ISMS.online saa Cyber Essentials -sertifioinnin ensimmäistä kertaa

Mike Jenningsin kirjoittama • 7 syyskuu 2023

Meillä on ilo kertoa, että ISMS.online on saavuttanut Cyber Essentials -sertifioinnin, mikä lisää palveluihimme luottamusta ja vahvistaa vankat ja tehokkaat kyberturvallisuuden hallinnan koko organisaatiossamme. Sinä pystyt tarkista sertifiointimme ja monet muut tietoverkkostandardit, joita ylläpidämme luottamuskeskuksessamme.

Olemme käyneet läpi Cyber Essentialsin (CE) saavuttamisprosessin, joten haluamme jakaa osan siitä, mitä opimme matkan varrella, määrittelemällä sertifioinnin, miksi sinun on ehkä hankittava se ja mitä lähestymistapoja organisaatiot voivat käyttää saavuttaakseen sen.

Mikä on Cyber Essentials?

Cyber Essentials, vaikka se on vähemmän laaja kuin standardit, kuten ISO 27001, on teknisempi näkökulma laitteisiisi ja verkkokokoonpanoosi. Se kattaa viisi aluetta:

Palomuurin toteutus
Verkko- ja käyttäjälaitteiden suojattu konfigurointi
Tietoturvapäivitysten hallinta,
Käyttäjän käytön valvonta
Haittaohjelmien suojaus

Cyber Essentials edustaa Yhdistyneen kuningaskunnan hallituksen kyberturvallisuuden perusstandardia Isossa-Britanniassa, ja sitä hallinnoi IASME-konsortio.

Arviointitasoja on kaksi:

Cyber Essentials
– on riippumattomasti todennettu itsearviointi, jossa organisaatiot arvioivat itsensä viiteen perusturvatarkastukseen nähden ja pätevä arvioija tarkistaa toimitetut tiedot.
Cyber Essentials+

– on tekninen auditointi, jossa arvioija vierailee organisaation toimistoissa suorittamassa testejä. CE+-auditointi on suoritettava kolmen kuukauden kuluessa CE-sertifioinnista.

Cyber Essentials -sertifioinnin hinta riippuu organisaatiosi koosta ja Cyber Essentials+:n tapauksessa verkkosi koosta ja monimutkaisuudesta.

Miksi organisaatioiden pitäisi hakea Cyber Essentials -sertifiointia?

Saatat kysyä, miksi sinun pitäisi harkita Cyber Essentialsia, jos sinulla on jo ISO 27001- ja ISO 27701 -sertifiointi? Syitä voi olla useita:

Se on asiakkaan sopimusvaatimus (ja usein tarvitaan valtion sopimuksia)
Rakentaa luottamusta ja vakuuttaa asiakkaille, että sinulla on tiettyjä teknisiä toteutuksia
suojataksesi tietotekniikkasi kyberhyökkäyksiä vastaan
Houkuttelee uusia yrityksiä tietäen, että sinulla on kyberturvallisuustoimenpiteet käytössä
Lisäetu on, että organisaatiosi voi saada ilmaisen kyberturvavakuutuksen CE-sertifioinnin jälkeen. Täydelliset tiedot löytyvät osoitteesta: IASME.co.uk.

Käytännön lähestymistapoja Cyber Essentials -sertifiointiin

NCSC julkaisi aiemmin tänä vuonna huhtikuussa 3.1 uudet IT-infrastruktuurin vaatimukset (v2023), joka tunnetaan myös nimellä Montpelier-profiili. Tämä on olennaista luettavaa kaikille organisaatioille, jotka lähestyvät arviointia ymmärtääkseen CE-vaatimustenmukaisuuden. Erityinen kysymys kysyy, onko tämä asiakirja luettu osana sertifiointiprosessia.

On myös hyvä ladata täydellinen kysymyssarja arvioinnin valmistelua varten ja ennen vastausten lähettämistä verkkoportaalin kautta. Kysymyssarjan voi ladata ilmaiseksi IASME:n verkkosivuilta. Kutsu verkkoportaaliin lähetetään nimeämällesi edustajallesi, kun arviointimaksu on maksettu.

IASME:lta on saatavilla myös Cyber Essentials -valmiustyökalu, joka auttaa tarvittaessa valmistautumaan CE:hen.

Miten ISMS.online lähestyi Cyber Essentials -sertifiointia

Kokosimme pienen tiimin ja kävimme läpi vaatimusasiakirjan ja kysymysjoukon määrittääksemme alueet, jotka vaativat mahdollisia käytäntö- tai kokoonpanomuutoksia.

On syytä korostaa, että kaikki käyttäjä- ja verkkolaitteet, mukaan lukien käyttöjärjestelmän versionumerointi ja käytetyt pilvipalvelut, on määritettävä. Organisaation IT-päällikön tulee olla tärkeä tiimin jäsen, joka osallistuu arviointiin.

Ryhmän varhainen harkinta oli arvioinnin laajuus. Suosittelemme, että koko organisaatio otetaan huomioon arvioinnissa, kuten muidenkin sertifikaattien kohdalla. On myös huomionarvoista, että organisaatiosi on oikeutettu ilmaiseen kybervakuutukseen vain, jos koko organisaatio on mukana.

Sen jälkeen oli vastattava kysymyksiin, jotka kattoivat viisi teknistä aluetta, jotka liittyvät verkkoon ja käyttäjälaitteisiin. Ei tyhjentävä luettelo ja viittaus tulee aina viitata vaatimusasiakirjaan ja kysymyssarjaan; joitakin tärkeitä näkökohtia ovat kuitenkin:

Palomuurit on otettava käyttöön verkon rajoilla – jos kodin työntekijät käyttävät laitteita, eivät VPN:ää, ohjelmistopalomuurit on sisällytettävä laitteiden käyttöjärjestelmään.
Kaikki käyttäjä- ja verkkolaitteet, mukaan lukien käyttöjärjestelmät, versiot ja mobiililaitteet, on esitettävä yksityiskohtaisesti. Huomautus: Vaikka se ei ole erityinen CE-ohjaus, vahvuuksien hallinta olisi pidettävä ydinturvatoimintona, ja se voi auttaa täyttämään tekniset vaatimukset.
Myös kaikki organisaation käyttämät pilvipalvelut ovat mukana.
Kaikki sovellusten suuren riskin ja kriittiset tietoturvapäivitykset on asennettava 14 päivän kuluessa julkaisusta. Tämä sisältää myös palomuurien ja reitittimien laiteohjelmistot.
Sillä on oltava käyttäjä- ja järjestelmänvalvojatileihin ja todentamiseen liittyvät tekniset hallintalaitteet ja käytännöt. MFA:ta on käytettävä kaikissa pilvipalveluissa.
Kaikki laitteet tulee suojata haittaohjelmilta joko asentamalla haittaohjelmien torjuntaohjelmisto ja/tai rajoittamalla sovellusten asennusta esim. käyttämällä sovelluskauppaa.

Jos olet jo harkinnut tietoturvatarkastuksia tai ovat ISO 27001 -standardin mukaisia, nykyiset käytäntösi auttavat vastaamaan joihinkin kysymyksiin.

Parhaat vinkkimme Cyber Essentialsin lähestymiseen

Requirements for IT Infrastructure (v3.1) -dokumentti opastaa, mitä BYOD:n, etätyöskentelyn, langattomien laitteiden, käyttäjälaitteiden ja pilvipalvelujen osalta katsotaan kuuluvaksi ja sen ulkopuolelle.
Vastuu toteutusohjauksista riippumatta siitä, onko organisaatio tai pilvipalveluntarjoaja, riippuu pilvipalvelun tyypistä: IaaS, PaaS tai SaaS.
Ilmaiseksi ladattavassa Montpelier-kysymyssarjassa on myös ohjeita, jotka osoittavat, missä vaatimusten noudattaminen on pakollista. Arviointiryhmän tulee käydä läpi kysymys, joka on asetettu ennen lähettämistä portaalin kautta.
Organisaation johtoryhmän jäsenen on todistettava itsearviointivastaus ennen kuin se voidaan toimittaa riippumattomalle arvioijalle.
Saatat saada palautetta lisäselvityksiä tai tarvittavia muutoksia varten. Mahdolliset muutokset on tehtävä kahden työpäivän kuluessa ennen uudelleen toimittamista.

Kun olet suorittanut prosessin onnistuneesti, saat ilmoituksen, että olet läpäissyt Cyber Essentials -sertifioinnin, ja myös organisaatiosi voi osoittaa asiakkaillesi ja mahdollisille asiakkaillesi, että olet turvannut ITsi kyberhyökkäyksiä vastaan. Todistuksenne on voimassa 12 kuukautta.

Cyber Essentials -menestystarinasi alkaa tästä

Jos haluat aloittaa matkasi Cyber Essentials -yhteensopivuuden saavuttamiseen, ISMS.online voi auttaa.

Vaatimustenmukaisuusalustamme mahdollistaa yksinkertaisen, turvallisen ja kestävän lähestymistavan tietosuojaan ja tiedonhallintaan Cyber Essentialsin ja yli 100 muun kehyksen avulla, mukaan lukien ISO 27001, NIST, GDPR, HIPPA ja paljon muuta. Ymmärrä kilpailuetusi jo tänään.

Puhu asiantuntijalle

Mike Jennings

Mike on integroidun hallintajärjestelmän (IMS) johtaja täällä osoitteessa ISMS.online. Sen lisäksi, että Mike vastaa päivittäisistä velvollisuuksistaan varmistaa, että IMS-tietoturvatapahtumien hallinta, uhkien tiedustelu, korjaavat toimet, riskiarvioinnit ja auditoinnit hallitaan tehokkaasti ja pidetään ajan tasalla, Mike on ISO 27001:n sertifioitu pääauditoija ja jatkaa parantaa hänen muita taitojaan tietoturva- ja yksityisyydenhallintastandardeissa ja -kehyksissä, mukaan lukien Cyber Essentials, ISO 27001 ja monet muut.