ISMS.onlinen Cyber Essentials -vinkkejä uudelleensertifioinnin jälkeen
Sisällysluettelo:
- 1) Mikä on Cyber Essentials?
- 2) Cyber Essentials -arvioinnin tasot
- 3) Miksi organisaationi pitäisi saada Cyber Essentials -sertifiointi?
- 4) Kuinka lähestyä Cyber Essentials -sertifiointia
- 5) Miten ISMS.online lähestyi Cyber Essentialsin uudelleensertifiointia
- 6) ISMS.onlinen parhaat vinkit Cyber Essentialsin saavuttamiseen
- 7) Cyber Essentials -menestystarinasi alkaa tästä
Olemme iloisia voidessamme kertoa, että ISMS.online on saanut uudelleen sertifioinnin Cyber Essentialsille, Yhdistyneen kuningaskunnan hallituksen tukemaan kyberturvallisuusjärjestelmään. Uudelleensertifiointimme vahvistaa, että olemme jatkaneet haavoittuvuuksien korjaamista ja ottaneet käyttöön tehokkaita kyberturvallisuuden valvontatoimia koko liiketoiminnassa, mikä takaa vankan suojan useita kyberuhkia vastaan.
Onnistuneella uudelleensertifioinnillamme Cyber Essentialsille jaamme tietoja Cyber Essentials -järjestelmästä, IMS-päällikkömme Mike Jenningsin näkemyksiä siitä, mitä opimme uudelleensertifioinnin aikana, ja lähestymistapoja, joita organisaatiosi voi käyttää sertifioinnin saamiseksi.
Mikä on Cyber Essentials?
Ison-Britannian hallituksen tukeman Cyber Essentials -ohjelman avulla organisaatiot voivat osoittaa sitoutumisensa kyberturvallisuuteen ja ehkäistä yleisimmät kyberhyökkäykset, jotka usein riippuvat organisaation valmistautumattomuudesta.
Sertifiointi vaaditaan organisaatioilta, jotka tekevät tarjouksen joistakin valtion sopimuksista, kuten arkaluonteisten ja henkilökohtaisten tietojen käsittelystä tai tiettyjen teknisten tuotteiden tai palveluiden tarjoamisesta.
Cyber Essentials kattaa viisi ydinaluetta:
- Palomuurin toteutus
- Verkko- ja käyttäjälaitteiden suojattu konfigurointi
- Tietoturvapäivitysten hallinta
- Käyttäjän käytön valvonta
- Haittaohjelmien suojaus
Cyber Essentials -arvioinnin tasot
Cyber Essentials sisältää itsearvioinnin. Organisaatiot arvioivat itsensä viiteen Cyber Essentialsin kattamaan alueeseen, ja pätevä arvioija tarkistaa toimitetut tiedot itsenäisesti.
Cyber Essentials Plus on tekninen auditointi, jossa arvioija vierailee organisaation toimistoissa suorittamassa testejä. Se on suoritettava kolmen kuukauden kuluessa Cyber Essentials -sertifioinnista.
Cyber Essentials -sertifioinnin hinta riippuu organisaatiosi koosta ja Cyber Essentials Plus -verkkosi koosta ja monimutkaisuudesta.
Miksi organisaationi pitäisi saada Cyber Essentials -sertifiointi?
Mike Jennings, ISMS.onlinen IMS-päällikkö, sanoo: "Cyber Essentials varmistaa, että organisaatiosi johtaminen on turvallista tarjoamalla parhaiden käytäntöjen perustietoturvakäytännöt ja -hallintalaitteet, vaan se myös parantaa mainettasi luotettavana toimittajana. Lisäksi sertifiointi voi tarjota "ilmaisen" kybervakuutuksen tason tietyin kriteerein."
Jos olet jo ISO 27001 ja ISO 27701 sertifioitu, on useita syitä, miksi voit harkita Cyber Essentials -sertifiointia yrityksellesi:
- Sinulla saattaa olla asiakas, joka sopimuksessa edellyttää organisaatiosi sertifiointia (ja, kuten mainittiin, sertifiointi on usein valtion sopimusten tarve)
- Cyber Essentials -sertifiointi rakentaa luottamusta ja vakuuttaa asiakkaille, että sinulla on tiettyjä teknisiä toteutuksia
- Voit suojata IT-järjestelmäsi paremmin kyberhyökkäyksiä vastaan
- Sertifiointi voi houkutella uusia tulevaisuudennäkymiä ja uusia yrityksiä tietäen, että sinulla on kyberturvallisuustoimenpiteet käytössä
- Cyber Essentials -sertifioinnin jälkeen organisaatiosi voi olla oikeutettu ilmaiseen kyberturvavakuutukseen. Täydelliset tiedot ovat saatavilla osoitteessa IASME.co.uk.
Mike jakaa: ”ISO 27001 -yhteensopiva tietoturvan hallintajärjestelmä (ISMS) auttaa valtavasti Cyber Essentials -sertifioinnin saavuttamisessa, sillä monet käytännöistä ja valvonnasta on jo vahvistettu ja voivat tarjota todisteita CE-vaatimusten täyttämisestä, mikä tekee prosessista tehokkaamman.
”CE:n vaatimissa tiedoissa on joitain hienoisia eroja ISO 27001:een verrattuna; ISMS.onlinen tarjoaman CE-kehyksen avulla nämä tiedot ovat kuitenkin helposti tallennettavissa ja käytettävissä, kaikki yhdessä paikassa."
Kuinka lähestyä Cyber Essentials -sertifiointia
National Cyber Security Center (NCSC) julkaisi huhtikuussa 3.1 päivitetyn IT-infrastruktuurin vaatimukset (v2023). Tämä Montpelier-profiilina tunnettu vaatimusjoukko on tärkeä luettava kaikille organisaatioille, jotka harkitsevat arviointia, jotta he ymmärtävät, mitä Cyber Essentials -yhteensopivuus edellyttää. Itse asiassa osana sertifiointiprosessia sinulta kysytään, oletko lukenut tämän asiakirjan.
Voit myös ladata täydellisen kysymyssarjan arviointiin valmistautuessasi ja ennen vastausten lähettämistä verkkoportaalin kautta. Kysymyssarjan voi ladata ilmaiseksi IASME:n verkkosivuilta. Kutsu verkkoportaaliin lähetetään nimeämällesi edustajallesi, kun arviointimaksu on maksettu.
IASME:lta on saatavilla myös Cyber Essentials -valmiustyökalu, joka auttaa yritystäsi valmistautumaan noudattamista varten.
Mike sanoo: "Sinun on jaettava tiettyjä tietoja Cyber Essentialsia varten, jotka eivät ole ISO-standardien noudattamisen edellytys. Tämä liittyy pääasiassa loppukäyttäjäresurssien ohjelmistoversioiden tunnistamiseen sen varmistamiseksi, että ne ovat uusimpien julkaisujen mukaisia, joita tietoturvapäivitykset edelleen tukevat.
"Tämä korostaa hienovaraisia eroja CE- ja ISO 27001 -yhteensopivuuden välillä, jossa CE on tiukempi ja binäärisempi vaatimuksissaan verrattuna ISO 27001 -standardiin, joka perustuu riskiin ja sallii jonkin verran joustavuutta riskin tasosta ja sen hallinnasta riippuen."
Miten ISMS.online lähestyi Cyber Essentialsin uudelleensertifiointia
IT-päällikkösi osallistuminen on erittäin tärkeää arvioinnissa, sillä sinun on määritettävä kaikki käyttäjä- ja verkkolaitteet, mukaan lukien käyttöjärjestelmän versionumerointi ja käytetyt pilvipalvelut.
IT-päällikkömme mukaan kokosimme Cyber Essentials -arviointitiimimme. Tämän jälkeen tiimi tarkasteli Cyber Essentials -vaatimusasiakirjaa ja kysymyssarjaa tunnistaakseen alueet, jotka vaativat mahdollisia käytäntö- tai kokoonpanomuutoksia.
Mike lisää: ”Tämä oli CE-sertifiointi uudelleen, joten olimme jo tietoisia Montpelierin vaatimuksista, vaikka olikin tarpeen tarkistaa, onko vaatimuksissa tapahtunut hienoisia muutoksia viime vuoteen verrattuna. Näytti siltä, että käyttöjärjestelmän koontitasoissa tarvitaan enemmän tarkkuutta täyttääkseen tämän vuoden vaatimukset. Meidän piti myös päivittää yksi järjestelmämme käyttöjärjestelmätasoista."
Pohdimme myös arvioinnin laajuutta. Kuten muidenkin sertifikaattien, kuten ISO 27001, kohdalla, suosittelemme, että koko organisaatio sisällytetään Cyber Essentials -arviointiisi. Organisaatiosi on oikeutettu ilmaiseen kybervakuutukseen vain, jos koko organisaatio on mukana.
Kun laajuus oli päätetty, tiimi vastasi kysymyksiin, jotka kattoivat viisi teknistä aluetta, jotka liittyvät verkkoon ja käyttäjälaitteisiin. Alla oleva luettelo ei ole tyhjentävä, ja siinä tulee aina viitata vaatimusasiakirjaan ja kysymyssarjaan. Tärkeitä näkökohtia ovat kuitenkin mm.
- Palomuurit on otettava käyttöön verkon rajoilla. Jos kodin työntekijät käyttävät laitteita ilman VPN:ää, ohjelmistopalomuurit on sisällytettävä laitteiden käyttöjärjestelmiin.
- Sinun on ilmoitettava kaikki käyttäjä- ja verkkolaitteet, mukaan lukien käyttöjärjestelmät, versiot ja mobiililaitteet. Huomautus: Vaikka se ei ole erityinen Cyber Essentials -ohjain, vahvuuksien hallinta tulee pitää ydinturvatoimintona, ja se voi auttaa organisaatiotasi täyttämään tekniset vaatimukset
- Myös kaikki organisaatiosi käyttämät pilvipalvelut ovat mukana
- Kaikki sovellusten riskialttiit ja kriittiset tietoturvapäivitykset on asennettava 14 päivän kuluessa julkaisusta. Tämä sisältää myös palomuurien ja reitittimien laiteohjelmistot
- Sinulla on oltava tekniset hallintalaitteet ja käytännöt käyttäjä- ja järjestelmänvalvojatilejä ja todennusta varten. Kaikissa pilvipalveluissa on käytettävä monitekijätodennusta
- Kaikki laitteet tulee suojata haittaohjelmilta joko asentamalla haittaohjelmien torjuntaohjelmisto ja/tai rajoittamalla sovellusten asennusta esim. sovelluskauppaa käyttämällä.
Jos olet jo ottanut käyttöön tietoturvatarkastuksia tai ovat ISO 27001 -standardin mukaisia, nykyiset käytäntösi auttavat vastaamaan joihinkin kysymyksiin.
ISMS.onlinen parhaat vinkit Cyber Essentialsin saavuttamiseen
- Käytä IT-infrastruktuurin vaatimukset (v3.1) -dokumenttia selvittääksesi, mitä katsotaan kuuluviksi ja ulkopuolelle koskien oman laitteen tuomista (BYOD), etätyöskentelyä, langattomia laitteita, käyttäjälaitteita ja pilvipalveluita.
- Vastuu toteutusohjauksista riippumatta siitä, onko organisaatio tai pilvipalveluntarjoaja, riippuu pilvipalvelun tyypistä: IaaS, PaaS tai SaaS.
- Montpelier-kysymyssarja antaa myös ohjeita siitä, missä vaatimusten noudattaminen on pakollista. Cyber Essentials -arviointitiimisi tulee tarkistaa kysymyssarja ennen lähettämistä.
- Ennen kuin itsearviointivastaus voidaan toimittaa riippumattomalle arvioijalle, sen on todistettava organisaation johtoryhmän jäsen.
- Saatat saada palautetta lisäselvityksiä tai tarvittavia muutoksia varten. Sinun on tehtävä muutokset kahden työpäivän kuluessa ennen uudelleenlähettämistä.
Kun olet suorittanut prosessin onnistuneesti, saat ilmoituksen, että olet läpäissyt Cyber Essentials -sertifioinnin. Sertifioinnin avulla organisaatiosi voi osoittaa asiakkaillesi ja mahdollisille asiakkaillesi, että olet turvannut ITsi kyberhyökkäyksiä vastaan. Todistuksenne on voimassa 12 kuukautta.
Cyber Essentials -menestystarinasi alkaa tästä
Jos haluat aloittaa matkasi Cyber Essentials -yhteensopivuuden saavuttamiseen, ISMS.online voi auttaa.
Vaatimustenmukaisuusalustamme mahdollistaa yksinkertaisen, turvallisen ja kestävän lähestymistavan tietosuojaan ja tiedonhallintaan Cyber Essentialsin ja yli 100 muun kehyksen avulla, mukaan lukien ISO 27001, NIST, GDPR, HIPAA ja paljon muuta. Avaa kilpailuetusi jo tänään.
