Mikä on Cyber Essentials Plus ja miten se eroaa Cyber Essentialsin peruspaketista?
Cyber Essentials Plus on Yhdistyneen kuningaskunnan hallituksen korkeampi taso. Cyber Essentials -järjestelmä, jota hallinnoi Kansallinen kyberturvallisuuskeskus (NCSC) ja joka toteutetaan IASME:n ja sen sertifiointielinten verkoston kautta. Se kattaa samat viisi teknistä valvonta-aluetta kuin perussertifiointi, mutta yhdellä ratkaisevalla erolla: riippumaton arvioija varmistaa, että valvonta on todella käytössä ja toimii oikeissa järjestelmissäsi, sen sijaan, että se perustuisi itsearviointikyselyyn.
Basic Cyber Essentials on itsearviointiin perustuva sertifiointi. Vastaat noin kahdeksaankymmeneen kysymykseen organisaatiosi palomuurien, suojatun konfiguroinnin, käyttäjien pääsyn, haittaohjelmien torjunnan ja tietoturvapäivitysten hallinnan käsittelystä. Pätevä arvioija tarkistaa vastauksesi. Se on nopea, edullinen ja sopii hyvin pienemmille organisaatioille, jotka haluavat tunnustetun perustason.
Cyber Essentials Plus ottaa saman lähtökohdan käyttöön ja lisää siihen riippumattoman teknisen tarkastuksen. Koulutettu arvioija muodostaa yhteyden laitteidesi otokseen, suorittaa haavoittuvuusskannauksia, yrittää toimittaa simuloituja haittaohjelmia päätepisteiden suojauksen testaamiseksi ja tarkastaa kokoonpanotodisteet suoraan. Se on varmuustaso, jota Yhdistyneen kuningaskunnan hallituksen osastot, puolustusministeriö (MOD) ja NHS-toimittajat vaativat yhä useammin toimitusketjultaan, ja siitä on tulossa vakioodotus yritysten hankintaprosesseissa kaikille arkaluonteisia tietoja käsitteleville toimittajille.
Katso kahden tason rinnakkainen erittely Kyberasioiden itsearviointiopasJos vertaat Cyber Essentials Plus -ohjelmaa laajempaan tietoturvakehykseen, meidän Cyber Essentialsin ja ISO 27001 -standardin vertailu selittää, miten nämä kaksi täydentävät toisiaan. Ennen tarkastuksen varaamista käy läpi Kyberasioiden perusteet -tarkistuslista varmistaakseen, että jokainen ohjausalue on todella paikallaan — Lisäksi viat johtuvat yleensä yhdestä aukosta, jonka valmiustarkistus olisi havainnut.
Mitkä viisi valvonta-aluetta Cyber Essentials Plus -ohjelmassa tarkastellaan?
Cyber Essentials Plus -auditoinnissa tarkastellaan samoja viittä teknistä valvonta-aluetta kuin perusjärjestelmässä, mutta paperisen varmennuksen sijaan se tehdään käytännössä oikeilla järjestelmilläsi. Auditointihenkilö ei usko sinua sanastasi – hän tarkistaa.
1. Palomuurit ja internetyhdyskäytävät
Arvioija vahvistaa, että jokainen arvioinnin kohteena oleva laite (mukaan lukien koti- ja etätyöntekijöiden kannettavat tietokoneet) on suojattu oikein konfiguroidulla palomuurilla. Rajapintojen oletusarvoiset järjestelmänvalvojan salasanat on vaihdettava, todentamattomat saapuvat yhteydet on estettävä oletusarvoisesti ja kaikki saapuvan liikenteen sallivat säännöt on dokumentoitava liiketoimintaperusteluineen. Käyttäjälaitteiden ohjelmistopalomuurit tarkistetaan sen varmistamiseksi, että ne on otettu käyttöön ja konfiguroitu.
2. Suojattu kokoonpano
Järjestelmien on oltava suojattuja niiden alkuperäisestä tilasta lähtien. Auditointi suorittaa tarkastuksen, jossa tarkistetaan, että käyttämättömät ohjelmistot ja palvelut on poistettu tai poistettu käytöstä, oletus- ja vierastilit on poistettu käytöstä ja että automaattisesti käynnistyvät toiminnot on poistettu käytöstä käyttäjien laitteissa. Yritystietoihin yhteydessä olevien laitteiden on oltava varustettu näytön lukituksella ja tunnistetietovaatimuksilla. Auditointi suorittaa edustavien laitteiden tarkastuksen ja vahvistaa kokoonpanon rakennusstandardiasi vasten.
3. Käyttäjien käyttöoikeuksien hallinta
Käyttöoikeudet on myönnettävä mahdollisimman vähäisin oikeuksin. Tilintarkastaja varmistaa, että käyttäjätilit luodaan virallisen hyväksymisprosessin kautta, järjestelmänvalvojan oikeudet on erotettu päivittäisistä tileistä ja että monivaiheinen todennus (MFA) on käytössä kaikissa pilvipalveluissa ja järjestelmänvalvojan käyttöoikeuksissa. Poistuvien käyttäjien tilit on poistettava käytöstä viipymättä, ja arvioija voi testata prosessia ottamalla näytteitä liittyjien, muuttajien ja poistujien tiedoista.
4. Haittaohjelmasuojaus
Jokaisen laitteen on oltava suojattu haittaohjelmien torjuntaohjelmistolla, sallittujen sovellusten listalla tai toimittava eristetyssä ympäristössä, kuten hallitussa mobiililaiteprofiilissa. Auditointiyritys pyrkii toimittamaan testihaittaohjelmien näytteitä (yleensä EICAR-testitiedosto ja inertit variantit) sähköpostitse ja verkosta ladattavina varmistaakseen, että päätelaitteiden suojaus todella havaitsee ja estää uhkia käytännössä, ei vain paperilla.
5. Tietoturvapäivitysten hallinta
Kaikkien käyttöjärjestelmien ja riskialttiiden ohjelmistojen (selaimet, sähköpostiohjelmat, toimisto-ohjelmistot, PDF-lukuohjelmat) on oltava toimittajan tukemia ja korjattuja neljäntoista päivän kuluessa tietoturvapäivityksen julkaisemisesta, jos päivitys korjaa korkeaksi tai kriittiseksi luokitellun haavoittuvuuden. Auditointiyritys suorittaa todennetun haavoittuvuusskannauksen otannalla oleville laitteille varmistaakseen, ettei mistään tarkastuskohteeseen kuuluvasta järjestelmästä puutu tarvittavaa korjauspäivitystä ja ettei käytössä ole käytöstä poistettua ohjelmistoa.
NCSC ja IASME ylläpitävät täyttä teknistä eritelmää, ja sitä päivitetään säännöllisesti. Katso tarkempi esittely kustakin säätimestä Cyber Essentials -vaatimusten opas.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Mitä Cyber Essentials Plus -auditointi oikeastaan sisältää?
Cyber Essentials Plus -auditointi on jäsennelty, näyttöön perustuva arviointi, jonka suorittaa pätevä arvioija IASME-akkreditoidusta sertifiointilaitoksesta. Auditointi noudattaa määriteltyä testispesifikaatiota ja suoritetaan yleensä etänä, vaikka suurempien tai monimutkaisempien kiinteistöjen kohdalla käytetään joskus paikan päällä tehtäviä käyntejä. Teknisiä testejä on viisi.
Ulkoinen haavoittuvuustarkistus
Arvioija suorittaa todennetun ja todentamattoman skannauksen jokaisesta internet-yhteydessä olevasta IP-osoitteesta. Skannaus etsii puuttuvia korjauksia, suojaamattomia palveluita, väärin määritettyjä rajauslaitteita ja paljastuneita hallintaliittymiä. Kaikkia haavoittuvuuksia, joiden CVSS v3 -pistemäärä on 7.0 tai korkeampi, käsitellään epäonnistuneina, ellei niitä voida osoittaa vääräksi positiiviseksi.
Sisäinen todennettu haavoittuvuusskannaus
Loppukäyttäjien laitteiden otos skannataan tunnistetietojen avulla, minkä ansiosta työkalu voi luetteloida asennetut ohjelmistot, puuttuvat korjauspäivitykset ja kokoonpanoheikkoudet. Kuten ulkoisessakin skannauksessa, korkeat tai kriittiset haavoittuvuudet hylätään. Tämä on testi, joka useimmiten paljastaa organisaatiot, koska se tuo esiin korjaamattomat selainlaajennukset, vanhentuneet PDF-lukuohjelmat ja vanhemmat toimisto-ohjelmistoversiot, jotka usein lipsahtavat epävirallisten korjausprosessien läpi.
Simuloitu haittaohjelmien toimitus sähköpostitse
Arvioija lähettää sarjan testitiedostoja (sekoituksen vaarattomia EICAR-näytteitä ja salasanalla suojattuja arkistoja, jotka sisältävät inerttejä hyötykuormia) käyttäjän postilaatikkoon. Odotettu toiminta on, että sähköpostin suojausyhdyskäytävä, sähköpostiohjelma ja päätepisteen haittaohjelmien torjuntaohjelma yhdessä estävät tai asettavat jokaisen näytteen karanteeniin. Kaikki tiedostot, jotka saapuvat postilaatikkoon ja jotka voidaan suorittaa, lasketaan epäonnistuneiksi.
Simuloitu haittaohjelmien leviäminen verkkoselailun kautta
Testitiedostot sijaitsevat valvotulla verkkopalvelimella, ja arvioija yrittää ladata ne näytelaitteen selaimen kautta. Päätepisteiden suojauksen on estettävä suoritus. Testi varmistaa myös, että selaimet on määritetty estämään tunnetut haitalliset sivustot ja että kaikki oletuslataustoiminnot ovat järkeviä.
Määritys ja tilin tarkistus
Automaattisten skannausten lisäksi arvioija tarkastaa näytteitä interaktiivisesti varmistaakseen näytön lukituskäytännöt, monityhjennysvalvontojen valvonnan, järjestelmänvalvojan tilin eriyttämisen, tukemattomien ohjelmistojen poistamisen ja oletustunnistetietojen puuttumisen verkkolaitteista.
Kuinka monta laitetta tilintarkastaja ottaa näytteeksi?
Otoksen koko määritellään IASME-testispesifikaation mukaisesti ja skaalautuu kiinteistön koon mukaan. Suurempia organisaatioita ei auditoida alusta loppuun jokaisella laitteella, mutta kustakin laitetyypistä ja käyttöjärjestelmästä valitaan tilastollisesti merkityksellinen otos.
| Laitteiden määrä tutkimukseen osallistuneina | Otoksen koko laitetyypin mukaan | Huomautuksia |
|---|---|---|
| 1 - 10 | Kaikki laitteet | Jokainen testattava laite testataan |
| 11 - 50 | 10 laitetta tai 20 %, kumpi on suurempi | Käyttöjärjestelmien ja laiteroolien mukaan ositettu otos |
| 51 - 200 | 15 laitetta tyyppiä kohden | Sisältää soveltuvin osin yritys- ja BYOD-ominaisuuksia |
| 201+ | Arvioijan määrittelemä, vähintään 20 tyyppiä kohden | Ennakkoon sovittu ja tarkastussuunnitelmaan kirjattu näyte |
Otoksen on katettava jokainen käyttöjärjestelmä, jokainen koontityyppi (yritys, urakoitsija, BYOD) ja jokainen rooliprofiili (vakiokäyttäjä, järjestelmänvalvoja, kehittäjä). Yksittäistä vikaa otoslaitteessa käsitellään koko populaation vikana, joten yhdenmukaiset koontistandardit koko laitteessa ovat ratkaisevan tärkeitä.
Mitä todisteita tilintarkastaja pyytää ennen testauksen aloittamista?
Ennen skannausten suorittamista arvioija laatii selvityspaketin ja pyynnön auditointia edeltävästä todistusaineistosta. Tämän paketin valmistelu etukäteen on tärkein yksittäinen vipu sujuvan auditoinnin kannalta. Tyypillisiä todisteita ovat:
- Omaisuusluettelo — Täydellinen luettelo piiriin kuuluvista laitteista (palvelimet, loppukäyttäjien laitteet, mobiililaitteet) isäntänimineen, käyttöjärjestelmäversioineen ja fyysisine sijainteineen tai omistajineen
- Verkkokaavio — Näyttää internetyhdyskäytävät, sisäisen segmentoinnin ja kaikki pilvipalvelut laajuudessa
- Rakenna standardeja — Dokumentoidut kokoonpanon lähtötasot kullekin käytössä olevalle käyttöjärjestelmälle
- Korjauspäivitysten hallintakäytäntö ja todisteet — Mukana viimeisimmän kuukauden korjausraportti
- Puuseppä-muuttaja-lähtejä -tietueet — Äskettäin aloittaneiden ja lähteneiden otoksen osalta näyttö siitä, että tilit luotiin ja poistettiin käytöstä käytäntöjen mukaisesti
- MFA-konfiguraation todisteet — Kuvakaappauksia tai hallintakonsolin vientikuvia, jotka vahvistavat MFA:n täytäntöönpanon pilvipalveluissa ja etuoikeutetuilla tileillä
- Haittaohjelmien torjunnan kattavuusraportti — Vahvistetaan, että jokainen laajuusalueeseen kuuluva laite raportoi hallintakonsoliin
- Palomuurin sääntökanta — Rajaliikenteen palomuurin konfigurointi tai sääntöjen vienti sekä liiketoimintaperustelut saapuvien sääntöjen osalta
- BYOD-käytäntö — Jos henkilökohtaiset laitteet käyttävät yrityksen tietoja, käytäntö ja sitä valvovat tekniset suojausmenetelmät (yleensä MDM tai sovellustason säilöinti)
Organisaatiot, jotka säilyttävät tätä todistusaineistoa elävänä artefaktina – sen sijaan, että ne kiirehtisivät kokoamaan sitä viikkoja ennen auditointia – suorittavat Cyber Essentials Plus -kurssin johdonmukaisesti tyypillisen aikataulun loppupäässä.
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
Paljonko Cyber Essentials Plus maksaa vuonna 2026?
Cyber Essentials Plus on huomattavasti kalliimpi kuin perus-Cyber Essentials, koska teknisen tarkastuksen suorittaminen arvioijalta vie aikaa. Hinnoittelu vaihtelee sertifiointilaitoksen sekä kiinteistön koon ja monimutkaisuuden mukaan, mutta alla olevat ohjeelliset hintahaarukat heijastavat tyypillisiä IASME-akkreditoitujen laitosten tarjouksia vuodelta 2026 Isossa-Britanniassa.
| Sertifiointi | Tyypillinen maksu (ilman ALV:tä) | Mitä mukana |
|---|---|---|
| Kyberturvallisuuden perusteet | 2 200–3 500 puntaa | Itsearviointikysely, arvioijan arviointi, todistus voimassa 12 kuukautta. Hinta porrastettu henkilöstömäärän mukaan. |
| Cyber Essentials Plus (pieni organisaatio, jopa ~50 laitetta) | 2 200–3 500 puntaa | Kyberturvallisuuden perusteet sekä tekninen auditointi, haavoittuvuustarkistukset ja simuloidut haittaohjelmatestit |
| Cyber Essentials Plus (keskikokoinen organisaatio, 50–250 laitetta) | 2 200–3 500 puntaa | Kuten edellä, suuremmalla otoksella ja tyypillisesti ylimääräisillä arviointipäivillä |
| Cyber Essentials Plus (suuremmat tai monimutkaisemmat kiinteistöt) | £ 3,500 + | Räätälöity tarjous — usean toimipisteen, usean käyttöjärjestelmän tai merkittävän pilvijalanjäljen ansiosta hinta nousee |
Nämä ovat vain suoria sertifiointimaksuja. Sertifioinnin todelliset kokonaiskustannukset sisältävät myös sisäisen työn todisteiden valmisteluun, mahdollisten tarkastusta edeltävien havaintojen korjaamiseen sekä työkalujen hankintaan tai päivittämiseen (esimerkiksi vanhojen järjestelmien monitoiminen sertifiointi tai käytöstä poistetun ohjelmiston vaihtaminen). Katso täydellinen erittely suorista ja epäsuorista kustannuksista. Cyber Essentialsin kustannusopas.
Kuinka kauan Cyber Essentials Plus -ohjelman suorittaminen kestää alusta loppuun?
Hyvin valmistautuneelle organisaatiolle, jolla on jo Cyber Essentials -perussertifikaatti, Cyber Essentials Plus -polku kestää tyypillisesti kuudesta kahdeksaan viikkoa. Perussertifikaatin on oltava voimassa ennen Plus-auditoinnin suorittamista, eikä se saa olla yli kolme kuukautta vanha Plus-arvioinnin varaushetkellä.
| Vaihe | Tyypillinen kesto | Mitä tapahtuu |
|---|---|---|
| Laajuuden määrittäminen ja sitouttaminen | 1–2 viikkoa | Sertifiointielin vahvistaa auditoinnin laajuuden, otoskoon ja auditointi-ikkunan. Auditointia edeltävä todistusaineisto on julkaistu. |
| Todisteiden valmistelu ja tarkastusta edeltävät korjaavat toimenpiteet | 2–4 viikkoa | Keräät todisteita, suoritat sisäisen haavoittuvuusskannauksen ja suljet kaikki korkeat tai kriittiset löydökset ennen virallista tarkastusta. |
| Tilintarkastustyö | 2–5 päivää | Arvioija suorittaa ulkoisia ja sisäisiä skannauksia, simuloituja haittaohjelmatestejä ja kokoonpanotarkistuksia näytteistetyillä laitteilla |
| Löydökset ja korjaavat toimenpiteet | 0–4 viikkoa | Kaikki viat on korjattava ja testattava uudelleen auditointi-ikkunan (yleensä 30 päivän) kuluessa. |
| Myönnetty sertifikaatti | 1 viikolla | Kun kaikki testit ovat läpäisseet, IASME myöntää 12 kuukautta voimassa olevan sertifikaatin. |
Organisaatiot, jotka epäonnistuvat ensimmäisessä auditointiyrityksessä – yleensä siksi, että todennettu sisäinen skannaus paljastaa puuttuvan korjauspäivityksen tai ei-tuetun ohjelmiston – voivat maksaa ylimääräisen korjaustestausmaksun prosessin uudelleenkäynnistämisen sijaan, edellyttäen, että ongelma ratkaistaan 30 päivän kuluessa. Kun varmenne on myönnetty, suunnittele etukäteen vuosittainen uusiminen, mikä edellyttää uutta tarkastusta joka vuosi.
Kuka oikeasti tarvitsee Cyber Essentials Plus -ohjelmaa?
Cyber Essentials Plus on sopimusvaatimus yhä useammassa Yhdistyneen kuningaskunnan hankintatilanteessa ja kilpailuetu monissa muissa. Selkeimmät vaatimukset tulevat julkiselta sektorilta:
- Valtion sopimukset — Cyber Essentials on pakollinen kaikissa sopimuksissa, joihin liittyy henkilötietojen käsittelyä tai ICT-tuotteiden ja -palveluiden tarjoamista. Lisäksi sitä vaaditaan, jos sopimus sisältää laajamittaisesti arkaluonteisia tietoja tai henkilötietoja.
- Puolustusministeriö (MOD) — Puolustusministeriön kybersuojakumppanuuden (DCPP) ja kyberturvallisuusmallin mukaisesti puolustusministeriön tunnistettavia tietoja käsittelevillä toimittajilla on oltava vähintään Cyber Essentials Plus -sertifikaatti, ja korkeamman tason projektit edellyttävät lisävalvontaa.
- NHS ja terveydenhuoltoalan toimittajat — Tietoturvan ja -suojauksen työkalupakki tunnistaa nimenomaisesti Cyber Essentials Plusin, ja monet NHS-säätiöt tekevät siitä hankintaportin potilastietoja käsitteleville toimittajille.
- Paikallisviranomaiset ja julkiset elimet — Yhä useammin sisällytetään tarjouskilpailuvaatimuksiin kaikissa kansalaistietoja tai kriittisiä palveluita koskevissa sopimuksissa
- Yrityshankinnat — Monet suuret yksityisen sektorin organisaatiot pyytävät nyt Cyber Essentials Plus -palveluita keskeisiltä toimittajilta, erityisesti rahoituspalveluissa, lakiasioissa ja hallinnoitujen palvelujen tarjoajina.
- Kybervakuutus — Useat Yhdistyneen kuningaskunnan vakuutusyhtiöt tarjoavat alennettuja vakuutusmaksuja tai parannettuja vakuutusehtoja organisaatioille, joilla on Cyber Essentials Plus -vakuutus, mikä heijastaa sertifioitujen yritysten alhaisempaa vahinkotiheyttä.
Jos organisaatiollasi on jo Cyber Essentialsin perustason sertifikaatit ja se vastaa tarjouskilpailuihin, Plus-sertifikaatin odotetaan ilmestyvän vaatimuksena 12–24 kuukauden kuluessa. Toimiminen ennen kuin sertifikaatin saaminen estää sen toiminnan, on huomattavasti halvempaa ja vähemmän häiritsevää kuin sertifioinnin kiirehtiminen määräaikaan mennessä.
Miksi valita ISMS.online Cyber Essentials Plus -opintoihin?
Cyber Essentials Plus -auditointiin valmistautuminen on pohjimmiltaan näyttöön liittyvä ongelma. Tekniset kontrollit eivät ole monimutkaisia – organisaatioita hämmentää se, miten konfigurointi-, korjaus- ja käyttöoikeustietueet pidetään jatkuvasti auditointivalmiina. ISMS.online auttaa sinua saavuttamaan ja ylläpitämään Cyber Essentials Plus -sertifioinnin muuttamalla taustalla olevan valvontatiedon eläväksi, jaetuksi tallennusjärjestelmäksi.
- Valmiiksi määritelty Cyber Essentials -valvontakehys — Jokainen vaatimus viidellä valvonta-alueella on sisäänrakennettu alustaan, joten voit arvioida virallisen järjestelmän mukaisesti ilman, että sinun tarvitsee laatia omaa tarkistuslistaa
- Keskitetty todistusaineisto — Tallenna palomuurisääntöjen viennit, korjausraportit, koontistandardit, MFA-näyttökuvat ja liittyjä-siirtäjä-poistuja-tietueet niitä tukevia suojausmenetelmiä vasten, jotta auditointipakettisi kokoaa itsensä.
- Resurssirekisteri ja laajuuden hallinta — Ylläpidä yhtä ainoaa laitteiden luetteloa, joka sisältää omistajat, käyttöjärjestelmät ja elinkaaren tilan, jotta arvioijan otos on helppo määrittää
- Käytäntö- ja menettelymallit — Cyber Essentials -yhteensopivat käytäntömallit hyväksyttävään käyttöön, pääsynhallintaan, korjauspäivityksiin, BYOD:iin ja tietoturvaloukkauksiin, kirjoitettu Ison-Britannian yrityksille ja valmiina käyttöön.
- Puusepän-muuttajan-lähtejän työnkulku — Seuraa uusia aloittajia, roolimuutoksia ja lähtöjä käyttöoikeuspäätöksiin verrattuna ja tuota arvioijan odottama näyttö ilman manuaalista taulukkolaskentaa
- Kehystenvälinen uudelleenkäyttö — Samat kontrollitiedot tukevat ISO 27001, SOC 2 ja muita viitekehyksiä, joten Cyber Essentials Plus -ohjelmasta tulee pikemminkin ponnahduslauta laajempiin sertifiointeihin kuin erillinen harjoitus
- Tuhansien brittiläisten organisaatioiden luottama - ISMS.online tukee julkisen sektorin toimitusketjun, ammattipalveluiden, teknologian ja hallinnoitujen palveluiden tarjoajien markkinoilla toimivia yrityksiä niiden matkalla sertifiointiin
Aiheeseen liittyviä Cyber Essentials -oppaita
Jatka kyberasioiden perusteet -matkaasi tämän sarjan muiden oppaiden avulla:
- Kyberturvallisuusvaatimukset — Viisi valvonta-aluetta, laajuuspäätökset ja mitä näytön arvioijat etsivät.
- Kybertarvikkeiden hinta — IASME-hinnoitteluportaat, lisäkustannukset, piilokustannukset ja 3 vuoden kokonaiskustannukset Yhdistyneen kuningaskunnan yrityksille.
- Onko kyberturvallisuus hintansa arvoinen? — Rehellinen arvio hyödyistä, haitoista ja siitä, kuka sertifiointia todella tarvitsee.
- Kyberasioiden itsearviointi — SASQ-työnkulku, laajuus, näyttö ja yleiset sudenkuopat.
- Kuinka kauan kyberturvallisuusongelmiin valmistautuminen kestää? — Tyypillinen aikataulu Isossa-Britanniassa, nopeutetut vaihtoehdot ja mikä hidastaa prosessia.
- Kyberturvallisuuden uusiminen — 12 kuukauden sykli, vuoden 2026 määräysvallan muutokset ja miten valmistautua 60 päivän lähtöön.
- Kyberturvallisuuden perusteet pienyrityksille — Pk-yrityksille suunnattu hinnoittelu, laajuus ja kustannus-hyötyanalyysi.
- Kyberturvallisuusasiat vs. ISO 27001 — Laajuus, kustannukset, aika ja tunnustus verrattuna.
UKK
Tarvitsenko Cyber Essentials -peruspaketin ennen kuin voin saada Cyber Essentials Plus -paketin?
Kyllä. Cyber Essentials Plus rakentuu perus-itsearvioinnin päälle, ja perussertifikaatti on oltava voimassa ennen Plus-auditoinnin suorittamista. IASME vaatii, että perussertifikaatti on enintään kolme kuukautta vanha, kun Plus-arviointi varataan, joten useimmat organisaatiot suorittavat molemmat yhden suunnitellun projektin aikana sen sijaan, että ne käsittelisivät niitä erillisinä tapahtumina.
Mitä tapahtuu, jos emme läpäise osaa Cyber Essentials Plus -auditoinnista?
Yksittäisen testin epäonnistuminen tarkoittaa, että sertifikaattia ei voida myöntää sen nykyisessä tilassa, mutta se ei tarkoita alusta aloittamista. Sertifiointilaitos kirjaa löydöksen, sinä korjaat ongelman (yleensä puuttuva korjaustiedosto, ei-tuettu ohjelmisto tai MFA-aukko) ja arvioija testaa uudelleen kyseessä olevan järjestelmän. Niin kauan kuin korjaus ja uudelleentestaus suoritetaan 30 päivän kuluessa alkuperäisestä auditoinnista, vältät täyden uudelleenauditoinnin ja maksat vain pienemmän uudelleentestausmaksun.
Kattaako Cyber Essentials Plus pilvipalvelut?
Kyllä. Vuodesta 2022 lähtien järjestelmään on nimenomaisesti sisällytetty pilvipalvelut, joissa hallinnoit tietoja, käyttäjätilejä tai konfiguraatiota. Infrastructure as a Service (IaaS) ja Platform as a Service (PaaS) kuuluvat aina piiriin. Software as a Service (SaaS) kuuluu piiriin, jossa hallinnoit tilejä ja määrität suojausasetuksia, mikä koskee useimpia liiketoiminnan tuottavuus-, identiteetti- ja yhteistyöalustoja. Tilintarkastaja tarkistaa MFA:n täytäntöönpanon, järjestelmänvalvojan erottelun ja konfiguraation vuokraajassasi, ei palveluntarjoajan taustalla olevassa infrastruktuurissa.
Voidaanko etä- ja kotityöntekijät sisällyttää soveltamisalaan?
Kyllä – ja niiden täytyykin olla. Kaikki laitteet, jotka käsittelevät yrityksen tietoja tai käyttävät yrityksen pilvipalveluita, kuuluvat auditoinnin piiriin riippumatta siitä, missä käyttäjä työskentelee. Auditointi edellyttää, että koti- ja etälaitteisiin sovelletaan samoja palomuureja, korjauksia, haittaohjelmien torjuntaa ja käyttöoikeuksien hallintaa kuin toimistolaitteisiinkin, ja lisäksi otetaan huomioon, että kodin internet-reititintä käsitellään rajalaitteena.
Kuinka kauan Cyber Essentials Plus on voimassa?
Sertifikaatti on voimassa kaksitoista kuukautta myöntämispäivästä. Sertifioinnin jatkuvan voimassaolon varmistamiseksi auditointi on tehtävä uudelleen vuosittain, ja monet organisaatiot yhdenmukaistavat uusimisen tilikautensa tai merkittävän hankintasyklin kanssa. ISMS.online ylläpitää kontrollitodisteitasi jatkuvasti auditointien välillä, joten uudistamisesta tulee pikemminkin päivitys kuin täydellinen uudelleenkäynnistys.
Pitäisikö minun suorittaa Cyber Essentials Plus vai siirtyä suoraan ISO 27001 -standardiin?
Useimmille Yhdistyneen kuningaskunnan organisaatioille vastaus on molemmat, peräkkäin. Cyber Essentials Plus on kohdennettu tekninen sertifiointi, joka todistaa perustason kontrollien toimivuuden, ja se on usein itsessään sopimusvaatimus. ISO 27001 on laajempi johtamisjärjestelmäsertifiointi, joka kattaa hallinnon, riskienhallinnan ja koko tietoturvallisuuden elinkaaren. Plus on nopeampi ja halvempi saavuttaa ja antaa sinulle suurimman osan ISO 27001:n myöhemmin odottamasta teknisestä kontrollitodistuksesta, joten se on järkevä ensimmäinen askel kohti laajempaa sertifiointia.
