Wat is 'n kuberveiligheidsertifisering?
'n Kubersekuriteitsertifisering is 'n onafhanklike bevestiging dat 'n organisasie aan 'n gedefinieerde stel inligtingsekuriteitsbeheermaatreëls voldoen. In die Verenigde Koninkryk val sertifisering in drie groepe: regeringsgesteunde skemas soos Cyber Essentials en Cyber Essentials Plus, internasionale bestuurstelselstandaarde soos ISO 27001, en versekeringsverslae soos SOC 2NIS 2 staan langs hierdie as 'n regulatoriese mandaat eerder as 'n vrywillige sertifisering.
Kopers, reguleerders, versekeraars en voorsieningskettingvennote vereis toenemend bewyse dat die verskaffers waarmee hulle werk aan 'n erkende standaard voldoen. Die regte sertifisering hang af van wie daarvoor vra, waar jy verkoop, en hoe volwasse jou sekuriteitsbedrywighede moet wees. Hierdie gids breek die vyf skemas af wat Britse organisasies die meeste teëkom, wat elkeen dek, wat dit kos en vir wie dit geskik is.
ISMS.aanlyn is die platform wat Britse organisasies gebruik om elke kuberveiligheidsertifisering op een plek uit te voer, wat bewyse en beheermaatreëls een keer oor Cyber Essentials, ISO 27001, SOC 2 en NIS 2 karteer in plaas daarvan om die werk vir elke skema te herbou.
Waarom kry Britse organisasies kuberveiligheidsertifikate?
Vyf drywers is verantwoordelik vir byna elke sertifiseringsprojek wat ons sien:
- Verkrygingsvereistes — Kontrakte van die Britse sentrale regering vereis Cyber Essentials vir verskaffers wat persoonlike inligting of sekere IKT-dienste hanteer (Verkoopbeleidsnota 09/14). Die Ministerie van Verdediging vereis Cyber Essentials of Cyber Essentials Plus vir relevante verskaffers kragtens DEFCON 658. Baie privaatsektorkopers herhaal dieselfde vereiste in hul verskafferkwalifikasieprosesse.
- Klantevraag — B2B-kliënte stuur toenemend sekuriteitsvraelyste voor ondertekening. 'n Huidige ISO 27001- of SOC 2-sertifikaat vervang dikwels 'n vraelys van 200 vrae met 'n enkele aanhangsel.
- Sektorregulering — NIS 2 (in die EU) en die VK se ekwivalente regime vereis dat noodsaaklike en belangrike entiteite in kritieke sektore kuberveiligheidsbeheer en voorvalrapportering moet demonstreer.
- Cyber-versekering — Versekeraars vra gereeld vir bewyse van basiese beheermaatreëls voordat hulle 'n polis bind. Cyber Essentials-sertifisering is dikwels genoeg aan die KMO-kant; groter of hoërrisiko-versekerdes benodig toenemend ISO 27001 of SOC 2.
- Interne versekering — Rade en ouditkomitees gebruik onafhanklike sertifisering as bewys dat die beheermaatreëls wat hulle onderteken, werklik bestaan en werk.
Indien u nog nie weet watter drywer op u van toepassing is nie, is ons gids oor Is Cyber Essentials die moeite werd? loop deur die koste/voordeelberekening vir die intreevlakskema, en die keuse word van daar af duideliker.
Wat is die belangrikste Britse kuberveiligheidsertifikate?
Vyf skemas oorheers die Britse kuberveiligheidsertifiseringslandskap. Die eerste vier is vrywillige sertifisering, wat wissel van die VK-spesifieke Cyber Essentials-familie tot internasionaal erkende standaarde, terwyl die vyfde 'n regulatoriese verpligting is eerder as 'n ware sertifisering. Die meeste Britse organisasies besit meer as een hiervan oor tyd namate kliëntevraag, sektor en geografie ontwikkel.
Cyber Essentials: die Britse regering-gesteunde toegangspunt
Cyber Essentials is 'n Britse regeringsgesteunde sertifiseringskema wat in 2014 van stapel gestuur is en nou onder toesig van die Nasionale Kubersekuriteitsentrum (NCSC) staan, met IASME as die enigste akkreditasieliggaam sedert April 2020. Dit toets vyf tegniese beheerareas (brandmure en routers, veilige konfigurasie, gebruikerstoegangsbeheer, wanware-beskerming en sekuriteitsopdateringsbestuur) op elke toestel en wolkdiens binne die omvang.
Belangrike feite:
- Format: Selfevalueringsvraelys hersien deur 'n IASME-geakkrediteerde assessor
- geldigheid: 12 maande, jaarliks hernu
- Koste: Van £330+BTW vir mikro-organisasies (1–9 personeel) tot £500+BTW vir groot (250+); sien Koste van Cyber Essentials vir die volledige prysuiteensetting
- Tipiese tydlyn: 4–12 weke vanaf afskop tot sertifikaat
- Bonus: Kwalifiserende Britse organisasies met 'n omset van minder as £20 miljoen ontvang gratis kuberaanspreeklikheidsversekering ter waarde van £25,000
- Beste vir: Britse KMO's wat vir regeringswerk bie; verskaffers aan groot ondernemings; versekeringsvereistes; eerste formele sertifisering
Cyber Essentials is die laagste koste en vinnigste Britse kuberveiligheidsertifisering. Dit is ook die een met die mees direkte verkrygingswaarde, omdat die Britse regering en baie private kopers dit spesifiek by naam voorskryf. Vir die lyn-vir-lyn gereedheidswerk, ons Kontrolelys vir Kuberbenodigdhede gaan deur elke tjek voordat jy dit indien.
Cyber Essentials Plus: onafhanklik geouditeerde versekering
Cyber Essentials Plus gebruik dieselfde vyf beheerareas as Cyber Essentials, maar voeg 'n onafhanklike tegniese oudit by. 'n IASME-geakkrediteerde assessor skandeer voorbeeldtoestelle, verifieer multifaktor-verifikasie deur regstreekse aanmelding, toets e-pos- en webfiltering, en bevestig dat die beheermaatreëls wat jy as werklik in die praktyk beskou het, werklik werk.
- Format: SAQ plus praktiese tegniese oudit van 'n verteenwoordigende steekproef van toestelle
- geldigheid: 12 maande
- Koste: Gewoonlik £1 500–£3 000 bo-op die basiese Cyber Essentials-koste, afhangende van die omgewing se kompleksiteit.
- Tydlyn: 1–2 weke bo-op Cyber Essentials, sodra gereedheidswerk voltooi is
- Beste vir: Verskaffers aan MOD of hoërisiko-voorsieningskettings (DEFCON 658), kopers wat spesifiek Plus benodig, organisasies wat Plus as 'n springplank na ISO 27001 gebruik
Die vyf tegniese beheerareas word in detail gedokumenteer in Cyber Essentials Plus-vereistesAs jy CE teenoor CE Plus afweeg, is die beslissende faktor gewoonlik of 'n spesifieke kontrak of versekeraar die Plus-vlak vereis.
ISO 27001: internasionale sertifisering vir inligtingsekuriteitsbestuur
ISO/IEC 27001 is die internasionale standaard vir inligtingsekuriteitsbestuurstelsels (ISMS). Waar Cyber Essentials vyf tegniese beheermaatreëls toets, sertifiseer ISO 27001 'n volledige bestuurstelsel: 'n risikogedrewe raamwerk wat bestuur, beleid, batebestuur, verskaffersekuriteit, voorvalreaksie, besigheidskontinuïteit en 93 spesifieke Aanhangsel A-beheermaatreëls dek (die 2022-hersiening; verminder van 114 in die 2013-weergawe).
- Format: Fase 1 dokumentasie-oudit, dan Fase 2 implementeringsoudit, dan toesigoudits elke jaar en 'n volledige her-sertifiseringsoudit elke drie jaar
- geldigheid: 3 jaar tussen hersertifiserings, met jaarlikse toesig
- Koste: Tipies £3,000–£15,000+ vir Britse KMO's, afhangende van die omvang en gekose sertifiseringsliggaam
- Tydlyn: 4–9 maande vir eerste sertifisering; langer vir komplekse organisasies
- Beste vir: Organisasies wat internasionaal verkoop, B2B SaaS, gereguleerde sektore, enigiemand wie se kliënte 'n ISMS-sertifikaat by naam aanvra
ISO 27001 is die goue standaard vir kuberveiligheidssertifisering wêreldwyd. Die meeste ondernemingskliënte verwag dat hul verskaffers dit sal besit; baie Britse organisasies gebruik Cyber Essentials as die fondament en vorder dan na ISO 27001 soos kliëntevraag groei. Vir die verskille in diepte, omvang en erkenning, sien Kuber-essensiële aspekte teenoor ISO 27001; vir die ouditproses in detail, sien ISO 27001 sertifisering.
SOC 2: versekering vir Amerikaanse kliënte en SaaS-verskaffers
SOC 2 (Diensorganisasiebeheer 2) is 'n Amerikaanse versekeringsverslag wat opgestel word volgens standaarde wat deur die Amerikaanse Instituut van Verantwoordelike Verantwoordelike Verantwoordelike Verantwoordelike Verantwoordelike (AICPA) gestel is. Dit evalueer 'n diensorganisasie teen die vyf Vertrouensdienste-kriteria (sekuriteit, beskikbaarheid, verwerkingsintegriteit, vertroulikheid en privaatheid), met sekuriteit verpligtend en die ander opsioneel gebaseer op omvang.
- Format: Tipe 1 (punt-in-tyd ontwerpassessering) of Tipe 2 (bedryfseffektiwiteit oor 'n waarnemingsvenster van 3–12 maande)
- geldigheid: SOC 2 lewer 'n verslag eerder as 'n sertifikaat; verslae word tipies jaarliks hernu
- Koste: £15,000–£100,000+ afhangende van omvang, kriteria ingesluit en waarnemingsvenster
- Tydlyn: 3–12 maande waarnemingsvenster vir Tipe 2; gereedheidswerk voeg tipies 2–4 maande by
- Beste vir: SaaS-verskaffers wat in die VSA verkoop, diensorganisasies wat kliëntdata hou, enige Britse organisasie wie se Amerikaanse kliënte SOC 2 by naam aanvra
SOC 2 en ISO 27001 oorvleuel sterk in die beheermaatreëls wat hulle vereis. Britse organisasies wat aan beide kante van die Atlantiese Oseaan verkoop, gebruik dikwels albei, met ISMS.aanlyn as die gemeenskaplike bewyslaag. Ons SOC 2 Die hub dek die kriteria, die gereedheidsproses en hoe dit van ISO 27001 verskil.
NIS 2: regulatoriese kuberveiligheid vir noodsaaklike en belangrike entiteite
NIS 2 is die EU se tweede-generasie Netwerk- en Inligtingsekuriteitsrichtlijn, en die VK het 'n ekwivalente nasionale stelsel aangeneem. Dit is nie 'n sertifisering nie, maar 'n regulatoriese vereiste vir noodsaaklike en belangrike entiteite in kritieke sektore (energie, vervoer, bankwese, finansiële markinfrastrukture, gesondheid, drinkwater, digitale infrastruktuur, openbare administrasie, ruimte, posdienste, afvalbestuur, vervaardiging en verspreiding van chemikalieë, voedsel, vervaardiging van mediese toestelle en sekere digitale diensverskaffers).
- Format: Regulatoriese verpligting om gespesifiseerde kuberveiligheidsrisikobestuursmaatreëls en tydlyne vir voorvalle te implementeer
- geldigheid: Deurlopend, met toesig van die reguleerder
- Koste: Geen sertifiseringsfooi nie; koste is in die kontroles self, wat dikwels ooreenstem met ISO 27001
- Tydlyn: Gefaseerde aanvaarding; organisasies in omvang behoort nou te implementeer
- Beste vir: Enige organisasie wat as 'n noodsaaklike of belangrike entiteit onder die richtlijn geklassifiseer word; verskaffers aan daardie entiteite word ook indirek geraak
NIS 2 is soms die sneller wat 'n organisasie van Cyber Essentials na ISO 27001 dryf, want ISO 27001 bied 'n gestruktureerde manier om die risikobestuursmaatreëls wat die richtlijn vereis, te bewys. 2 NIS Die hub loop deur die sektore binne die bestek en die spesifieke verpligtinge.
Vergelyking: Britse kuberveiligheidssertifisering in 'n oogopslag
| sertifisering | Omvang | Tipiese koste (VK KMO) | Tipiese tydlyn | Geldigheid | Beste passing |
|---|---|---|---|---|---|
| Cyber Essentials | 5 tegniese kontroles, self-geassesseer | Vanaf £330 + BTW | 4-12 weke | 12 maande | Britse KMO's, regeringskontrakte, versekering, eerste sertifisering |
| Cyber Essentials Plus | Dieselfde 5 kontroles + onafhanklike oudit | Voeg £1,500–£3,000+ by | +1–2 weke | 12 maande | MOD-verskaffers, kontrakte wat Plus, ISO 27001-trap vereis |
| ISO 27001 | Volledige ISMS, 93 Aanhangsel A beheermaatreëls, bestuur | £3,000–£15,000+ | 4–9 maande | 3 jaar (jaarlikse toesig) | Internasionale verkope, B2B SaaS, gereguleerde sektore |
| SOC 2 (Tipe 2) | 5 Vertrouensdienstekriteria, bedryfseffektiwiteit | £15,000–£100,000+ | 3–12 maande waarneming | Jaarlikse verslag | SaaS-verkope in die VSA, diensorganisasies |
| 2 NIS | Regulatoriese kuberrisikobestuur vir noodsaaklike/belangrike entiteite | Ingebed in bedrywighede | Deurlopende | Deurlopende | Kritieke infrastruktuursektore en hul verskaffers |
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoe kies jy tussen kuberveiligheidssertifisering?
Begin met die vraag wat die projek aan die gang gesit het. Die regte sertifisering hang af van wat (of wie) daarvoor vra.
- Britse regeringskontrak of MOD-verskaffer — Begin met Cyber Essentials, dan Plus indien spesifiek vereis. Dit word per naam in PPN 09/14 en DEFCON 658 vereis.
- Kuberversekeringspolis — Cyber Essentials is gewoonlik genoeg vir die KMO-kant. Groter of hoërrisiko-versekerdes mag ISO 27001 benodig.
- Ondernemingskliënt wat 'n ISMS-sertifikaat aanvra — ISO 27001. Kliënte noem dit amper altyd spesifiek.
- VSA-gebaseerde SaaS-kliënt vra vir 'n versekeringsverslag — SOC 2 (gewoonlik Tipe 2 sodra die verhouding gevestig is).
- NIS 2 of ekwivalente regulatoriese verpligting — Implementeer die beheermaatreëls wat die regulasie vereis; baie organisasies gebruik ISO 27001 as die strukturele raamwerk om dit te bewys.
- Eerste sertifisering, nie gedryf deur 'n spesifieke koper nie — Cyber Essentials. Dit is die laagste koste, vinnigste en het die duidelikste Britse verkrygingswaarde, en die werk word direk in ISO 27001 ingevoer as jy vorder.
Die meeste Britse organisasies eindig mettertyd met meer as een. 'n Tipiese progressie lyk soos Cyber Essentials → Cyber Essentials Plus → ISO 27001 → SOC 2 sodra Amerikaanse kliënte verskyn. Die kontroles oorvleuel genoeg dat die handhawing van die volgende sertifisering inkrementeel is eerder as om van voor af te begin – mits jy 'n enkele bewyslaag het wat kontroles oor skemas karteer.
Wat as jy verskeie sertifikate benodig?
Om Cyber Essentials, ISO 27001 en SOC 2 afsonderlik te gebruik, is duur. Dieselfde bewyse (firewall-reëls, MFA-konfigurasie, aansluiter-/verlaatrekords, bate-inventaris, opdateringsverslae) word deur al drie gevra, net in verskillende formate. Meestal beland dit op drie plekke met drie stelle opdateringssiklusse.
Die alternatief is om elke kontrole en elke bewysstuk een keer vas te lê, gekarteer na elke skema wat dit bevredig. Dit is wat ISMS.aanlyn doen — 'n enkele ISMS wat Cyber Essentials, ISO 27001, SOC 2 en NIS 2 beheerstelle gelyktydig blootstel, met bewyse wat een keer gekoppel en oral hergebruik word. Kliënte wat met Cyber Essentials begin in ISMS.aanlyn is dikwels halfpad na ISO 27001-gereedheid wanneer die kliënt se vraag arriveer.
Wat is die algemene wanopvattings oor kuberveiligheidsertifisering?
- “’n Sertifisering beteken ons is veilig.” 'n Sertifisering beteken dat jy op 'n gedefinieerde stel beheermaatreëls op 'n gegewe tydstip voldoen. Dit beteken nie dat jy nie oortree kan word nie. Beskou die sertifikaat as bewys van 'n program, nie as 'n uitkoms nie.
- “Cyber Essentials en ISO 27001 is dieselfde ding.” Hulle is nie. Cyber Essentials dek vyf tegniese beheerareas; ISO 27001 sertifiseer 'n volledige inligtingsekuriteitsbestuurstelsel wat bestuur, risiko en 93 spesifieke beheermaatreëls dek.
- “Ons benodig beide ISO 27001 en SOC 2 van dag een af.” Gewoonlik nie. Die meeste Britse organisasies begin met die een wat hul grootste huidige koper benodig, en voeg dan die tweede een by wanneer internasionale verkope dit benodig.
- “Ons wolkverskaffer se sertifisering dek ons.” Jou wolkverskaffer se sertifikaat dek hul infrastruktuur, nie jou huurderkonfigurasie, toegangsbeheer of datahantering nie. Jy benodig steeds jou eie sertifisering.
- “Sertifisering is ’n eenmalige projek.” Elke kubersekuriteitsertifisering het 'n jaarlikse of driejaarlikse hernuwingsiklus. Beskou dit as 'n bedryfsprogram, nie 'n projek nie.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Waarom ISMS.online vir Kubersekuriteitsertifisering kies?
- Een platform, elke skema — Cyber Essentials, Cyber Essentials Plus, ISO 27001, SOC 2 en NIS 2 is almal vooraf gekarteer in ISMS.aanlyn, met kontroles wat oor skemas heen in lyn is sodat bewyse hergebruik word, nie herskryf word nie.
- Enkele bron van bewyse — Heg een keer 'n skermkiekie of dokument aan en koppel dit aan elke kontrole wat dit aanspreek, oor elke sertifisering. Geen duplisering en geen weergaweverskuiwing nie.
- Risikoregister en ISMS-omvang — Leg jou inligtingsbates, risiko's en behandelings vas in 'n gestruktureerde ISMS wat aan die ISO 27001-klousulevereistes voldoen en jou SOC 2-narratief voed.
- Voorafgeboude beleide en prosedures — ’n Biblioteek van voorafgeskrewe beleide wat in lyn is met die kontroles van elke skema, sodat jy vanaf ’n werkende basislyn eerder as ’n leë dokument begin.
- Ouditgereed — Toesigoudits, her-sertifiseringsoudits en SOC 2-waarnemingsvensters is makliker wanneer die platform bewyse se varsheid, aksie-eienaars en sperdatums outomaties dophou.
- Vertrou deur duisende organisasies - ISMS.aanlyn ondersteun maatskappye van elke grootte, van eerstekeerse Cyber Essentials-aansoekers tot globale multi-sertifiseringsgroepe.
- Kliëntsukses wat daardeur gegaan het — Implementeringsondersteuning van mense wat self vir dieselfde skemas gesertifiseer het, nie net die platform verkoop het nie.
Vrae & Antwoorde
Wat is die beste kuberveiligheidsertifisering vir 'n Britse KMO?
Vir die meeste Britse KMO's is die regte beginpunt Cyber Essentials. Dit is die sertifisering met die laagste koste, die vinnigste om te behaal, en die een wat deur die Britse regering se verkrygingsproses onder PPN 09/14 vereis word. Cyber Essentials Plus kom volgende as 'n kontrak of voorsieningsketting dit vereis. Skuif oor na ISO 27001 sodra die vraag van ondernemingskliënte of internasionale verkope verskyn.
Is Cyber Essentials 'n internasionaal erkende kuberveiligheidsertifisering?
Cyber Essentials is spesifiek vir die VK. Dit word erken deur die Britse regering, Britse versekeraars en baie Britse private kopers, maar dit dra nie direkte gewig buite die VK nie. ISO 27001 is die ekwivalente internasionaal erkende sertifisering, en SOC 2 is die dominante versekeringsverslag in die VSA. Britse organisasies wat wêreldwyd verkoop, vorder gewoonlik van Cyber Essentials na ISO 27001 of SOC 2.
Hoeveel kos kuberveiligheidsertifisering in die Verenigde Koninkryk?
Koste wissel baie. Cyber Essentials begin by £330 + BTW vir die kleinste organisasies. Cyber Essentials Plus voeg tipies £1 500–£3 000 by vir die oudit. ISO 27001 wissel van £3 000 vir baie klein organisasies tot £15 000+ vir komplekse omvang. SOC 2 Tipe 2 wissel van £15 000 tot £100 000+, afhangende van die kriteria, omvang en waarnemingsvenster. NIS 2 het geen sertifiseringsfooi nie, maar vereis belegging in die onderliggende beheermaatreëls.
Hoe lank neem kuberveiligheidsertifisering?
Cyber Essentials neem gewoonlik 4–12 weke vanaf die afskop. Cyber Essentials Plus voeg 1–2 weke bo-op, plus gereedheidswerk. ISO 27001 neem 4–9 maande vir 'n eerste KMO-sertifisering. SOC 2 Tipe 2 benodig 'n waarnemingsvenster van 3–12 maande bo-op die gereedheidswerk. NIS 2 is deurlopend: dit is nie 'n eenmalige projek nie.
Dek 'n kuberveiligheidsertifisering GDPR?
Geen sertifisering op sigself beteken voldoening aan GDPR nie. ISO 27001 en SOC 2 dek albei baie van die sekuriteitsbeheermaatreëls wat GDPR vereis, en ISO 27701 brei ISO 27001 spesifiek uit na 'n privaatheidsbestuurstelsel. Nie een van hulle vervang die wetlike en dokumentasieverpligtinge onder die Britse AVG nie, maar hulle maak dit baie makliker om die sekuriteitsbeheer te demonstreer.
Moet ek elke jaar hersertifiseer?
Cyber Essentials en Cyber Essentials Plus is geldig vir 12 maande en word jaarliks hernu. ISO 27001 loop op 'n 3-jaar siklus met jaarlikse toesigoudits. SOC 2-verslae word tipies jaarliks verfris. NIS 2 is 'n deurlopende verpligting eerder as 'n periodieke sertifisering. Watter skema jy ook al het, hanteer dit as 'n bedryfsprogram eerder as 'n eenmalige projek.
