiheen hajoaminen todellisuudessa näyttää?
Cyber Essentials on itsearviointijärjestelmä, jota hallinnoi NCSC ja se toteutetaan IASME:n ja sen sertifiointielinten verkoston kautta. Sertifiointi on yksi kyselylomake, mutta sen taustalla oleva työ jakautuu viiteen selkeästi erilliseen vaiheeseen.
Vaihe 1: Valmistelu ja laajuuden määrittely (1–4 viikkoa)
Lähes kaikki vaihtelu piilee tässä. Sinun on määriteltävä sertifioinnin rajat (koko organisaatio vai osajoukko), inventoitava sertifioinnin piiriin kuuluvat laitteet, pilvipalvelut ja käyttäjät sekä varmistettava, että viisi teknistä valvontatoimenpidettä (palomuurit, turvallinen konfigurointi, käyttäjien pääsynhallinta, haittaohjelmien torjunta ja tietoturvapäivitysten hallinta) ovat käytössä kaikissa resursseissa. Useimmat viivästykset Cyber Essentials -projekteissa johtuvat tästä, eivät arvioinnista.
Vaihe 2: Kyselylomakkeen täyttäminen ja lähettäminen (1–2 päivää)
Kun valmistelut ovat valmiit, varsinainen Kyberasioiden itsearviointikysely Pätevältä omistajalta kestää noin puolesta päivästä koko päivään. Lähetys tapahtuu sähköisesti sertifiointilaitoksen portaalin kautta, ja se on yleensä välitön.
Vaihe 3: Arvioijan arviointi (1–3 työpäivää)
IASME-akkreditoitu arvioija tarkistaa jokaisen vastauksen julkaistuja Cyber Essentials -vaatimuksia vasten. Hän joko myöntää hyväksymismerkinnän, esittää selventäviä kysymyksiä tai merkitsee tietyt kontrollit vaatimustenvastaisiksi. Useimmat arvioijat pyrkivät suorittamaan ensimmäisen arvioinnin kahden arkipäivän kuluessa, vaikka kysyntäpiikit (yleensä loppukevät ja tilikauden loppu) voivat pidentää tätä aikaa.
Vaihe 4: Korjaus tarvittaessa (vaihteleva, usein 1–3 viikkoa)
Jos arvioija merkitsee ongelmia, sinulle annetaan aikaraja (yleensä kaksi arkipäivää normaalin järjestelmän mukaisesti, pidempi joidenkin sertifiointielinten uudelleenlähetysehtojen mukaisesti) joko toimittaa lisätodisteita tai korjata taustalla oleva ongelma. Varsinainen korjaava toimenpide, erityisesti tukemattomien ohjelmistojen korjaaminen tai monivaiheisen todennuksen käyttöönotto, voi kestää kauemmin kuin itse arviointi.
Vaihe 5: Sertifikaatin myöntäminen (alle 24 tunnin kuluessa hyväksymisestä)
Kun arvioija on vahvistanut läpäisyn, todistuksesi ja merkkisi myönnetään sähköisesti, yleensä saman arkipäivän aikana. Sinut listataan julkisessa IASME-sertifikaattihaussa ja voit välittömästi käyttää sertifikaattia tarjouskilpailuissa, vakuutushakemuksissa ja julkisen sektorin hankinnoissa.
Aloita ilmainen kokeilu
Haluatko tutkia?
Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia
Mikä on tyypillinen Cyber Essentialsin aikajana vaiheittain?
Alla oleva taulukko yhteenvetää kunkin vaiheen tyypillisen keston Yhdistyneen kuningaskunnan pk-yritykselle, joka pyrkii perustason Cyber Essentials -sertifiointiin. Käytä sitä suunnitellaksesi urakkaasi sopimus- tai tarjouspyyntösi määräajasta taaksepäin.
| Vaihe | Pikakäsittely (valmisteltu) | Tyypillinen pk-yritys | Hidas (sotkuinen ympäristö) |
|---|---|---|---|
| 1. Valmistelu ja laajuuden määrittely | 1 - 2 päivää | 2 ja 3 viikkoa | 4 ja 8 viikkoa |
| 2. Kyselylomakkeen täyttäminen | Puoli päivää | Yhden päivän | 2 - 3 päivää |
| 3. Arvioijan arviointi | 1 - 2 työpäivää | 2 - 3 työpäivää | 3 - 5 työpäivää |
| 4. Korjaavat toimenpiteet (tarvittaessa) | Ei eristetty | 2 - 5 työpäivää | 1 ja 3 viikkoa |
| 5. Varmenteen myöntäminen | Samana päivänä | Yhden arkipäivän kuluessa | Yhden arkipäivän kuluessa |
| Kokonaissumma kokonaisuudessaan | 3 - 5 työpäivää | 4 ja 6 viikkoa | 8 ja 12 viikkoa |
Nämä vaihteluvälit ovat tarkoituksella realistisia eivätkä toivottuja. Monet sertifiointielimet mainostavat "Cyber Essentials in 24 hours" -ohjelmaa, ja se on teknisesti mahdollista – mutta vain jos sinulla on puhdas ja asianmukainen ympäristö, täydelliset todisteet ja kokenut omistaja. Useimpien Yhdistyneen kuningaskunnan yritysten, jotka tekevät tätä ensimmäistä kertaa, kannattaa suunnitella neljästä kuuteen viikkoa ja pitää nopeampaa toteutusta bonuksena.
Mitkä tekijät nopeuttavat Cyber Essentials -sertifiointia?
Jos aikajanaa täytyy lyhentää, neulaa eniten liikuttavat vivut ovat ympäristöön ja organisointiin liittyviä, eivät menettelytapoihin liittyviä. Kyselylomaketta itsessään ei voida lyhentää, mutta siihen valmistautumista koskevaa työtä voi ehdottomasti lyhentää.
- Olemassa olevat turvatoimet — Jos jo käytät vahvoja salasanoja, monitunnistusta, automaattista korjauspäivitystä ja päätelaitteiden haittaohjelmasuojausta ryhmäkäytännön, Intunen tai vastaavan avulla, suuri osa kyselylomakkeesta muuttuu pikemminkin dokumentointitehtäväksi kuin korjausprojektiksi.
- Mobiililaitteiden hallinta ja kertakirjautuminen käytössä — MDM-työkalut (Intune, Jamf, Kandji) ja kertakirjautumispalveluntarjoajat (Microsoft Entra ID, Google Workspace, Okta) tarjoavat sinulle välittömän ja perustellun todisteen turvallisesta kokoonpanosta ja käyttöoikeuksien hallinnasta kaikilla laitteilla ja käyttäjillä.
- Selkeä ja rajattu soveltamisala — Koko organisaatiota koskevaa sertifiointilaajuutta on helpompi puolustaa kuin verkostosegmentointiin perustuvaa eriytettyä alikelpoisuuslaajuutta. Jos voit sertifioida koko liiketoiminnan, tee se.
- Omistautunut omistaja, jolla on valtaa — Projektit, joilla on yksi nimetty omistaja, joka voi tehdä päätöksiä laajuudesta, todisteista ja budjetista, valmistuvat johdonmukaisesti nopeammin kuin projektit, jotka on hajautettu eri IT-, tietoturva- ja vaatimustenmukaisuusosastoille.
- Kokenut sertifiointilaitos — Vakiintuneet IASME-akkreditoidut arvioijat tarkistavat nopeammin ja esittävät terävämpiä ja hyödyllisempiä kysymyksiä, kun jokin on epäselvää.
- Vaatimustenmukaisuusalusta tekee raskaan työn — Alusta, joka yhdistää todisteesi viiteen kontrolliin, seuraa puutteita ja tallentaa vastaukset keskitetysti, välttää klassisen taulukkolaskenta- ja sähköpostihaasteen, jossa hukkaan menee päiviä kerrallaan.
Mikä hidastaa Cyber Essentials -sertifiointia?
Yhtä lailla on olemassa tunnettuja viivästyksiä aiheuttavia tekijöitä. Näiden tunnistaminen varhaisessa vaiheessa tarkoittaa, että voit joko puuttua niihin tai sisällyttää ne aikatauluusi alusta alkaen.
- Ei-tuettu ohjelmisto on edelleen käytössä — Tuen ulkopuolella olevat käyttöjärjestelmät, selaimet tai sovellukset epäonnistuvat Cyber Essentials -tuen kanssa kokonaan. Joko poista ne tukikelpoisuudesta (segmentoimalla) tai päivitä ne – molemmat vievät aikaa.
- Kouluttamattomat käyttäjät ja epäjohdonmukaiset käytännöt — Jos puolella tiimistä on järjestelmänvalvojan oikeudet, joita heillä ei pitäisi olla, tai salasanakäytännöt vaihtelevat osastoittain, odota korjauksia ennen lähettämistä.
- BYOD ilman selkeää käytäntöä — Organisaatiotietoja käyttävät henkilökohtaiset laitteet kuuluvat tämän säännön piiriin. Ilman MDM-valvonnan valvomaa käytäntöä tai perusteltavissa olevaa poikkeusta BYOD estää sertifioinnin.
- Pilvipalvelut ilman asianmukaista inventaariota — Varjo-IT ja luetteloimattomat SaaS-sovellukset tekevät kyselyyn todella vaikeasti vastattavista totuudenmukaisesti ja lisäävät arvioijan virheellisen löydöksen riskiä.
- Viime hetken jättö ennen tarjousajan päättymistä — Ratkaisemattomien ongelmien kanssa lähettäminen ja "katsotaan, mitä tulee takaisin" -tilanteen seuraaminen vie lähes aina enemmän aikaa kuin ongelmien korjaaminen ensin.
- Väärinkäsitys laajuudesta — Cyber Essentialsin käsitteleminen vain IT-projektina ja pilvijärjestelmänvalvojan tilien, urakoitsijoiden tai etätyöntekijöiden unohtaminen johtaa myöhäiseen uudelleenarviointiin ja uudelleenlähetykseen.
Aloita helposti henkilökohtaisella tuote-esittelyllä
Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.
Kuinka kauan Cyber Essentials Plus vaikuttaa?
Cyber Essentials Plus on järjestelmän auditoitu taso. Se käyttää samoja viittä kontrollia ja samaa kyselylomaketta, mutta siihen lisätään IASME-akkreditoidun arvioijan suorittama käytännön tekninen auditointi. Auditointiin kuuluu laitteiden näytteenotto, todennettujen haavoittuvuusskannausten suorittaminen, haittaohjelmasuojauksen testaaminen, monikriteerisen autentikoinnin validointi ja kyselylomakkeen väitteiden todentaminen käytännössä.
Sinun tulisi varata neljästä kuuteen viikkoa lisää kyberturvallisuuden perusasioiden lisäksi, jotka jakautuvat karkeasti seuraavasti:
- Auditoinnin aikatauluttaminen — Useimmat sertifiointielimet tarvitsevat yhdestä kolmeen viikkoa läpimenoaikaa, erityisesti paikan päällä tehtäviin tai hybridi-auditointeihin.
- Itse tarkastus — Yhdestä kolmeen arkipäivää laitenäytteen koosta ja monimutkaisuudesta riippuen.
- Tarkastushavaintojen korjaaminen — IASME-järjestelmän mukaisesti enintään 30 päivää aikaa korjata arvioijan havaitsemat ongelmat.
- Lopullinen hyväksyntä ja Plus-sertifikaatin myöntäminen — Muutaman arkipäivän kuluessa korjauksen todentamisesta.
Sinulla on oltava voimassa oleva Cyber Essentials -perussertifikaatti Plus-sertifikaatin myöntämishetkellä, ja Plus-auditointi on suoritettava kolmen kuukauden kuluessa perussertifiointisi päivämäärästä. Tämä aikaraja on ehdoton, joten Plus-auditointi kannattaa varata samaan aikaan, kun aloitat perussertifiointiprosessin.
Kuinka kauan Cyber Essentials -sertifikaatti on voimassa?
Cyber Essentials -sertifikaatti on voimassa 12 kuukautta myöntämispäivästäVälitarkastusta ei ole; kerran tehty tarkastus on voimassa koko vuoden. Jatkuvan sertifioinnin ylläpitämiseksi sinun on uusittava se ennen sen päättymispäivää tekemällä uusi itsearviointi, joka heijastaa nykyistä ympäristöäsi.
Uusimiskyselylomake ei ole kevyempi kuin alkuperäinen, ja vaatimukset päivittyvät vuosittain (IASME ja NCSC tarkistavat kysymyssarjan vuosittain). Käytännössä tämä tarkoittaa, että viime vuonna läpäistäväksi vaaditut tarkastukset eivät välttämättä ole tänä vuonna riittäviä – esimerkiksi MFA-vaatimukset ja oman laitteen tuomista koskevat säännöt ovat tiukentuneet viimeaikaisissa vuosittaisissa päivityksissä. Suhtaudu uusimiseen harkittuna harjoituksena eikä kopioinnina. Yksityiskohtaiset mekaniikat käsitellään oppaassamme. Cyber Essentials -uusiminen.
Kustannukset skaalautuvat organisaation koon mukaan ja ovat tasopohjaisia; katso erittelymme Cyber Essentials -sertifioinnin hinta nykyisille IASME-maksuluokille.
Mitkä ovat yleisimmät Cyber Essentials -aikajanan virheet?
Työskennellessäsi tuhansien ohjelman läpikäyvien brittiläisten organisaatioiden kanssa samat virheet toistuvat yhä uudelleen. Vältä näitä, niin vältät suurimman osan yllätyksistä.
- Odotan viimeiseen hetkeen asti — Projektin aloittaminen kaksi viikkoa ennen tarjouspyynnön määräaikaa on lähes varma ensimmäisen hakemuksen hylkäämisestä. Varaa vähintään kuuden viikon puskuriaika.
- Laajuusalueen aliarviointi — Pilvipalveluiden, etätyöntekijöiden, urakoitsijoiden tai henkilökohtaisten laitteiden unohtaminen laajuuden ulkopuolelle johtaa myöhäiseen havaitsemiseen ja uudelleenmäärittelyyn.
- Heikko tai puuttuva näyttö — Kysymykseen kyllä vastaaminen ilman, että sitä voidaan perustella käytännöillä, määrityksillä tai lokeilla, houkuttelee arvioijaa jatkotoimenpiteisiin ja hidastaa arviointia.
- Käsittele sitä paperityönä — Cyber Essentials tarkistaa todellisuutta, ei dokumentaatiota. Jos tekniset toimenpiteet eivät ole aidosti käytössä, arvioija saa siitä selville.
- Väärän sertifiointilaitoksen valitseminen ajankohtaan nähden — Joillakin tahoilla on usean viikon mittaisia jonoja ruuhka-aikoina. Varmista arvioijan saatavuus ennen kuin sitoudut määräaikaan.
- Vuosittaisten päivitysten huomiotta jättäminen — Vaatimukset muuttuvat vuosittain. Edellisen vuoden vastausten käyttäminen tarkistamatta niitä uudelleen nykyiseen kysymyssarjaan verrattuna johtaa epäonnistumiseen uusittaessa.
Helpoin tapa välttää kolme ensimmäistä on käydä läpi Kyberasioiden perusteet -tarkistuslista ennen arviointiajan varaamista.
Miksi valita ISMS.online nopeampaan kyberturvallisuussertifiointiin?
- Esimääritetty kaikkiin viiteen ohjausobjektiin - ISMS.online toimitetaan jo näyttöösi mukautetun Cyber Essentials -kysymysstön kanssa, joten et rakenna tarkistuslistaa tyhjästä.
- Keskitetty todistusaineisto — Jokainen käytäntö, määrityskuvakaappaus, MDM-vienti ja kuvakaappaus sijaitsee yhdessä paikassa, valmiina liitettäväksi oikeaan hallintaan välittömästi – ei hajallaan asemilla ja postilaatikoissa.
- Reaaliaikainen kuilun näkyvyys — Reaaliaikainen kojelauta näyttää, mitkä kontrollit ovat vihreitä, keltaisia ja punaisia, joten tiedät tarkalleen, mitä on jäljellä ennen lähettämistä, sen sijaan, että kohtaisit yllätyksiä arvioijan tarkistuksen aikana.
- Usean kehyksen uudelleenkäyttö – Samat todisteet tukevat ISO 27001, SOC 2 ja NIS 2 joten Cyber Essentialsiin investoimasi aika ei mene hukkaan, kun seuraava kehys saapuu.
- Varmennettujen tulosten menetelmä — Todistettu toteutusmenetelmä, joka lyhentää johdonmukaisesti sertifiointiprosessia jäsentämällä työtä pelkän tallentamisen sijaan.
- Yhteistyötila omistajille ja arvioijille — Anna kysymyksiä, jätä kommentteja, seuraa kuka vastasi mihin ja esitä puhdas todistusaineisto sertifiointielimelle murto-osassa sähköpostitse tapahtuvasta ajasta.
- Rakennettu Ison-Britannian pk-yrityksille - ISMS.online on Isossa-Britanniassa pääkonttoriaan pitävä alusta, jota tuhannet organisaatiot käyttävät nopeampaan vaatimustenmukaisuuden saavuttamiseen ja jolla on Isossa-Britanniassa sijaitseva tuki.
Aiheeseen liittyviä Cyber Essentials -oppaita
Jatka omaasi Cyber Essentials matkaa tämän sarjan muiden oppaiden kanssa:
- Kyberturvallisuusvaatimukset — Viisi valvonta-aluetta, laajuuspäätökset ja mitä näytön arvioijat etsivät.
- Kybertarvikkeiden hinta — IASME-hinnoitteluportaat, lisäkustannukset, piilokustannukset ja 3 vuoden kokonaiskustannukset Yhdistyneen kuningaskunnan yrityksille.
- Onko kyberturvallisuus hintansa arvoinen? — Rehellinen arvio hyödyistä, haitoista ja siitä, kuka sertifiointia todella tarvitsee.
- Cyber Essentials Plus -vaatimukset — Tekninen auditointi, haavoittuvuustarkistukset ja mitä Plus tarjoaa perussertifioinnin lisäksi.
- Kyberasioiden itsearviointi — SASQ-työnkulku, laajuus, näyttö ja yleiset sudenkuopat.
- Kyberturvallisuuden uusiminen — 12 kuukauden sykli, vuoden 2026 määräysvallan muutokset ja miten valmistautua 60 päivän lähtöön.
- Kyberturvallisuuden perusteet pienyrityksille — Pk-yrityksille suunnattu hinnoittelu, laajuus ja kustannus-hyötyanalyysi.
- Kyberturvallisuusasiat vs. ISO 27001 — Laajuus, kustannukset, aika ja tunnustus verrattuna.
UKK
Kuinka nopeasti Cyber Essentialsin voi realistisesti hankkia?
Jos kaikki viisi teknistä valvontaa on jo käytössä, hankkeen laajuus on selkeä ja projektia johtaa omistautunut omistaja, voit lähettää hakemuksen, tulla arvioiduksi ja saada sertifikaatin kolmesta viiteen arkipäivässä. Tyypilliselle brittiläiselle pk-yritykselle, joka osallistuu hankkeeseen ensimmäistä kertaa, realistisempi suunnitelma on neljästä kuuteen viikkoa.
Kuinka kauan Cyber Essentials -sertifikaatti on voimassa?
Kaksitoista kuukautta myöntämispäivästä. Väliarviointia ei ole, mutta sertifikaatin voimassaolon jatkumiseksi sinun on suoritettava uusi itsearviointi ja läpäistävä se ennen sertifikaatin voimassaolon päättymistä.
Kuinka kauan Cyber Essentials Plus -valmisteen käyttö kestää verrattuna Cyber Essentials -perusvalmisteeseen?
Plus-auditointi lisää noin neljästä kuuteen viikkoa Cyber Essentials -peruskurssien lisäksi kattamaan auditointien aikataulutuksen, itse auditoinnin (yhdestä kolmeen työpäivää), mahdolliset korjaavat toimet (enintään 30 päivää IASME-järjestelmän mukaisesti) ja lopullisen hyväksynnän. Plus-auditointi on suoritettava kolmen kuukauden kuluessa perussertifiointipäivästäsi.
Mitä tapahtuu, jos en läpäise Cyber Essentials -arviointia?
Sinulle annetaan yleensä lyhyt aikaikkuna (yleensä kaksi arkipäivää IASME-standardin mukaisessa järjestelmässä, pidempi joissakin sertifiointielimissä) ongelmien korjaamiseen ja hakemuksen uudelleen lähettämiseen. Jos et pysty korjaamaan ongelmia tässä ajassa, sinun on ehkä aloitettava uusi lähetys, mikä pidentää aikataulua. ISMS.online auttaa estämään tämän paljastamalla aukot ennen lähettämistä eikä vasta sen jälkeen.
Voinko saada Cyber Essentialsin ja ISO 27001 -sertifikaatin samanaikaisesti?
Kyllä, ja monet Yhdistyneen kuningaskunnan organisaatiot tekevät niin. Cyber Essentials on hyödyllinen varhainen virstanpylväs matkalla kohti ISO 27001 -standardia, koska viisi teknistä kontrollia ovat vahvasti päällekkäisiä ISO 27001 -standardin liitteen A kanssa. Molempien toimiminen rinnakkain yhden näyttöpohjan pohjalta... ISMS.online välttää päällekkäistä työtä.
Onko Cyber Essentials -kyselylomake todella vaikea?
Kysymykset eivät ole teknisesti monimutkaisia, mutta niihin rehellinen ja todisteilla vastaaminen edellyttää, että ymmärrät tarkalleen, mitä laajuus pitää sisällään ja miten kukin viidestä kontrollista toteutetaan. Vaikeus on toiminnallisessa, ei älyllisessä – siksi selkeä laajuus, yksi omistaja ja jäsennelty alusta vaikuttavat niin paljon aikatauluun.
