Kyberturvallisuus vai ISO 27001: kumman valita?
Jos punnitset itseäsi Cyber Essentials vastaan ISO 27001Et ole yksin. Brittiläisille yrityksille kerrotaan rutiininomaisesti, että ne tarvitsevat jommankumman tai molemmat, eivätkä pelkät tuotemerkit tee oikeaa vastausta ilmeiseksi. Ne ovat hyvin erilaisia järjestelmiä, jotka on suunniteltu eri yleisöille, mutta ne esitellään usein samassa keskustelussa kyberturvallisuudesta ja toimittajien varmuudesta.
Tässä on lyhyt versio. Cyber Essentials on Yhdistyneen kuningaskunnan hallituksen tukema perusjärjestelmä, joka varmistaa, että sinulla on käytössä viisi keskeistä teknistä valvontaa. Se on nopea, edullinen ja hyvin tunnustettu Yhdistyneen kuningaskunnan julkisella sektorilla ja pk-yritysten toimitusketjuissa. ISO 27001 on kansainvälinen standardi tietoturvallisuuden hallintajärjestelmälle (ISMS). Se on laajempi, syvällisempi, sen saavuttaminen vie kauemmin ja sillä on painoarvoa sekä yritysten että ulkomaisten ostajien keskuudessa. Useimmat Yhdistyneen kuningaskunnan yritykset päätyvät tekemään molemmat, tässä järjestyksessä, koska kumpikin avaa uuden oven.
Tämä sivu esittelee erot yksityiskohtaisesti, auttaa sinua päättämään, mikä sopii tilanteeseesi tänään, ja selittää, miten ISMS.online tukee molempia polkuja yhdeltä alustalta.
Mitä Cyber Essentials ja ISO 27001 ovat käytännössä?
Cyber Essentials on Yhdistyneen kuningaskunnan hallituksen tukema sertifiointijärjestelmä, jota IASME ylläpitää National Cyber Security Centren (NCSC) puolesta. Se keskittyy viiteen tekniseen valvontaan: palomuurit, suojattu konfigurointi, käyttäjien pääsynhallinta, haittaohjelmien torjunta ja tietoturvapäivitysten hallinta. Arvioit itse kyselylomakkeen avulla (ja Cyber Essentials Plus -järjestelmässä tekninen auditointi varmistaa vastauksesi). Tavoitteena on puolustautua yleisimmiltä, opportunistisilta internetistä tulevilta hyökkäyksiltä.
ISO 27001 on kansainvälinen tietoturvallisuuden hallinnan standardi. Se ei ole teknisten kontrollien tarkistuslista, vaan viitekehys tietoturvallisuuden johtamiselle liiketoimintana. Sinä määrittelet tietoturvallisuuden hallintajärjestelmän laajuuden, tunnistat ja käsittelet tietoturvariskit, asetat tavoitteita, koulutat henkilöstöä, suoritat sisäisiä auditointeja ja parannat jatkuvasti. ISO 27001:2022 -standardissa viitataan 93 liitteessä A olevaan kontrolliin, jotka kattavat organisaatioon, ihmisiin, fyysisiin ja teknologisiin teemoihin liittyvät teemat, mutta sinä sovellat vain niitä, jotka ovat olennaisia riskeillesi. Sertifioinnin myöntää riippumaton UKAS-akkreditoitu sertifiointilaitos kaksivaiheisen auditoinnin jälkeen.
Tämä ero, keskittynyt tekninen perustaso verrattuna täydelliseen hallintajärjestelmään, on kaikkien muiden erojen perusta näiden kahden järjestelmän välillä.
Aloita ilmainen kokeilu
Haluatko tutkia?
Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia
Miten Cyber Essentials ja ISO 27001 vertautuvat toisiinsa?
Alla oleva taulukko yhteenvetää erot, joista Ison-Britannian ostajat kysyvät useimmin. Käytä sitä löytääksesi oikean järjestelmän omalle näyttämöllesi, markkinoillesi ja asiakaskunnallesi.
| Ulottuvuus | Cyber Essentials | ISO 27001 |
|---|---|---|
| Laajuus | Viisi teknistä valvontaa, jotka kattavat internetiin kytkeytyvät järjestelmät ja loppukäyttäjien laitteet | Täydellinen tietoturvallisuuden hallintajärjestelmä sekä 93 riskiperusteisesti sovellettua liitteen A mukaista valvontaa |
| Hinta | 330 punnasta + alv (oma-arvio) noin 3 000 puntaan + alv Cyber Essentials Plus -ohjelmassa organisaation koosta riippuen | Tyypillisesti 3 000–15 000 puntaa yli sertifiointielimen palkkioita kolmen vuoden aikana, sekä sisäinen käyttöönottotyö ja mahdollinen konsultointi |
| Aika sertifioida | 2–4 viikkoa valvonnan aloittamisen jälkeen | 6–18 kuukautta, riippuen aloituskypsyydestä, laajuudesta ja resursseista |
| Tunnustaminen | Vain Isossa-Britanniassa; laajalti tunnustettu Ison-Britannian julkisella sektorilla ja pk-yritysten toimitusketjuissa | Kansainvälinen; tunnustettu maailmanlaajuisesti yrityshankintojen, sääntelyviranomaisten ja kumppaneiden toimesta |
| Syvyys | Perustason kyberhygienia yleisiä internetistä leviäviä uhkia vastaan | Riskiperusteinen hallintajärjestelmä, joka kattaa ihmiset, prosessit ja teknologian koko tiedon elinkaaren ajan |
| Uusiminen | Vuosittainen uudelleensertifiointi (sama maksu joka vuosi) | Kolmivuotinen sertifiointisykli, johon sisältyy vuosittaiset valvontatarkastukset ja täydellinen uudelleensertifiointitarkastus kolmantena vuonna |
| Kenelle se sopii | Ison-Britannian pk-yritykset, startupit, puolustusministeriön/keskushallinnon toimittajat, organisaatiot, jotka tekevät tarjouksia Ison-Britannian julkisen sektorin töistä | Yritykset, skaalautuvat yritykset, B2B SaaS, säännellyt toimialat ja kaikki kansainvälisiä tai yritysasiakkaita palvelevat yritykset |
Paljonko Cyber Essentials ja ISO 27001 maksavat ja kuinka kauan niiden hankkiminen kestää?
Kustannukset ja aika ovat yleensä kaksi tekijää, jotka ratkaisevat suoritusjärjestyksen. Cyber Essentials -itsearviointi alkaa 330 punnasta + alv mikro-organisaatiolle ja nousee porrastetusti henkilöstömäärän mukaan, ja suurempien organisaatioiden kohdalla se on korkeintaan 500 puntaa + alv. Cyber Essentials Plus -palveluun lisätään ulkoinen tekninen auditointi, ja sen hinta on tyypillisesti 1 500–3 000 puntaa + alv ympäristösi koosta ja monimutkaisuudesta riippuen. Lisätietoja on osoitteessa Cyber Essentialsin kustannuserittely ja siitä, mitä todellisuudessa arvioidaan KyberturvallisuusvaatimuksetUseimmat organisaatiot suorittavat sertifioinnin kahdesta neljään viikkoon alusta alkaen, olettaen, että taustalla olevat kontrollit on jo konfiguroitu.
ISO 27001 -standardiin investoidaan eri mittakaavassa. Pelkästään sertifiointielinten palkkiot ovat yleensä 3 000–15 000 puntaa yli kolmen vuoden syklin aikana, ja ne skaalautuvat henkilöstömäärän, toimipaikkojen ja tietoturvallisuuden hallintajärjestelmän laajuuden mukaan. Suuremmat kustannukset ovat sisäisiä: johtamisjärjestelmän käyttöönotto, käytäntöjen laatiminen, riskinarvioinnin suorittaminen, henkilöstön kouluttaminen, sisäisten auditointien suorittaminen ja todisteiden valmistelu. Realistiset aikataulut ovat 6–9 kuukautta organisaatioille, joilla on kypsät kontrollit ja kohdennettu laajuus, ja 12–18 kuukautta organisaatioille, jotka aloittavat tyhjästä.
Jokainen sertifiointi avaa kompromissin. Cyber Essentials ratkaisee hankintaongelman nopeasti. ISO 27001 vie kauemmin, mutta vastaa ostajalle paljon suurempaan kysymykseen: johdetaanko tietoturvaa hallittuna, jatkuvasti kehittyvänä toimintatapana?
Mitä sertifikaatteja asiakkaasi oikeastaan kysyvät?
Rehellinen vastaus kysymykseen ”kumpi on parempi” on ”kumpi tahansa asiakkaasi ja sääntelyviranomaiset hyväksyvät”. Käytännössä tämä jakautuu selkeästi kolmeen osaan.
Yhdistyneen kuningaskunnan julkisen sektorin ostajat ylivoimaisesti eniten kysytään Cyber Essentials -tietoturvaa. Se on pakollinen valtionhallinnon sopimuksissa, joihin liittyy henkilötietojen käsittelyä tai tiettyjen ICT-tuotteiden ja -palveluiden toimittamista, ja se näkyy oletuskysymyksenä useimmissa julkisen sektorin hankintakehyksissä. Cyber Essentials Plus -tietoturvaa vaaditaan, jos toimittajalla on pääsy arkaluontoisempiin järjestelmiin tai tietoihin, mukaan lukien useimmat puolustusministeriön työt.
Ison-Britannian pk-yritysten toimitusketjut kysyvät yhä useammin Cyber Essentialsia, osittain siksi, että heidän omat suuremmat asiakkaansa siirtävät vaatimuksen eteenpäin. Jos ostajasi ovat Isossa-Britanniassa toimivia ja keskisuuria, Cyber Essentials riittää usein yksinään, varsinkin alkuvaiheessa.
Yritys- ja kansainväliset ostajat pyydä ISO 27001 -standardia. Se on B2B-tietoturvakyselyiden yhteinen kieli kaikkialla Euroopassa, Pohjois-Amerikassa ja Aasiassa. Jos myyt FTSE 100 -yrityksille, globaaleille SaaS-alustoille, rahoituspalveluyrityksille tai säännellyille toimialoille, sinulta pyydetään ISO 27001 -standardia ennemmin tai myöhemmin, ja puhdas tietoturvan hallintajärjestelmä oikosulkee viikkojen tietoturvatarkistukset.
Jos et vieläkään ole varma, kannattaako meno takaisin, Onko Cyber Essentials hintansa arvoinen? Opas käy läpi tyypillisen vakuutusprosessin ja vakuutusetuudet.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Pitäisikö sinun suorittaa sekä Cyber Essentials että ISO 27001?
Useimmille sekalaista asiakaskuntaa palveleville brittiläisille yrityksille vastaus on kyllä – ja järjestyksellä on merkitystä. Yleisin järjestys on ensin kyberturvallisuusasiat ja sitten ISO 27001 -standardin noudattaminen kolmesta syystä.
Cyber Essentials on vähäriskinen pakottava toiminto. Sertifioinnin saavuttaminen muutamassa viikossa pakottaa sinut inventoimaan laitteita, sulkemaan palomuurit, dokumentoimaan korjauspäivitysten ajoituksen ja kiristämään käyttäjien pääsyoikeuksia. Jokainen näistä toimista on myös osoitus ISO 27001 Annex A -standardin mukaisten kontrollien toteuttamisesta. Saat tunnustetun sertifikaatin, nopean hankintavoiton ja etumatkan ISO 27001 -standardin noudattamisessa yhdellä kertaa.
Se vähentää ISO 27001 -standardin käyttöönoton riskejä. Useimmat ISO 27001 -auditoinnin löydökset liittyvät tekniseen hallintaan: konfigurointiin, käyttöoikeuksiin, korjauksiin ja haittaohjelmien torjuntaan. Näiden aukkojen täyttäminen Cyber Essentials -standardin mukaisesti ennen ISO 27001 -auditoinnin aloittamista tarkoittaa, että tietoturvallisuuden hallintajärjestelmäauditointisi keskittyy hallintajärjestelmän kypsyyteen, mikä on yleensä mukavampi keskustelunaihe.
Sen avulla voit kasvaa ISO 27001 -standardin mukaiseksi. Pieni tiimi voi pitää kyberasioiden perusteet kohtuullisella vaivalla samalla, kun taustalla rakentaa tietoturvan hallintajärjestelmää. Kun asiakkaiden kysyntä tai hallituksen paine ohjaa sinua kohti ISO 27001 -standardia, aloitat tunnetusti hyvästä teknisestä lähtötasosta etkä nollasta.
Myös päällekkäisyyksiä on huomattavasti hyödynnettävänä. Cyber Essentials liittyy suoraan ISO 27001:2022 -standardin liitteen A mukaisiin kontrolleihin, erityisesti teknologiateemassa. Cyber Essentialsille tuottamasi todisteet (palomuurisäännöt, korjausraportit, MFA-konfiguraatio, virustorjuntaraportointi) syötetään suoraan ISO 27001 -standardin soveltamislausuntoon ja riskienhallintatietueisiin.
Milloin pelkkä Cyber Essentials riittää?
Laajemman kuvan kaikista Yhdistyneen kuningaskunnan järjestelmistä, joita lukijat yleensä punnitsevat – mukaan lukien SOC 2 ja NIS 2 – katso Ison-Britannian kyberturvallisuussertifiointiopas.
Cyber Essentials riittää itsessään, kun kolme asiaa täyttyy: asiakkaasi ovat Isossa-Britanniassa, ostajasi eivät kysy ISO 27001 -standardia tai SOC 2, ja tietovarannot ja riskialtistus ovat vaatimattomat. Tyypillisiä esimerkkejä ovat vain Isossa-Britanniassa toimivat konsulttiyritykset, pienet Ison-Britannian pk-yrityksiä palvelevat hallinnoitujen palvelujen tarjoajat, pääasiassa Ison-Britannian julkisen sektorin tai keskisuurten yritysten tarjouksia tekevät ammatilliset palveluyritykset (laki-, kirjanpito-, suunnittelu-) sekä alkuvaiheen startupit ennen ensimmäistä yrityskauppaansa.
Sinun tulisi suunnitella kyberasioiden perusteita pidemmälle heti, kun jokin seuraavista toteutuu: otat yritysasiakkaita, laajennat toimintaasi kansainvälisesti, käsittelet suuria määriä henkilö- tai taloustietoja, siirryt säännellylle sektorille tai turvallisuuskyselyissäsi aletaan pyytää tietoturvanhallintajärjestelmää, ISO 27001 -standardia tai SOC 2 -standardia.
Miksi valita ISMS.online kyberasioiden perusteiden ja ISO 27001 -standardin hankkimiseen?
ISMS.online on rakennettu tukemaan molempia järjestelmiä yhdeltä alustalta, joten Cyber Essentialsissa tekemäsi työ heijastuu suoraan ISO 27001 -standardiin sen sijaan, että se sijaitsisi erillisessä laskentataulukossa.
- Molemmat kehykset samassa paikassa — Valmiita sisältö-, kontrolli- ja näyttöpohjamalleja Cyber Essentialsille ja ISO 27001:2022 -standardille, jotka on yhdistetty toisiinsa, jotta voit arvioida kerran ja käyttää näyttöä kahdesti.
- Hyväksy, mukauta, lisää -menetelmä — Aloita valmiiksi konfiguroidulla tietoturvajärjestelmällämme, mukauta se yritykseesi ja lisää vain sinulle ainutlaatuisia ominaisuuksia sen sijaan, että rakentaisit kaiken tyhjältä sivulta.
- Kyberessentiaalien lähetys valmis — Tallenna viisi valvonta-aluetta, tallenna laiteluettelot, MFA-todisteet ja korjaustiedot ja vie kaikki tarvitsemasi IASME-arviointia varten.
- ISO 27001 -auditointivalmius — Standardin ympärille rakennetut riskinarviointi-, sovellettavuuslausunto-, käytäntökirjasto-, sisäisen tarkastuksen ja johdon tarkastelumoduulit sekä kontrollikartoitus, joka korostaa päällekkäisyyksiä Cyber Essentialsin kanssa.
- Iso-Britannian yritysten luottama - ISMS.online käytetään organisaatioissa ympäri Isoa-Britanniaa ja kansainvälisesti Cyber Essentialsin, ISO 27001 -standardin ja muiden viitekehysten hallintaan rinnakkain.
- Aina päällä oleva opastus — Sisäänrakennettu virtuaalivalmentaja, tukitiimi ja ohjeet opastavat sinua jokaisessa vaiheessa, joten et tarvitse erillistä konsultointia sertifioinnin saamiseksi.
- Vaakautuu kanssasi — Lisätään muita viitekehyksiä (SOC 2, ISO 27701, ISO 42001, NIS 2) asiakkaidesi vaatimusten kasvaessa ilman, että sinun tarvitsee siirtyä uuteen työkaluun.
Aiheeseen liittyviä Cyber Essentials -oppaita
Jatka kyberasioiden perusteet -matkaasi tämän sarjan muiden oppaiden avulla:
- Kyberturvallisuusvaatimukset — Viisi valvonta-aluetta, laajuuspäätökset ja mitä näytön arvioijat etsivät.
- Kybertarvikkeiden hinta — IASME-hinnoitteluportaat, lisäkustannukset, piilokustannukset ja 3 vuoden kokonaiskustannukset Yhdistyneen kuningaskunnan yrityksille.
- Onko kyberturvallisuus hintansa arvoinen? — Rehellinen arvio hyödyistä, haitoista ja siitä, kuka sertifiointia todella tarvitsee.
- Cyber Essentials Plus -vaatimukset — Tekninen auditointi, haavoittuvuustarkistukset ja mitä Plus tarjoaa perussertifioinnin lisäksi.
- Kyberasioiden itsearviointi — SASQ-työnkulku, laajuus, näyttö ja yleiset sudenkuopat.
- Kuinka kauan kyberturvallisuusongelmiin valmistautuminen kestää? — Tyypillinen aikataulu Isossa-Britanniassa, nopeutetut vaihtoehdot ja mikä hidastaa prosessia.
- Kyberturvallisuuden uusiminen — 12 kuukauden sykli, vuoden 2026 määräysvallan muutokset ja miten valmistautua 60 päivän lähtöön.
- Kyberturvallisuuden perusteet pienyrityksille — Pk-yrityksille suunnattu hinnoittelu, laajuus ja kustannus-hyötyanalyysi.
UKK
Onko ISO 27001 parempi kuin Cyber Essentials?
Se on laajempi ja syvällisempi, mutta ei automaattisesti "parempi" yrityksellesi. ISO 27001 on oikea valinta, kun tarvitset kansainvälistä tunnustusta tai täydellisen tietoturvallisuuden hallintajärjestelmän. Cyber Essentials on oikea valinta, kun tarvitset nopean, edullisen ja Isossa-Britanniassa tunnustetun perustason. Monilla Isossa-Britanniassa toimivilla yrityksillä on molemmat, koska ne vastaavat erilaisiin hankintakysymyksiin.
Kattaako ISO 27001 kaiken kyberturvallisuuden perusteissa?
Pääosin kyllä. Cyber Essentials -sertifikaatin tekniset kontrollit (palomuurit, suojattu konfigurointi, pääsynhallinta, haittaohjelmien torjunta, tietoturvapäivitykset) vastaavat ISO 27001:2022 -standardin liitteen A teknologisia kontrolleja. ISO 27001 kattaa kuitenkin monia muita alueita (hallinto, riskienhallinta, toimittajien turvallisuus, liiketoiminnan jatkuvuus, henkilöstöhallinnon turvallisuus), joita Cyber Essentials ei käsittele. ISO 27001 -sertifikaatin omistaminen ei itsessään virallisesti täytä Cyber Essentials -vaatimusta, joten Yhdistyneen kuningaskunnan ostajat, jotka erityisesti pyytävät Cyber Essentials -sertifikaattia, haluavat silti nähdä kyseisen sertifikaatin.
Pitäisikö minun suorittaa Cyber Essentials vai Cyber Essentials Plus ennen ISO 27001 -standardia?
Jos mahdollista, tutustu Cyber Essentials Plus -kurssiin. Tekninen auditointi pakottaa sinut varmentamaan kontrollisi pelkän itsearvioinnin sijaan, mikä on paljon lähempänä ISO 27001 -auditoijan hakemaa näyttöstandardia. Jos budjetti on tiukka, aloita itsearvioidulla Cyber Essentials -kurssilla ja varaa sitten Cyber Essentials Plus -kurssi ISO 27001 -vaiheen 2 auditoinnin rinnalle tai juuri ennen sitä.
Hyväksyvätkö ISO 27001 -asiakkaat Cyber Essentialsin korvikkeena?
Yleensä ei. ISO 27001 -standardia pyytävät yritykset ja kansainväliset ostajat etsivät näyttöä hallitusta, riskiperusteisesta tietoturvaohjelmasta, jota Cyber Essentials ei tarjoa. Cyber Essentials voi auttaa sinua etenemään alustavan tietoturvakyselyn läpi, mutta se harvoin yksinään täyttää ISO 27001 -hankintavaatimusta.
Kuinka kauan Cyber Essentialsin jälkeen minun pitäisi aloittaa ISO 27001 -sertifiointi?
Heti kun näet ISO 27001 -standardin tulevan myyntiputkessasi, ISO 27001 -standardin käyttöönotto kestää tyypillisesti kuudesta kahdeksaantoista kuukautta, joten asiakkaan määräajasta taaksepäin työskentely on oikea lähestymistapa. Jos sinulla on Cyber Essentials Plus -sertifikaatti, voit yleensä aloittaa ISO 27001 -standardin käyttöönoton rinnakkain uusimisjaksojen kanssa ja käyttää samaa näyttöä molemmissa järjestelmissä.
Voiko ISMS.online auttaa sekä kyberasioiden perusteissa että ISO 27001 -standardissa samanaikaisesti?
Kyllä. ISMS.online hallitsee molempia viitekehyksiä yhdestä työtilasta valmiiksi määritettyjen kontrollien avulla, joten Cyber Essentials -standardia varten keräämäsi todisteet lasketaan mukaan ISO 27001 -soveltuvuuslausuntoosi. Tämä poistaa päällekkäisyyden, joka yleensä liittyy kahden sertifioinnin rinnakkaiseen suorittamiseen.
