Mikä on Cyber Essentials -itsearviointi?
Cyber Essentials -itsearviointi on kyselylomake, joka on Yhdistyneen kuningaskunnan hallituksen Cyber Essentials -ohjelman ydin. IASME:n National Cyber Security Centren (NCSC) puolesta hallinnoimassa kyselylomakkeessa organisaatiotasi pyydetään kirjallisesti ilmoittamaan, että olet ottanut käyttöön viisi teknistä suojausmenetelmää tasolla, joka suojaa yleisimmiltä internet-pohjaisilta hyökkäyksiltä. Johtotason korkea henkilö allekirjoittaa vastauksesi, lähetät kyselylomakkeen IASME-portaalin kautta, ja arvioija tarkistaa vastauksesi ja myöntää (tai evää) sertifikaatin.
Vaikka sitä kutsutaan itsearvioinniksi, prosessi ei ole epävirallinen. Vakuutuksesi on sopimuslausunto sertifiointielimelle, ja arvioija hylkää vastaukset, joista puuttuu tarvittavat tiedot tai jotka ovat ristiriidassa ilmoittamasi laajuuden kanssa. Useimmat epäonnistuneet ensimmäiset yritykset johtuvat hätäisistä, testaamattomista vastauksista eivätkä puuttuvista kontrolleista, joten tämän oppaan tavoitteena on auttaa sinua valmistelemaan todisteita, laajennamaan ympäristösi oikein ja vastaamaan IASME-arvioijan etsimällä tarkkuudella. Katso selityksestämme vakuutustasi vastaavan teknisen perustason tiedot. KyberturvallisuusvaatimuksetEnnen itse itsearviointikyselyn avaamista käy läpi seuraavat asiat Kyberasioiden perusteet -tarkistuslista sen varmistamiseksi, että laajuus, todisteet ja kontrollit ovat valmiita – se on suunniteltu havaitsemaan samat puutteet, jotka arvioija merkitsee.
Kyselylomake sisältää noin 80 kysymystä viideltä kontrollialueelta. Jokainen kysymys on binäärinen – joko täytät kontrollin tai et – mutta useimmat kysymykset vaativat myös lyhyen kirjallisen selityksen, jossa kuvataan, miten täytät sen. ISMS.online tallentaa vastauksesi, todisteesi ja perustelusi yhteen paikkaan, jotta voit käyttää niitä uudelleen uusinnan yhteydessä ja Cyber Essentials Plus -auditoinnin aikana.
Miten itsearviointi on jäsennelty?
Kyselylomake on jaettu kolmeen loogiseen osaan. Rakenteen ymmärtäminen ennen aloittamista nopeuttaa vastaamista huomattavasti.
- Yrityksen tiedot ja toiminta-alue — Oikeushenkilö, toimiala, koko, sijainti ja kirjallinen kuvaus siitä, mikä kuuluu soveltamisalaan ja mikä ei. Tämä ohjaa kaikkia seuraavia vastauksia.
- Vakuutusilmoitus — Muutama kysymys alle 20 miljoonan punnan liikevaihdoltaan Isossa-Britanniassa toimivien organisaatioiden kybervakuutuksesta.
- Tekniset tarkastukset — Kyselylomakkeen suurin osa. Noin 80 kysymystä, jotka on ryhmitelty viiden kontrolliteeman alle. Jokainen teema testaa eri ympäristösi tasoa.
Ratkaisevasti teknisten valvontamenetelmien osion vastaustesi on sovellettava kaikki ilmoittamassasi laajuudessa. Jos suljet osan liiketoiminnasta pois, sinun on sanottava se selkeästi ja rajattava se muualle. Osittaiset vastaukset ovat suurin yksittäinen uudelleenlähetyksen syy, samoin kuin laajuudessa olevat tukemattomat ohjelmistot.
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
Mitkä ovat viisi valvonta-aluetta ja mitä kukin niistä kysyy?
Viisi teknisen hallinnan teemaa ovat samat riippumatta siitä, valitsetko Cyber Essentials- vai Cyber Essentials PlusEro on siinä, että Plus lisää riippumattoman teknisen tarkastuksen paikan päällä tai etänä; itsearviointi on sen perusta. Alla oleva taulukko yhteenvetää, mitä kukin valvonta-alue kattaa ja millaisia kysymyksiä sinun tulisi odottaa.
| Valvonta -alue | Mitä se kattaa | Esimerkkikysymykset |
|---|---|---|
| 1. Palomuurit ja internet-yhdyskäytävät | Rajapintapalomuurit suojaavat toimistoverkkoasi sekä isäntäpohjaiset palomuurit toimiston ulkopuolella käytettäville laitteille (esim. etätyöskentelyyn tai hot-deskeille). | Vaihdatteko palomuurin oletussalasanoja? Onko saapuvan liikenteen säännöt dokumentoitu, hyväksytty ja tarkistettu? Onko järjestelmänvalvojan käyttöliittymät estetty internetistä tai suojattu monivaiheisella todennuksella? |
| 2. Secure Configuration | Oletustilien, käyttämättömien ohjelmistojen ja tarpeettomien palveluiden poistaminen palvelimilta, loppukäyttäjien laitteilta, mobiililaitteilta ja pilvipalveluista. | Oletko poistanut tai poistanut käytöstä käyttämättömät käyttäjätilit? Onko kaikkien laajuuslaitteiden oletussalasanat vaihdettu? Onko automaattinen käynnistys poistettu käytöstä? Ovatko laitteen lukituksen avaustiedot vähintään 6 merkkiä pitkiä ja niissä on käytetty raakaa voimaa -suojausta? |
| 3. Käyttäjien käyttöoikeuksien hallinta | Tilin luominen, käyttöoikeuksien hallinta, järjestelmänvalvojan ja vakiotilien erottaminen sekä monivaiheinen todennus pilvipalveluissa. | Onko olemassa dokumentoitua käyttäjätilien hyväksymisprosessia? Käytetäänkö järjestelmänvalvojan tilejä vain järjestelmänvalvojan tehtäviin? Onko moniton autentikointi käytössä kaikissa pilvipalveluissa sekä käyttäjille että järjestelmänvalvojille? Poistetaanko palvelusta poistuvien tilit viipymättä? |
| 4. Haittaohjelmien torjunta | Haittaohjelmien torjunta, sovellusten sallittujen listaus tai hiekkalaatikko-ominaisuudet kaikissa laitteissa, mukaan lukien BYOD ja mobiililaitteet. | Mitä haittaohjelmien torjuntamekanismia käytetään kullakin laitetyypillä? Päivitetäänkö allekirjoitukset päivittäin? Estetäänkö käyttäjiä suorittamasta ohjelmistoja epäluotettavista lähteistä? |
| 5. Tietoturvapäivitysten hallinta | Käyttöjärjestelmien, sovellusten ja laiteohjelmistojen korjauspäivitykset määritellyissä aikaväleissä; ei-tuettujen ohjelmistojen poisto. | Onko automaattinen päivitys käytössä aina kun mahdollista? Asennetaanko korkean riskin ja kriittiset päivitykset 14 päivän kuluessa julkaisusta? Onko käytössä ohjelmistoja, joita valmistaja ei enää tue? |
Miten määrittelet toimintapiirisi oikein?
Laajuus on yleisin syy siihen, miksi organisaatiot epäonnistuvat tai joutuvat tekemään kysymyksiä uudelleen, joten harkitsemisella kannattaa olla etusijalla. Laajuutesi on katettava ne organisaatiosi osat, joiden kautta hyökkääjä voi realistisesti päästä käsiksi arkaluontoisiin tietoihisi. Oletusarvoinen ja erittäin suositeltava vaihtoehto on "koko organisaatio", mutta voit laajentaa laajuutta liiketoimintayksiköittäin, jos voit osoittaa selkeän teknisen ja fyysisen eron laajuuden piiriin kuuluvien ja sen ulkopuolella olevien osien välillä.
Valitsetpa minkä tahansa vaihtoehdon, sinun on kyettävä kuvailemaan ja todistamaan:
- Käyttäjät laajuudessa — Kaikki työntekijät, urakoitsijat ja kolmannet osapuolet, joilla on pääsy järjestelmän piiriin kuuluviin järjestelmiin, mukaan lukien etätyöntekijät. Omien palveluidenne asiakastilit eivät kuulu järjestelmän piiriin.
- Laitteet, jotka kuuluvat soveltamisalaan — Kaikki kannettavat tietokoneet, pöytätietokoneet, tabletit, matkapuhelimet ja palvelimet, joita käytetään organisaatiotietojen tai -palveluiden käyttämiseen, mukaan lukien henkilökohtaisesti omistetut laitteet (BYOD), joita käytetään työsähköpostin tai -tiedostojen käsittelyyn.
- Alueet, joihin sovelletaan — Toimistot, etätyöympäristöt ja kaikki käyttämäsi datakeskukset tai yhteiskäyttötilat.
- Pilvipalvelut laajuudessa — Kaikki organisaatiotietoja sisältävät Software as a Service-, Platform as a Service- ja Infrastructure as a Service -ratkaisut. Vuoden 2022 päivityksestä lähtien pilvipalvelut ovat nimenomaisesti kuuluneet soveltamisalaan, eikä niitä voida jättää pois.
Dokumentoi laajuus selkokielellä ennen kuin vastaat teknisiin kysymyksiin. Jos et pysty kuvaamaan rajoja tarkasti, arvioija ei pysty vahvistamaan, ovatko kontrollisi riittäviä.
Miten kyselylomakkeen avaamiseen kannattaa valmistautua?
Suurin osa työstä tapahtuu ennen kuin kirjaudut IASME-portaaliin. Oikeanlaisten todisteiden kanssa sisäänkäveleminen lyhentää valmistumisaikaa viikoista päiviin.
Laadi omaisuusluettelo
Listaa kaikki laitteet, palvelimet, pilvipalvelut ja käyttäjätilit, käyttöjärjestelmä- tai ohjelmistoversio, viimeisimmän päivityksen päivämäärä ja määritetty käyttäjä. Tämä on hyödyllisin yksittäinen tieto itsearvioinnin kannalta ja sitä käytetään uudelleen uusimisen yhteydessä. ISMS.online sisältää resurssirekisterin, joka on suoraan yhteydessä Cyber Essentials -hallinta-alueisiin, joten voit hakea laajuuskohtaisen luettelon milloin tahansa.
Kerää toimintaperiaatteita koskevat asiakirjat
Et tarvitse tuhatsivuista käytäntökirjastoa, mutta arvioija odottaa näkevänsä kevyitä, kirjallisia prosesseja, jotka kattavat käyttäjätilien hyväksynnän ja poistujat, korjauspäivitykset, salasana- ja MFA-standardit, haittaohjelmien torjunnan ja etätyöskentelyn. Lyhyt, ajantasainen ja hyväksytty on parempi kuin pitkä ja teoreettinen.
Kerää tukevaa näyttöä
Määritä jokaiselle valvonta-alueelle kuvakaappaus, konfiguraatiovienti tai järjestelmäraportti, jota käyttäisit kyseenalaistettuina. Cyber Essentials -kokeen (Plus on eri asia) todisteita ei ladata lähetyksen yhteydessä, mutta arvioija voi pyytää niitä, ja tarvitset niitä uudelleen uusimisen yhteydessä ja kaikissa Plus-auditoinneissa. Yleisiä todisteita ovat: MDM-konfiguraationäytöt, ehdollisen käytön käytännöt, korjauspäivitysten koontinäytöt, tilien tarkistukset ja palomuurisääntöjen viennit.
Kysymykset etukäteen
Koko kysymyssarja on saatavilla IASME:lta ennen lähettämistä. Lue se alusta loppuun, merkitse jokainen kysymys, johon et voi varmasti vastata kyllä, ja käsittele listaa korjaussuunnitelmanasi. Kahdesta yrityksestä maksaminen on yleisin syy siihen, että organisaatiot päätyvät maksamaan kahdesta yrityksestä.
Aloita ilmainen kokeilu
Haluatko tutkia?
Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia
Miten kysymykset pisteytetään ja mikä johtaa hylkäykseen?
Jokainen tekninen kontrollikysymys on binäärinen: kyllä tai ei. Osapisteitä ei myönnetä. Sertifioinnin saamiseksi sinun on kyettävä vastaamaan "kyllä" (tai antamaan vastaavan vaatimustenmukaisen vastauksen) kaikkiin soveltuviin kysymyksiin viidellä kontrollialueella.
Useimpiin kysymyksiin IASME vaatii myös lyhyen vapaamuotoisen selityksen, jossa kuvataan, miten kontrolli täyttyy. Arvioijat arvioivat näitä selityksiä kolmen testin perusteella: onko vastaus teknisesti oikein, onko se yhdenmukainen kyselylomakkeen muun osan kanssa ja kattaako se kaikki laitteeseen tai palveluun kuuluvat laitteet. Kyllä-vastaus ilman lisätietoja tai yksityiskohta, joka on ristiriidassa aiemman vastauksen kanssa, johtaa selvennyspyyntöön tai täydelliseen hylkäämiseen.
Jos arvioija merkitsee puutteita, sinulla on yksi mahdollisuus korjata ongelmat ja lähettää hakemus uudelleen ilman lisäkustannuksia, kunhan teet sen kahden arkipäivän kuluessa palautteen vastaanottamisesta. Jos tämä aikaraja unohtuu, aloitat sertifioinnin (ja maksat) alusta. Siksi kysymysten ja todisteiden esitarkastus on niin arvokasta – sinulla on hyvin vähän aikaa korjata tilanne, kun arviointikello alkaa.
Mitkä ovat yleisimmät itsearvioinnin sudenkuopat?
Samat muutamat ongelmat selittävät suurimman osan hylätyistä ja uudelleen lähetetyistä kyselylomakkeista. Näiden tunteminen etukäteen auttaa sinua sisällyttämään ne lentoa edeltäviin tarkastuksiin.
- Ei-tuettu ohjelmisto laajuudessa — Yksi Windows Server 2012 R2 -tietokone, vanha MacOS-versio ohjaajan kannettavalla tietokoneella tai vanha Java-ajoympäristö ei läpäise tietoturvapäivitysten hallintaosiota. Joko päivitä se, eristä se tiukasti valvotun palomuurin taakse tai poista se ennen lähettämistä.
- BYOD ilman asianmukaisia valvontatoimia — Jos henkilöstö käyttää työsähköpostia tai -tiedostoja henkilökohtaisilla puhelimilla tai kannettavilla tietokoneilla, nämä laitteet kuuluvat valvonnan piiriin ja niiden on täytettävä kaikki viisi valvontateemaa. Yksi suurimmista epäonnistumiskohdista on BYOD, jota ei ole sisällytetty mobiililaitteiden hallintaan tai ehdolliseen pääsyyn.
- Pilvipalvelut käsitellään soveltamisalan ulkopuolella olevina — Vuodesta 2022 lähtien kaikki organisaatiotietoja sisältävät pilvipalvelut, mukaan lukien Microsoft 365, Google Workspace ja kaikki tiimisi käyttämät SaaS-palvelut, ovat kuuluneet soveltamisalaan. Monimuotoinen autentikointi (MFA) näissä palveluissa on pakollista.
- Päivittäisessä työssä käytettävät järjestelmänvalvojan tilit — Verkkotunnuksen järjestelmänvalvojan tilejä ei saa käyttää sähköpostin lukemiseen tai verkon selaamiseen. Tarvitaan erilliset tilit.
- Makrotaloudellisen rahoitusavun vajeet — Kaikissa pilvipalveluissa, jotka tukevat MFA:ta, se on oltava käytössä kaikille käyttäjille ja järjestelmänvalvojille. Palvelutilit, joissa ei ole MFA:ta, on dokumentoitava ja suojattava muilla keinoin.
- Epämääräiset laajuuskuvaukset — ”Toiminnot Isossa-Britanniassa” ei ole soveltamisala. ”Acme Ltd, Ison-Britannian toimisto, 42 henkilökunnan kannettavat tietokoneet, Microsoft 365, AWS-tuotannon VPC” on.
Voit välttää lähes kaikki nämä suorittamalla sisäisen ennakkoarvioinnin julkaistua kysymyssarjaa vasten ennen virallisen kyselylomakkeen avaamista. Katso ohjeellinen aikataulu, joka sisältää korjaavat toimenpiteet, erittelystämme. kuinka kauan Cyber Essentialsin käyttöönotto kestää alusta loppuun.
Miten lähetät viestin ja mitä tapahtuu seuraavaksi?
Lähetys käsitellään kokonaan IASME Cyber Essentials -portaalin kautta. Ostat arvioinnin (hinnoittelu on porrastettu organisaation koon mukaan; katso oppaamme) Cyber Essentialsin hinta), hanki portaalitili, täytä kyselylomake verkossa ja lähetä se arvioijan tarkastettavaksi.
- Lähetä portaalin kautta — Hallitustason allekirjoittaja vahvistaa vastausten paikkansapitävyyden ennen lähettämistä.
- Arvioijan tarkistus (yleensä 1–3 arkipäivää) — IASME-akkreditoitu arvioija tarkistaa vastauksesi julkaistuja IT-infrastruktuurin kyberturvallisuuden perusvaatimuksia vasten.
- Tulos — Saat joko hyväksynnän (myönnetyn todistuksen, joka on merkitty IASME-rekisteriin) tai palautetta, jossa yksilöidään vaatimustenvastaisuudet.
- Uudelleenlähetys (tarvittaessa) — Sinulla on kaksi arkipäivää aikaa korjata ongelmat ja lähettää pyyntö uudelleen. Yksi ilmainen korjausyritys sisältyy hintaan; lisäyritykset edellyttävät uutta ostosta.
- Sertifiointi — Onnistuneesti läpäisty koe antaa 12 kuukauden Cyber Essentials -sertifikaatin. Saat myös valinnaisen kybervakuutuksen, jos olet oikeutettu siihen.
Jos aiot tehdä jatkotoimenpiteitä Cyber Essentials Plus -kyselyn parissa, sinun on tehtävä se kolmen kuukauden kuluessa itsearvioinnin läpäisemisestä. Muussa tapauksessa sinun on ensin täytettävä kyselylomake uudelleen.
Miksi valita ISMS.online kybertaitojen itsearviointiin?
- Valmiiksi rakennettu kyselylomaketyötila - ISMS.online peilaa IASME-kysymyssarjaa, joten voit laatia, tarkistaa ja hyväksyä vastaukset sisäisesti ennen kuin ne saapuvat portaaliin.
- Integroitu omaisuusrekisteri — Seuraa jokaista sovelluksen piiriin kuuluvaa laitetta, käyttäjää ja pilvipalvelua yhdessä paikassa, ja korjauspäivitysten tila ja omistajuus ovat valmiina todisteiksi.
- Viiden ohjausobjektin mukaiset käytäntömallit — Muokattavat käytännöt palomuureille, suojatulle konfiguroinnille, pääsynvalvonnalle, haittaohjelmien torjunnalle ja tietoturvapäivitysten hallinnalle, kirjoitettu Ison-Britannian pk-yrityksille, ei suuryrityksille.
- Todistekirjasto — Lataa kuvakaappaukset, viennit ja määritystilannevedokset kerran ja linkitä ne kaikkiin asiaankuuluviin kontrollielementteihin arvioijan tarkistusta tai tulevaa Plus-auditointia varten.
- Yhteistyö ja hyväksyntä — Määritä kysymykset oikealle omistajalle, seuraa edistymistä ja hanki hallituksen hyväksyntä ennen niiden lähettämistä IASME:lle.
- Uusimisvalmis — Viime vuoden vastaukset, todisteet ja omaisuusluettelo säilytetään, joten uusiminen on pikemminkin delta-harjoitus kuin täydellinen alustaminen.
- Monikehysten vipuvaikutus – Samat todisteet tukevat ISO 27001, SOC 2 ja muita viitekehyksiä, joita saatat seuraavaksi ottaa käyttöön, jotta Cyber Essentials -työsi ei koskaan mene hukkaan.
Aiheeseen liittyviä Cyber Essentials -oppaita
Jatka kyberasioiden perusteet -matkaasi tämän sarjan muiden oppaiden avulla:
- Kyberturvallisuusvaatimukset — Viisi valvonta-aluetta, laajuuspäätökset ja mitä näytön arvioijat etsivät.
- Kybertarvikkeiden hinta — IASME-hinnoitteluportaat, lisäkustannukset, piilokustannukset ja 3 vuoden kokonaiskustannukset Yhdistyneen kuningaskunnan yrityksille.
- Onko kyberturvallisuus hintansa arvoinen? — Rehellinen arvio hyödyistä, haitoista ja siitä, kuka sertifiointia todella tarvitsee.
- Cyber Essentials Plus -vaatimukset — Tekninen auditointi, haavoittuvuustarkistukset ja mitä Plus tarjoaa perussertifioinnin lisäksi.
- Kuinka kauan kyberturvallisuusongelmiin valmistautuminen kestää? — Tyypillinen aikataulu Isossa-Britanniassa, nopeutetut vaihtoehdot ja mikä hidastaa prosessia.
- Kyberturvallisuuden uusiminen — 12 kuukauden sykli, vuoden 2026 määräysvallan muutokset ja miten valmistautua 60 päivän lähtöön.
- Kyberturvallisuuden perusteet pienyrityksille — Pk-yrityksille suunnattu hinnoittelu, laajuus ja kustannus-hyötyanalyysi.
- Kyberturvallisuusasiat vs. ISO 27001 — Laajuus, kustannukset, aika ja tunnustus verrattuna.
UKK
Kuinka kauan Cyber Essentials -itsearvioinnin tekeminen kestää?
Useimmat hyvin valmistautuneet brittiläiset pk-yritykset käyttävät itsearviointiin alusta loppuun kaksi tai kolme viikkoa: noin viikon laajuuden määrittämiseen ja todisteiden keräämiseen, viikon vastausten laatimiseen ja sisäiseen tarkasteluun sekä muutaman päivän arvioijan palautteen lähettämiseen ja siihen vastaamiseen. Organisaatioiden, jotka eivät ole korjanneet, vahvistaneet tai ottaneet käyttöön MFA:ta ennen aloittamista, tulisi odottaa kuudesta kahdeksaan viikkoa, koska korjaavat toimenpiteet, ei paperityöt, muodostavat pullonkaulan.
Pitääkö henkilökohtaiset (BYOD) laitteet sisällyttää soveltamisalaan?
Kyllä, jos näitä laitteita käytetään organisaatiotietojen, työsähköpostien, tiedostojen tai pilvipalveluiden käyttämiseen. Ainoa tapa pitää BYOD poissa valvonnasta on estää niitä teknisesti käyttämästä kaikkea valvonnan piiriin kuuluvaa, esimerkiksi ottamalla käyttöön ehdollisen käytön käytäntöjä, jotka edellyttävät hallittua laitetta. Jos BYOD on sallittu, sen on täytettävä kaikki viisi ohjausteemaa samalla tavalla kuin yrityslaitteen.
Mitä tapahtuu, jos epäonnistumme itsearvioinnissa?
Saat IASME-arvioijalta palautetta, jossa yksilöidään erityiset vaatimustenvastaisuudet. Sinulla on yksi ilmainen mahdollisuus korjata ongelmat ja lähettää hakemus uudelleen kahden arkipäivän kuluessa. Jos et pysty korjaamaan ongelmia kyseisen ajan kuluessa, hakemus sulkeutuu ja sinun on ostettava uusi arviointi yrittääksesi uudelleen. Siksi on erittäin tärkeää suorittaa sisäinen esiarviointi julkaistua kysymyssarjaa vasten ennen virallisen kyselylomakkeen avaamista.
Riittääkö pelkkä itsearviointi, vai tarvitsemmeko Cyber Essentials Plus -opinnot?
Pelkkä itsearviointi (jota joskus kutsutaan "perus" Cyber Essentials -standardiksi) riittää useimpiin Yhdistyneen kuningaskunnan julkisen sektorin sopimuksiin keskushallinnon perustason mukaisesti ja yleiseen toimitusketjun varmentamiseen. Cyber Essentials Plus lisää riippumattoman teknisen tarkastuksen, ja sitä vaaditaan yhä useammin puolustusministeriön sopimuksissa, NHS:n tietojenkäsittelijöissä ja suurempien yritysten hankinnoissa. Jos sinulla on sopimusvaatimus, tarkista sanamuoto; muussa tapauksessa itsearviointi on vakiolähtökohta.
Kenen organisaatiossa on allekirjoitettava itsearviointi?
Hallitustason allekirjoittajan – tyypillisesti johtajan, toimitusjohtajan, omistajan tai tietoturvajohtajan – on vahvistettava, että kyselylomakkeen vastaukset ovat hänen parhaan tietämyksensä mukaan oikein, ennen kuin se toimitetaan IASME:lle. Tämä allekirjoitus on sopimusluonteinen, joten allekirjoittajan tulisi tarkistaa vastaukset, ei vain kumileimata niitä. ISMS.online tukee sisäistä tarkastusprosessia, jotta allekirjoittaja näkee puhtaan, hyväksytyn version puolivillaisen luonnoksen sijaan.
Kuinka usein meidän täytyy tehdä itsearviointi uudelleen?
Cyber Essentials -sertifiointi on voimassa 12 kuukautta. Sertifioinnin ylläpitämiseksi sinun on suoritettava vuosittain uusi itsearviointi. Uusimiskyselylomake on sama kuin alkuperäinen, mutta jos olet pitänyt omaisuusluettelosi, käytäntösi ja todisteesi ajan tasalla, uusiminen kestää yleensä muutaman päivän viikkojen sijaan. Katso keskussivumme osoitteessa Cyber Essentials laajempaa järjestelmän kontekstia varten.
