Mitä Cyber Essentials oikeastaan vaatii?
Cyber Essentials on Yhdistyneen kuningaskunnan hallituksen tukema ohjelma, jota IASME hallinnoi National Cyber Security Centren (NCSC) puolesta. Se määrittelee viisi teknistä valvonta-aluetta, jotka oikein toteutettuina on suunniteltu pysäyttämään noin 80 % yleisimmistä internet-pohjaisista kyberhyökkäyksistä. Kyberasioiden perusteet -keskus selittää järjestelmän yleisellä tasolla; tällä sivulla kerrotaan, mitä järjestelmä todellisuudessa vaatii ympäristöltäsi.
Vaatimukset ovat tarkoituksella käytännöllisiä. Sen sijaan, että sinua pyydettäisiin kirjoittamaan käytäntöjä, järjestelmä testaa, onko palomuurisi, laitteesi, tilisi, haittaohjelmasuojauksesi ja ohjelmistopäivityksesi konfiguroitu puolustettavan lähtötason mukaisesti. Jokaisella sertifiointijaksolla... ISMS.online asiakkaat ja muut hakijat täyttävät itsearviointikyselyn (SAQ), jolla vahvistetaan, että kontrollit ovat käytössä koko laajuudessaan. Cyber Essentials Plus -palvelun osalta riippumaton arvioija tarkistaa samat kontrollit käytännön teknisten testien avulla – katso lisätietoja Cyber Essentials Plus -vaatimukset oppaassa testauksen yksityiskohtia varten. Näiden vaatimusten käytännön rivikohtainen valmiusopas on osoitteessa Kyberasioiden perusteet -tarkistuslista.
Viisi valvonta-aluetta ovat palomuurit ja reitittimet, suojattu konfigurointi, käyttäjien pääsynhallinta, haittaohjelmien torjunta ja tietoturvapäivitysten hallinta. Nykyinen kysymyssarja, jota päivitetään vuosittain vuoden 2026 päivityksen myötä, jossa vahvistetaan pilvi- ja monivaiheisen todennuksen odotuksia, koskee samoja viittä valvonta-aluetta kannettaviin tietokoneisiin, pöytätietokoneisiin, palvelimiin, mobiililaitteisiin, verkkolaitteisiin ja pilvipalveluihin, jotka kuuluvat tarkastuksen piiriin.
Mitä vaatimuksia palomuureille ja reitittimille on?
Palomuurit sijaitsevat luotettavan sisäisen verkon ja epäluotettavan internetin rajalla. Valvonta-alue edellyttää, että jokainen internetiin yhteydessä oleva laite sekä itse verkon raja on suojattu oikein konfiguroidulla palomuurilla (tai vastaavalla verkkolaitteella).
Järjestelmä edellyttää sinulta erityisesti seuraavaa:
- Vaihda jokaisen internetiin yhdistetyn palomuurin tai reitittimen oletussalasana vahvaan ja yksilölliseen vaihtoehtoiseen salasanaan.
- Estä todentamattomat saapuvat yhteydet oletuksena
- Dokumentoi ja hyväksy kaikki saapuvan liikenteen palomuurisäännöt, jotka sallivat palveluiden läpikulun, sekä dokumentoi liiketoimintatapauksen.
- Poista tai poista käytöstä saapuvan liikenteen säännöt, joita ei enää tarvita
- Käytä ohjelmistopalomuuria yritysverkon ulkopuolella käytettävillä laitteilla (kotona, hotellin Wi-Fi-verkossa tai kahvilassa olevat kannettavat tietokoneet).
- Poista käytöstä palomuurin etäkäyttö internetistä, ellei sitä ole suojattu MFA:lla tai IP-sallittujen osoitteiden listalla ja dokumentoidulla liiketoimintatarveella.
Yleisimmät puutteiden arvioijat ilmoittavat tässä yhteydessä etätyöntekijöistä, joiden internet-palveluntarjoajan toimittamassa reitittimessä on edelleen oletusarvoinen järjestelmänvalvojan salasana painettuna takaosaan, sekä SaaS-painotteisista organisaatioista, jotka olettavat, ettei niillä ole palomuureja käytössä, vaikka todellisuudessa jokaisen työntekijän kannettava tietokone tarvitsee isäntäpohjaisen palomuurin käyttöön.
Arvioijan pyytämiin todisteisiin kuuluu tyypillisesti kuvakaappaus tai vahvistus, joka näyttää palomuurin version ja järjestelmänvalvojan salasanan muutoksen, luettelo saapuvan liikenteen säännöistä ja niiden liiketoimintaperustelut sekä vahvistus siitä, että isäntäpohjaiset palomuurit ovat käytössä koko laitekannan alueella.
Mitä turvallinen konfigurointi tarkoittaa käytännössä?
Turvallisessa konfiguroinnissa on kyse laitteisiin ja ohjelmistoihin valmiiksi rakennettujen tietoturvaheikkouksien poistamisesta: oletustilit, esimerkkisalasanat, tarpeettomat palvelut, demosisältö ja liian sallivat jakamisasetukset. Jokainen laite, palvelin ja pilvipalvelu on konfiguroitava altistumisen minimoimiseksi ennen käyttöönottoa.
Tämän valvonta-alueen saavuttamiseksi sinun on:
- Poista tai poista käytöstä käyttäjätilit ja ohjelmistot, joita et tarvitse (mukaan lukien esiasennetut bloatware-ohjelmistot, käyttämättömät käyttäjätilit ja oletusarvoiset järjestelmänvalvojan tilit, jos mahdollista).
- Vaihda kaikki oletusarvoiset tai arvattavissa olevat salasanat laitteilla, tileillä ja palveluissa
- Poista käytöstä automaattisesti suoritettavan koodin suorittavat ominaisuudet, jotka suorittavat koodia automaattisesti siirrettävältä tallennusvälineeltä
- Vaadi käyttäjien tunnistautumista ennen kuin he myöntävät käyttöoikeuden mihinkään organisaation tietoihin tai palveluihin
- Käytä monivaiheista todennusta (MFA) kaikkiin pilvipalveluiden järjestelmänvalvojan tileihin ja kaikkiin vakiokäyttäjiin, jos pilvipalvelu tukee sitä.
- Käytä salasanan vähimmäispituutta 12 merkkiä (tai 8 merkkiä ja MFA tai 8 merkkiä rajoituksen/lukituksen kanssa).
Vuoden 2026 kysymyssarja on kiristänyt monitieteisen ansioluetteloinnin (MFA) odotuksia, erityisesti pilvipalveluiden osalta. Jos organisaatiosi käyttää Microsoft 365:tä, Google Workspacea, AWS:ää, Azurea tai mitä tahansa muuta pilvialustaa, monitieteinen ansioluettelointi kaikilla järjestelmänvalvojan tileillä on nyt ehdoton, ja arvioijat odottavat näkevänsä siitä todisteita.
Yleisiä puutteita ovat vanhat verkkotunnuksen järjestelmänvalvojan tilit ilman MFA:ta, jaetut palvelutilit, joiden staattiset salasanat on tallennettu laskentataulukoihin, ja yrityksen lähiverkkoon silloitetut Wi-Fi-vierasverkot. Käy läpi Kyberasioiden itsearviointi pitäen mielessä turvallinen konfigurointi projektin alkuvaiheessa – se on kontrollialue, jolla useimmat organisaatiot kohtaavat odottamatonta työtä.
Miten käyttäjien pääsynhallinta toimii Cyber Essentialsissa?
Tämä hallinta-alue rajoittaa, kuka voi tehdä mitäkin järjestelmissäsi. Cyber Essentials haluaa varmistaa, että käyttäjätilejä luodaan vain hyväksynnällä, että järjestelmänvalvojan oikeudet ovat rajalliset ja että tilit poistetaan ihmisten lähtiessä.
Erityisvaatimukset ovat:
- Dokumentoitu käyttäjätilin luomis- ja hyväksymisprosessi
- Todenna käyttäjät vahvoilla, yksilöllisillä tunnistetiedoilla ennen käyttöoikeuden myöntämistä
- Poista tai poista käytöstä käyttäjätilejä, kun niitä ei enää tarvita (liittyjien, muuttajien ja poistujien prosessi)
- Ota käyttöön monivaiheinen todennus pilvipalveluissa kaikille käyttäjille, jos alusta tukee sitä, ja ehdoitta kaikille järjestelmänvalvojan tileille
- Erota järjestelmänvalvojan tilit päivittäisistä käyttäjätileistä – järjestelmänvalvojat eivät saa selata verkkoa tai lukea sähköpostia käyttöoikeutetulla tilillään.
- Tarkista vähintään vuosittain, millä käyttäjillä on järjestelmänvalvojan oikeudet, ja poista ne, joiden oikeudet eivät enää ole perusteltuja.
Todisteiden arvioijat pyytävät tyypillisesti: liittymis-/muutto-/lähtömenettelyäsi, luettelon järjestelmänvalvojista ja kunkin liiketoimintatapausta, MFA-määritysten kuvakaappauksia tärkeimmiltä pilvialustoiltasi ja näytteen äskettäin käytöstä poistetuista lähtötileistä.
Klassinen aukko on pitkäaikainen työntekijä, jonka rooli on vaihtunut kolme kertaa ja jolla on edelleen edellisestä työstä perityt ylläpitäjän oikeudet. Toinen suuri aukko on jaetut kirjautumiset talous-, markkinointi- tai sosiaalisen median työkaluihin – järjestelmä ei kiellä kaikkia jaettuja tilejä, mutta edellyttää niiden olevan tiukasti perusteltuja, MFA-suojattuja ja seurattuja.
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
Miten haittaohjelmien torjuntavaatimukset toimivat?
Haittaohjelmien torjunta edellyttää, että jokainen laitteen suojaus haittaohjelmakoodia vastaan käytetään vähintään yhtä kolmesta hyväksytystä lähestymistavasta: haittaohjelmien torjuntaohjelmistoa, sovellusten sallittujen luettelointia tai hiekkalaatikkoa. Useimmat organisaatiot täyttävät vaatimuksen käyttämällä käyttöjärjestelmiensä sisäänrakennettua haittaohjelmien torjuntaohjelmistoa (Microsoft Defender Windowsissa, XProtect macOS:ssä) ja sitä täydentävää EDR-tuotetta riskialttiimmilla laitteilla.
Läpäisyyn sinun on:
- Käytä yhtä kolmesta hyväksytystä mekanismista jokaisella laitteella (haittaohjelmien torjunta, sovellusten sallittujen listaus tai hiekkalaatikko)
- Pidä haittaohjelmien torjuntaohjelmisto ajan tasalla, mieluiten automaattisesti, jotta allekirjoitukset ja hakumoottorit ovat ajan tasalla.
- Määritä haittaohjelmien torjunta tarkistamaan tiedostot käytön yhteydessä ja verkkosivut
- Estä yhteydet tunnetuille haitallisille verkkosivustoille, jos haittaohjelmien torjuntaohjelma tarjoaa kyseisen ominaisuuden
- Jos käytät sovellusten sallittujen listaamista, ylläpidä hyväksyttyjen sovellusten luetteloa ja estä muiden sovellusten suorittaminen.
- Jos käytät hiekkalaatikkoa, varmista, että jokainen sovellus toimii hiekkalaatikossa etkä voi käyttää muiden hiekkalaatikkosovellusten tietoja ilman nimenomaista lupaa.
Mobiililaitteet (puhelimet, tabletit) kuuluvat nimenomaisesti soveltamisalaan. Sekä iOS että Android käyttävät hiekkalaatikkoteknologiaa pohjana olevana lähestymistapana, mikä on hyväksyttävää, mutta sovelluksia saa asentaa vain virallisista sovelluskaupoista (Apple App Store, Google Play tai hallinnoitu yrityskauppa).
Yleisin ongelma on hallitsemattomat BYOD-laitteet: työntekijän henkilökohtaista Macia käytetään työsähköpostiin ilman rekisteröitymistä, keskitetysti valvottua haittaohjelmien torjuntakäytäntöä ja IT-osaston näkyvyyttä. Joko ota laite MDM:n piiriin tai siirrä työ hallitulle laitteelle.
Mitä tietoturvapäivitysten hallinta vaatii?
Tämä valvonta-alue edellyttää, että kaikilla järjestelmän piiriin kuuluvilla ohjelmistoilla on tuki, lisenssit ja korjaukset. Järjestelmä on tiukka sen suhteen, mikä lasketaan "tuetuksi": sen on oltava versio, jolle valmistaja edelleen julkaisee tietoturvapäivityksiä. Käytöstä poistetut käyttöjärjestelmät, selaimet, laajennukset, laiteohjelmistot ja sovellukset eivät ole hyväksyttäviä, ja niiden olemassaolo hylätään kokonaan.
Erityisvaatimukset ovat:
- Kaikilla käyttöjärjestelmillä ja sovelluksilla, jotka ovat laajuuslaitteissa, on oltava toimittajan myöntämä lisenssi ja tuki.
- Poista tai korvaa kaikki ohjelmistot, joita valmistaja ei enää tue, tietoturvapäivityksillä
- Ota automaattiset päivitykset käyttöön, jos toimittaja niitä tarjoaa
- Asenna "korkean" tai "kriittisen" tietoturvapäivitykset 14 päivän kuluessa julkaisusta (14 päivän sääntö)
- Tämä koskee käyttöjärjestelmiä, sovelluksia, reitittimien ja palomuurien laiteohjelmistoja sekä laajennuksia tai lisäosia.
14 päivän korjausikkuna on yleisin syy siihen, miksi organisaatiot eivät läpäise Cyber Essentials Plus -testausta. Arvioijat skannaavat laitteesi ja merkitsevät kaikki, joista puuttuu ikkunan ulkopuolella erittäin vakava korjaus. Palvelimet, jotka päivitetään vain kuukausittaisen huoltoikkunan aikana, usein myöhästyvät määräajasta.
Sovelluskohtaisella ohjelmistolla tarkoitetaan kaikkea, jota käytetään organisaation datan tai palveluiden käyttämiseen. Tähän sisältyvät käyttöjärjestelmä, tuottavuusohjelmistot, selaimet, selainlaajennukset, PDF-lukuohjelmat, videoneuvottelutyökalut, salasananhallintaohjelmat ja kaikki liiketoimintasovellukset. Myös reitittimien, palomuurien ja tukiasemien laiteohjelmistot kuuluvat soveltamisalaan.
Yhteenvetotaulukko: 5 säädintä yhdellä silmäyksellä
Alla olevassa taulukossa on yhteenveto viidestä kyberturvallisuuden perusteiden alueesta, niiden vaatimuksista ja arvioijien useimmin havaitsemista puutteista.
| Valvonta-alue | Keskeiset vaatimukset | Yleiset aukot |
|---|---|---|
| 1. Palomuurit ja reitittimet | Vaihda oletusarvoiset järjestelmänvalvojan salasanat; estä todentamaton saapuva liikenne; dokumentoi saapuvan liikenteen säännöt; ota käyttöön isäntäpohjaiset palomuurit roaming-laitteissa; suojaa etäjärjestelmänvalvojan käyttö MFA:lla tai IP-sallittujen luettelolla. | Kotityöntekijöiden käyttämien internet-palveluntarjoajan toimittamien reitittimien oletussalasanat; käytöstä poistetut palomuurit kannettavissa tietokoneissa; dokumentoimattomat tai vanhentuneet saapuvan liikenteen säännöt. |
| 2. Suojattu kokoonpano | Poista käyttämättömät tilit ja ohjelmistot; vaihda oletussalasanat; poista automaattinen käynnistys käytöstä; ota monitoimitunnistus käyttöön pilvipalveluissa ja kaikilla järjestelmänvalvojan tileillä; salasanan vähimmäispituus 12 merkkiä. | Vanhat järjestelmänvalvojan tilit ilman MFA:ta; oletusarvoiset tunnistetiedot verkkolaitteissa; bloatware-ohjelmat ja käyttämättömät palvelut vakioversioissa. |
| 3. Käyttäjien käyttöoikeuksien hallinta | Hyväksytty tilinluontiprosessi; poista tilin lähtevät käyttäjät viipymättä; erilliset järjestelmänvalvojan ja vakiotilin tilit; monitoiminen vahvistus kaikille pilvikäyttäjille, jos sitä tuetaan; järjestelmänvalvojan oikeuksien vuosittainen tarkistus. | Ajan myötä kertyneet ylläpitäjän oikeudet; ylläpitäjät selaavat verkkoa etuoikeutetuilla tileillä; jaetut kirjautumiset ilman perustetta. |
| 4. Haittaohjelmasuojaus | Käytä haittaohjelmien torjuntaa, sovellusten sallittujen listausta tai hiekkalaatikkoa jokaisella laitteella; pidä määritelmät ajan tasalla; rajoita mobiilisovellusten käyttö virallisiin tallennustiloihin; skannaa tiedostot käytön yhteydessä. | Hallitsemattomat BYOD-laitteet; haittaohjelmien torjunta vanhentunut tai poistettu käytöstä palvelimilla; sallittujen sovellusten listaus on otettu käyttöön ilman hyväksyttyjen sovellusten luetteloa. |
| 5. Tietoturvapäivitysten hallinta | Käytä vain tuettua, lisensoitua ohjelmistoa; poista käytöstä poistetut käyttöjärjestelmät, sovellukset ja laiteohjelmistot; asenna kriittiset korjauspäivitykset 14 päivän kuluessa; ota automaattiset päivitykset käyttöön mahdollisuuksien mukaan. | Palvelimilla ei ole julkaistu 14 päivän korjauspäivitysikkunaa; käytössä on edelleen vanhentuneita Windows-versioita tai ei-tuettuja selaimia; reitittimen laiteohjelmisto on vanhentunut. |
Aloita helposti henkilökohtaisella tuote-esittelyllä
Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.
Miten pilvipalvelut vastaavat vaatimuksiin?
Pilvipalveluita käsitellään nyt ympäristösi jatkeena eikä poikkeuksena. Jos organisaatiosi käyttää pilvipalvelua organisaatiotietojen käsittelyyn tai tallentamiseen, kyseinen palvelu kuuluu soveltamisalaan ja olet vastuussa sen konfiguroinnista vaatimusten täyttämiseksi. Järjestelmässä erotetaan toisistaan kolme pilvipalvelumallia, joilla on hieman erilaiset jaetut vastuut kussakin:
- Ohjelmisto palveluna (SaaS) — esim. Microsoft 365, Google Workspace, Salesforce, Xero. Olet vastuussa käyttäjien käyttöoikeuksien hallinnasta, tilien ja vuokralaisten asetusten turvallisesta määrityksestä sekä monitoimitunnistuksesta (MFA). Palveluntarjoaja hoitaa haittaohjelmasuojauksen alla olevalla alustalla, mutta olet silti vastuussa asiakaspuolen määrityksistä.
- Palvelualusta (PaaS) — esim. AWS App Runner, Azure App Service, Heroku. Lisäksi olet vastuussa käyttöönottamasi sovelluskerroksen tietoturvapäivitysten hallinnasta sekä samoista suojatusta konfiguroinnista ja käyttöoikeuksien hallinnasta kuin SaaS-palveluntarjoajalla.
- Infrastruktuuri palveluna (IaaS) — esim. AWS EC2, Azure-virtuaalikoneet, Google Compute Engine. Olet vastuussa käyttöjärjestelmästä, kaikista siinä toimivista ohjelmistoista, palomuureista (tietoturvaryhmistä), ohjelmistopäivityksistä, haittaohjelmista ja pääsynhallinnasta. Käytännössä IaaS-palvelinta kohdellaan lähes samalla tavalla kuin paikallista palvelinta.
Tärkein oppi: et voi väittää pilvipalvelun olevan soveltamisalan ulkopuolella vain siksi, että palveluntarjoaja hallinnoi infrastruktuuria. Siinä olevat tiedot ja sitä käyttävät tilit ovat aina sinun suojattavissasi.
Miten BYOD ja etätyöskentely soveltuvat?
Oman laitteen käyttö (BYOD) on usein hämmennyksen aihe. Sääntö on yksinkertainen: kaikki laitteet, joita käytetään organisaatiosi tietojen tai palveluiden käyttämiseen, kuuluvat piiriin riippumatta siitä, kuka ne omistaa. Tämä sisältää työsähköpostia varten käytettävät henkilökohtaiset puhelimet, urakoitsijoiden kannettavat tietokoneet ja pilvisovellusten käyttöön käytettävän kotitietokoneen.
Rajoitettuja poikkeuksia on: laitteet, jotka käyttävät vain ääni- tai tekstiviestejä (ei sähköpostia, ei sovelluksia, ei dokumentteja), ja laitteet, joita käytetään pelkästään kaksivaiheiseen todennukseen, eivät kuulu tämän piiriin. Kaikissa muissa tapauksissa laitteen on täytettävä kaikki asiaankuuluvat vaatimukset: tuettu käyttöjärjestelmä, ajantasaiset korjauspäivitykset, haittaohjelmien torjunta (tai vastaava), salasana ja mahdollisuus lukita tai pyyhkiä tiedot etänä.
Etätyöntekijät kuuluvat oletusarvoisesti suojauspiiriin. Vakio-odotus on, että yrityksen kannettavassa tietokoneessa on oma isäntäpohjainen palomuuri käytössä (ei kotireitittimen varassa) ja että kaikki arkaluontoinen pilvihallintatyö on suojattu MFA:lla. Kotireitittimet itsessään eivät kuulu suojauspiiriin, ellei organisaatio ole toimittanut tai määrittänyt niitä, mutta yrityksen laite käyttäytyy ikään kuin se olisi aina vihamielisessä verkossa.
Miten päätät, mikä kuuluu soveltamisalaan ja mikä ei?
Laajuus on tärkein yksittäinen varhainen päätös Cyber Essentials -projektissa. Jos teet sen väärin, joko sertifioit liian kapeaa osaa liiketoiminnasta (ja sertifikaatin uskottavuus on rajallinen) tai otat liikaa vastuuta (ja arvioinnista tulee tarpeettoman vaikeaa).
Järjestelmä sallii kaksi pääasiallista lähestymistapaa:
- Koko organisaation laajuus — Kaikki organisaation käyttäjät, laitteet, verkot ja pilvipalvelut kuuluvat sertifikaatin piiriin. Tämä on suositeltu lähestymistapa, ja se tuottaa vahvimman sertifikaatin. Asiakkaat, vakuutusyhtiöt ja valtion sopimukset olettavat usein, että sinulla on tämä sertifikaatti.
- Osajoukon laajuus — Nimetty osasto, liiketoimintayksikkö tai ympäristö kuuluu soveltamisalaan, ja kaikki muu on suljettu pois. Osajoukon soveltamisalan käyttämiseksi sinun on noudatettava selkeää teknistä rajaa – tyypillisesti erikseen hallinnoitua verkkoa, erillistä käyttäjähakemistoa ja erillistä pilvivuokraajaa – jotta soveltamisalaan kuuluva ympäristö ei saastuta soveltamisalan ulkopuolisen ympäristön vaikutuksesta.
Minne ikinä rajat vedätkin, samat viisi kontrollia koskevat kaikkea sen sisällä olevaa. Suunnittele laajuus ennen itsearviointikyselyn täyttämistä; laajuuden muuttaminen myöhemmin maksaa aikaa ja rahaa. Hinnoittelu skaalautuu laajuusympäristön koon mukaan, joten tutustu ehtoihimme. Cyber Essentialsin hinta sivua projektisi mitoitusta määrittäessäsi.
Mitä uutta vuoden 2026 versiossa on?
Järjestelmä kehittyy vuosittain. Nykyinen kysymyssarja säilyttää viisi kontrollialuetta, mutta tiukentaa useita vaatimuksia vastaamaan hyökkääjien käyttäytymisen muutoksia ja pilvipalvelujen kasvavaa valta-asemaa. Merkittävimmät hakijoita koskevat päivitykset ovat:
- Monitekstinen todentaminen — MFA on nyt pakollinen kaikilla pilvipalveluiden järjestelmänvalvojan tileillä, ja sitä odotetaan tavallisilta pilvikäyttäjiltä, jos alusta tukee sitä. Pelkkää tekstiviestipohjaista MFA:ta ei suositella, ja sen sijaan suositaan todennussovelluksia tai laitteistotunnisteita.
- Pilvipalvelun laajuuden selvennys — SaaS, PaaS ja IaaS käsitellään yksiselitteisesti ja annetaan selkeämmät ohjeet siitä, mitkä vastuut ovat palveluntarjoajalla ja mitkä asiakkaalla. Pilvipalveluntarjoajan tileihin sovelletaan samaa valvontaa kuin paikallisiin verkkotunnusten järjestelmänvalvojiin.
- Salasanaton ja biometrinen todennus — Järjestelmä hyväksyy nyt modernit todennusmenetelmät (salasanat, Windows Hello, Touch ID) hyväksyttävinä vaihtoehtoina perinteiselle salasana- ja monitärkeälle todennukselle.
- Varainhoidon odotukset — Sinun odotetaan pitävän ajan tasalla olevaa laite- ja ohjelmistoluetteloa, koska et voi luotettavasti korjata tai suojata asioita, joista et tiedä.
- Haavoittuvuuksien korjaukset — 14 päivän korjausikkuna kattaa nyt nimenomaisesti reitittimien, kytkimien ja tukiasemien laiteohjelmistot, ei pelkästään käyttöjärjestelmiä ja sovelluksia.
Kun todistuksesi on uusittava, sovelletaan uusinta kysymyssarjaa. Katso lisätietoja. Cyber Essentials -uusiminen opas siitä, mitä odottaa, kun sertifioit uudelleen päivitettyjen kriteerien mukaisesti.
Miksi valita ISMS.online kyberturvallisuuden perusteisiin?
- Valmiiksi määritetyt ohjaimet — Jokainen Cyber Essentialsin hallinta-alue on kartoitettu ISMS.online, joten arvioit koko järjestelmää vasten rakentamatta omaa tarkistuslistaa tyhjästä.
- Yksi ainoa todisteiden lähde — Liitä kuvakaappaukset, määritysviennit, liittyjä-/lähtötietueet ja käytäntöasiakirjat asiaankuuluvaan hallintaan kerran ja käytä niitä sitten uudelleen uusimisissa, Plus-arvioinneissa ja muissa viitekehyksissä.
- Osoitustyökalut — Tallenna laajuuden piiriin kuuluvat käyttäjät, laitteet, verkot ja pilvipalvelut jäsenneltyyn resurssirekisteriin, jotta laajuuden rajat dokumentoidaan, ne voidaan auditoida ja niitä on helppo päivittää.
- Toimenpiteeseen johtavan kuilun seuranta — Jokainen valmiustarkastuksessa tunnistettu aukko muunnetaan tehtäväksi, jolla on omistaja ja määräpäivä, joten mikään ei jää huomaamatta.
- Monikehysten vipuvaikutus — Cyber Essentials -todisteet ISMS.online myös ruokkii ISO 27001, SOC 2 ja NIS 2 toimii, minkä vuoksi Cyber Essentials -palvelusta eteenpäin siirtyvät asiakkaat pysyvät alustalla.
- Uusimisvalmis — Alusta pitää todisteesi ajan tasalla vuosittaisten jaksojen välillä, joten sinun ei koskaan tarvitse aloittaa alusta seuraavan todistuksen määräaikaan mennessä.
- Tuhansien organisaatioiden luottama - ISMS.online tukee kaikenkokoisia yrityksiä niiden vaatimustenmukaisuuden saavuttamisessa, ensikertalaisista Cyber Essentials -hakijoista aina globaaleihin ISO-sertifioituihin ryhmiin.
Aiheeseen liittyviä Cyber Essentials -oppaita
Jatka kyberasioiden perusteet -matkaasi tämän sarjan muiden oppaiden avulla:
- Kybertarvikkeiden hinta — IASME-hinnoitteluportaat, lisäkustannukset, piilokustannukset ja 3 vuoden kokonaiskustannukset Yhdistyneen kuningaskunnan yrityksille.
- Onko kyberturvallisuus hintansa arvoinen? — Rehellinen arvio hyödyistä, haitoista ja siitä, kuka sertifiointia todella tarvitsee.
- Cyber Essentials Plus -vaatimukset — Tekninen auditointi, haavoittuvuustarkistukset ja mitä Plus tarjoaa perussertifioinnin lisäksi.
- Kyberasioiden itsearviointi — SASQ-työnkulku, laajuus, näyttö ja yleiset sudenkuopat.
- Kuinka kauan kyberturvallisuusongelmiin valmistautuminen kestää? — Tyypillinen aikataulu Isossa-Britanniassa, nopeutetut vaihtoehdot ja mikä hidastaa prosessia.
- Kyberturvallisuuden uusiminen — 12 kuukauden sykli, vuoden 2026 määräysvallan muutokset ja miten valmistautua 60 päivän lähtöön.
- Kyberturvallisuuden perusteet pienyrityksille — Pk-yrityksille suunnattu hinnoittelu, laajuus ja kustannus-hyötyanalyysi.
- Kyberturvallisuusasiat vs. ISO 27001 — Laajuus, kustannukset, aika ja tunnustus verrattuna.
UKK
Mitä Cyber Essentials kattaa selkokielellä?
Cyber Essentials kattaa viisi teknistä valvonta-aluetta: palomuurit ja reitittimet, suojatun konfiguroinnin, käyttäjien pääsynhallinnan, haittaohjelmien torjunnan ja tietoturvapäivitysten hallinnan. Jokainen valvonta-alue asettaa erityiset, käytännön vaatimukset organisaatiosi käyttämille laitteille, käyttäjätileille ja pilvipalveluille. Yhdessä ne on suunniteltu pysäyttämään suurin osa yleisistä internet-pohjaisista hyökkäyksistä.
Koskeeko Cyber Essentials -laki pilvipalveluita?
Kyllä. Kaikki organisaatiotietojen käsittelyyn tai tallentamiseen käytettävät pilvipalvelut kuuluvat piiriin. SaaS, PaaS ja IaaS kuuluvat kaikki piiriin, mutta niillä on hieman erilaiset vastuualueet. Olet aina vastuussa käyttäjien käyttöoikeuksista, järjestelmänvalvojan tilien monitoimitunnistuksesta ja vuokralaisen turvallisesta konfiguroinnista. IaaS-palveluiden osalta hoidat myös korjauspäivitykset, haittaohjelmat ja isäntäpalvelimien palomuurit.
Kuuluvatko etätyöntekijät ja omat laitteet (BYOD) piiriin?
Kyllä. Kaikki laitteet, joita käytetään organisaatiosi tietojen tai palveluiden käyttämiseen, kuuluvat tämän piiriin, mukaan lukien kotikannettavat tietokoneet ja työsähköpostia käyttävät henkilökohtaiset puhelimet. Laitteet, joita käytetään yksinomaan äänipuheluihin, tekstiviesteihin tai kaksivaiheiseen todennukseen, eivät kuulu tämän piiriin. Kotona käytettävissä yrityksen kannettavissa tietokoneissa on oltava oma isäntäpohjainen palomuuri käytössä.
Mitä ohjelmistoja Cyber Essentials kattaa?
Kaikki ohjelmistot, joita käytetään organisaation tietojen tai palveluiden käyttämiseen. Näitä ovat käyttöjärjestelmät, selaimet, selainlaajennukset, tuottavuuspaketit, liiketoimintasovellukset sekä reitittimien ja palomuurien laiteohjelmistot. Kaikilla näillä on oltava lisenssi, toimittajan tuki ja ne on korjattava 14 päivän kuluessa tärkeiden tai kriittisten päivitysten osalta. Käytöstä poistettuja ohjelmistoja ei hyväksytä.
Mitä todisteita arvioija haluaa nähdä?
Itsearvioinnissa annat vastaukset ja vakuutukset jokaiseen kysymykseen. Cyber Essentials Plus -kurssin osalta arvioija suorittaa käytännön testejä: skannaa esimerkkilaitteita puuttuvien korjauspäivitysten varalta, tarkistaa haittaohjelmien torjuntakokoonpanon, varmistaa pilvitilien MFA:n ja vahvistaa palomuurisäännöt. Yleisesti pyydetään dokumentoituja liittymis-/poistumismenettelyjä, järjestelmänvalvojan tililuetteloita ja korjauspäivitystietueita.
Mitä uutta Cyber Essentialsin vuoden 2026 versiossa on?
Nykyinen kysymysjoukko vahvistaa pilvi- ja monivaiheisen todennuksen vaatimuksia, selventää SaaS-, PaaS- ja IaaS-vastuut, tunnistaa salasanattoman ja biometrisen todennuksen ja laajentaa nimenomaisesti 14 päivän korjausikkunaa laiteohjelmistoon. Myös resurssien inventaarioon liittyviä odotuksia on tehty selkeämmiksi.
