Slaan oor na inhoud
Phishing vir Moeilikheid –
Die IO Podcast keer terug vir Seisoen 2 Luister nou
ISMS.aanlyn

Selfassessering van Kuberbenodigdhede: Stap-vir-Stap-gids

'n Praktiese stap-vir-stap gids tot die Cyber ​​Essentials selfassesseringsvraelys vir Britse besighede, wat die omvang, die vyf beheerareas, bewysvoorbereiding en -indiening dek.

Sien hoe ISMS.online jou Cyber ​​Essentials selfassessering versnel

Sien dit in aksie
skrywer
Max Edwards
Opgedateer 21 Mei 2026
4/5 sterre

Wat is die Cyber ​​Essentials selfassessering?

Die Cyber ​​Essentials-selfassessering is die vraelys wat die kern vorm van die Britse regering se Cyber ​​Essentials-skema. Dit word namens die Nasionale Kubersekuriteitsentrum (NCSC) deur IASME geadministreer en vra u organisasie om skriftelik te verklaar dat u vyf stelle tegniese beheermaatreëls geïmplementeer het tot 'n vlak wat teen die mees algemene internetgebaseerde aanvalle beskerm. 'n Senior persoon op direksievlak teken u antwoorde af, u dien die vraelys in deur die IASME-portaal, en 'n assessor hersien u antwoorde en ken sertifisering toe (of weerhou dit).

Stap-vir-stap Cyber ​​Essentials selfassesseringsreis van die definisie van omvang tot sertifisering
Bron: IASME Cyber ​​Essentials-skema

Alhoewel dit 'n "self"-assessering genoem word, is die proses nie informeel nie. Jou verklaring is 'n kontraktuele verklaring aan 'n sertifiseringsliggaam, en die assessor sal antwoorde verwerp wat nie die regte besonderhede het nie of jou gestelde omvang weerspreek. Die meeste mislukte eerste pogings kom van haastige, ongetoetste antwoorde eerder as ontbrekende kontroles, dus is die doel van hierdie gids om jou te help om bewyse voor te berei, jou omgewing korrek te omvang en te antwoord met die presisie waarna die IASME-assessor soek. Vir die onderliggende tegniese basislyn waarteen jy verklaar, sien ons verduideliking van die Vereistes vir Cyber ​​EssentialsVoordat jy die SAQ self oopmaak, werk deur ons Kontrolelys vir Kuberbenodigdhede om te bevestig dat omvang, bewyse en kontroles gereed is — dit is ontwerp om dieselfde gapings op te spoor wat 'n assessor sal aandui.

Die vraelys bevat ongeveer 80 vrae oor die vyf kontrolegebiede. Elke vraag is binêr – jy voldoen óf aan die kontrolegebied óf nie – maar die meeste vrae vereis ook 'n kort geskrewe verduideliking wat beskryf hoe jy daaraan voldoen. ISMS.aanlyn stoor jou antwoorde, bewyse en rasionaal op een plek sodat jy dit kan hergebruik tydens hernuwing en tydens 'n Cyber ​​Essentials Plus-oudit.

Hoe is die selfassessering gestruktureer?

Die vraelys is in drie logiese dele verdeel. As jy die struktuur in jou kop regkry voordat jy begin, maak dit die beantwoordingsproses baie vinniger.

  1. Maatskappyinligting en omvang — Regsentiteit, sektor, grootte, ligging en 'n geskrewe beskrywing van wat binne en buite die bestek val. Dit dryf elke antwoord wat volg.
  2. Versekeringsverklaring — 'n Paar vrae oor die ingeslote kuberversekering vir organisasies in die VK met 'n omset van minder as £20 miljoen.
  3. Tegniese beheermaatreëls — Die grootste deel van die vraelys. Ongeveer 80 vrae gegroepeer onder die vyf kontroletemas. Elke tema toets 'n ander laag van jou omgewing.

Van kardinale belang is dat u antwoorde in die afdeling vir tegniese beheermaatreëls van toepassing moet wees op alles binne jou verklaarde omvang. Indien jy 'n deel van die besigheid uitsluit, moet jy dit duidelik stel en dit afbaken. Gedeeltelike antwoorde is die grootste enkele oorsaak van herindiening, saam met sagteware wat nie ondersteun word nie en binne die omvang daarvan.



klim

Bevry jouself van 'n berg sigblaaie

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo


Wat is die vyf beheerareas en wat vra elkeen?

Die vyf tegniese beheertemas is dieselfde, of jy nou vir Cyber ​​Essentials gaan of Cyber ​​Essentials PlusDie verskil is dat Plus 'n onafhanklike tegniese oudit op die perseel of op afstand byvoeg; die selfassessering is die fondament daaronder. Die tabel hieronder som op wat elke beheerarea dek en die soort vrae wat jy kan verwag.

Beheerarea Wat dit dek Voorbeeld Vrae
1. Firewalls en internetpoorte Grensfirewalls wat jou kantoornetwerk beskerm, plus gasheergebaseerde firewalls op toestelle wat buite die kantoor gebruik word (bv. tuiswerk of hot-desks). Verander julle standaard firewallwagwoorde? Word inkomende reëls gedokumenteer, goedgekeur en hersien? Word administratiewe koppelvlakke van die internet geblokkeer of beskerm deur multifaktor-verifikasie?
2. Veilige konfigurasie Verwydering van standaardrekeninge, ongebruikte sagteware en onnodige dienste van bedieners, eindgebruikertoestelle, mobiele toestelle en wolkdienste. Het jy ongebruikte gebruikersrekeninge verwyder of gedeaktiveer? Is die verstekwagwoorde op alle toestelle binne die omvang verander? Is outomatiese uitvoering gedeaktiveer? Is die ontsluitbewyse vir toestelle minstens 6 karakters lank met brute-force-beskerming?
3. Gebruikerstoegangsbeheer Rekeningskepping, voorregbestuur, skeiding van administrateur- en standaardrekeninge, en multifaktor-verifikasie op wolkdienste. Is daar 'n gedokumenteerde gebruikersrekeninggoedkeuringsproses? Word administratiewe rekeninge slegs vir administrateurtake gebruik? Is MFA op alle wolkdienste vir gebruikers en administrateurs geaktiveer? Word gebruikers se rekeninge onmiddellik verwyder?
4. Beskerming teen wanware Anti-wanware, toepassing-toelaatlys of sandboxing oor alle toestelle binne die omvang, insluitend BYOD en mobiele toestelle. Watter beskermingsmeganisme teen wanware word op elke toesteltipe gebruik? Word handtekeninge daagliks opgedateer? Word gebruikers verhoed om sagteware van onbetroubare bronne te gebruik?
5. Bestuur van sekuriteitsopdaterings Opdatering van bedryfstelsels, toepassings en firmware binne gedefinieerde tydsraamwerke; verwydering van onondersteunde sagteware. Is outomatiese opdaterings geaktiveer waar moontlik? Word hoërisiko- en kritieke opdaterings binne 14 dae na vrystelling toegepas? Is enige sagteware in gebruik wat nie meer deur die verskaffer ondersteun word nie?

Hoe definieer jy jou omvang korrek?

Omvang is die mees algemene rede waarom organisasies misluk of vrae moet oordoen, daarom is dit die moeite werd om doelbewus te wees. Jou omvang moet die dele van jou organisasie dek waardeur 'n aanvaller realisties jou sensitiewe data kan bereik. Die standaard- en sterk verkieslike opsie is "hele organisasie", maar jy kan per sake-eenheid omvang as jy duidelike tegniese en fisiese skeiding tussen die binne-omvang en buite-omvang dele kan demonstreer.

Watter opsie jy ook al kies, jy moet die volgende kan beskryf en bewys:

  • Gebruikers binne omvang — Alle werknemers, kontrakteurs en derde partye met toegang tot binne-omvang stelsels, insluitend afstandwerkers. Kliëntrekeninge op u eie dienste val buite die omvang.
  • Toestelle binne omvang — Alle skootrekenaars, tafelrekenaars, tablette, selfone en bedieners wat gebruik word om toegang tot organisatoriese data of dienste te verkry, insluitend toestelle wat persoonlik besit word (BYOD) wat vir werk-e-pos of -lêers gebruik word.
  • Liggings binne omvang — Kantore, tuiswerk-opstellings en enige datasentrums of ko-lokasiefasiliteite wat u bedryf.
  • Wolkdienste binne omvang — Alle Sagteware-as-'n-Diens, Platform-as-'n-Diens en Infrastruktuur-as-'n-Diens wat organisatoriese data bevat. Sedert die 2022-opdatering is die wolk eksplisiet binne die omvang en kan dit nie uitgesluit word nie.

Dokumenteer die omvang in gewone Afrikaans voordat u enige tegniese vrae beantwoord. Indien u nie die grens presies kan beskryf nie, sal die assessor nie kan bevestig of u kontroles voldoende is nie.

Hoe moet jy voorberei voordat jy die vraelys oopmaak?

Meeste van die werk gebeur voordat jy by die IASME-portaal aanmeld. As jy met die regte bewyse instap, verminder dit die voltooiingstyd van weke na dae.

Bou 'n bate-inventaris op

Lys elke toestel, bediener, wolkdiens en gebruikersrekening in die omvang, saam met die bedryfstelsel- of sagtewareweergawe, laaste opdateringsdatum en toegewyse gebruiker. Dit is die enkele nuttigste artefak vir die selfassessering en word hergebruik by hernuwing. ISMS.aanlyn sluit 'n bateregister in wat direk na Cyber ​​Essentials-beheerareas karteer, sodat jy op enige stadium 'n omvang-akkurate lys kan trek.

Versamel beleidsdokumente

Jy het nie 'n beleidsbiblioteek van duisend bladsye nodig nie, maar die assessor verwag om liggewig, geskrewe prosesse te sien wat die volgende dek: gebruikersrekeninggoedkeuring en -verlaters, opgradering, wagwoord- en MFA-standaarde, beskerming teen wanware en tuiswerk. Kort, huidig ​​en afgeteken, lank en teoreties.

Versamel ondersteunende bewyse

Vir elke beheerarea, identifiseer die skermkiekie, konfigurasie-uitvoer of stelselverslag wat u sou gebruik indien u betwis word. U laai nie bewyse op tydens indiening vir Cyber ​​Essentials nie (Plus is anders), maar die assessor kan dit aanvra, en u sal dit weer nodig hê tydens hernuwing en vir enige Plus-oudit. Algemene bewysstukke sluit in: MDM-konfigurasieskerms, voorwaardelike toegangsbeleide, opdateringsdashboards, rekeninghersienings en firewallreël-uitvoere.

Loop die vrae vooraf

Die volledige vraestel is beskikbaar by IASME voor indiening. Lees dit van begin tot einde, merk elke vraag waarop jy nie met selfvertroue "ja" kan antwoord nie en beskou daardie lys as jou remediëringsplan. Om koud te bly, is die mees algemene rede waarom organisasies uiteindelik vir twee pogings betaal.



ISMS.online se kragtige dashboard

Begin jou gratis toets

Wil jy verken?

Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand

Aan die begin


Hoe word vrae gegradeer en wat veroorsaak 'n mislukking?

Elke tegniese beheervraag is binêr: ja of nee. Daar is geen gedeeltelike krediet nie. Om sertifisering te behaal, moet jy "ja" (of die ekwivalente voldoenende antwoord) kan antwoord op elke toepaslike vraag oor die vyf beheerareas.

Vir die meeste vrae vereis IASME ook 'n kort vrye teks verduideliking wat beskryf hoe jy aan die kontrole voldoen. Assessors merk hierdie verduidelikings aan die hand van drie toetse: is die antwoord tegnies korrek, is dit in ooreenstemming met die res van die vraelys, en dek dit elke toestel of diensoort binne die omvang. 'n "Ja" sonder besonderhede, of 'n detail wat 'n vorige antwoord weerspreek, sal 'n versoek om verduideliking of 'n algehele mislukking veroorsaak.

Indien die assessor nie-nakomings aandui, het jy een kans om die probleme reg te stel en dit weer in te dien sonder ekstra koste, mits jy dit binne twee werksdae na ontvangs van die terugvoer doen. Mis daardie venster en jy begin die sertifisering (en betaal) van voor af. Daarom is dit so waardevol om die vrae en bewyse vooraf te toets – jy het baie min tyd om reg te stel sodra die tyd begin.

Wat is die mees algemene slaggate in selfassessering?

Dieselfde handjievol probleme is verantwoordelik vir die meerderheid van mislukte en heringediende vraelyste. As jy dit vooraf ken, kan jy dit in jou voorvlugkontroles inbou.

  • Nie-ondersteunde sagteware binne omvang — ’n Enkele Windows Server 2012 R2-boks, ’n ou MacOS-weergawe op ’n direkteur se skootrekenaar of ’n ouer Java-looptydprogram sal die sekuriteitsopdateringsbestuursafdeling misluk. Gradeer dit op, skei dit buite die bestek agter ’n streng beheerde firewall, of verwyder dit voor indiening.
  • BYOD sonder behoorlike beheermaatreëls — Indien personeel persoonlike fone of skootrekenaars gebruik om toegang tot werk-e-pos of -lêers te verkry, is daardie toestelle binne die bestek en moet hulle aan al vyf beheertemas voldoen. BYOD wat nie onder mobiele toestelbestuur of voorwaardelike toegang geplaas is nie, is een van die grootste mislukkingspunte.
  • Wolkdienste word as buite die bestek behandel — Sedert 2022 is alle wolkdienste wat organisatoriese data bevat, binne die bestek, insluitend Microsoft 365, Google Workspace en enige SaaS wat jou span gebruik. MFA op daardie dienste is verpligtend.
  • Adminrekeninge wat vir daaglikse werk gebruik word — Domeinadministrateurrekeninge mag nie gebruik word om e-pos te lees of op die web te blaai nie. Afsonderlike rekeninge word vereis.
  • MFA-gapings — Enige wolkdiens wat MFA ondersteun, moet dit vir alle gebruikers en administrateurs geaktiveer hê. Diensrekeninge sonder MFA moet op ander maniere gedokumenteer en beskerm word.
  • Vae omvangbeskrywings — “VK-bedrywighede” is nie 'n omvang nie. “Acme Bpk., VK-kantoor, 42 personeelskootrekenaars, Microsoft 365, AWS-produksie-VPC” is wel.

Jy kan byna al hierdie dinge vermy deur 'n interne voorafassessering teen die gepubliseerde vraestel uit te voer voordat jy die amptelike vraelys oopmaak. Vir 'n aanduiding van tydlyn, insluitend remediëring, sien ons uiteensetting van hoe lank neem Cyber ​​Essentials van begin tot einde.

Hoe doen jy 'n indiening en wat gebeur volgende?

Indiening word volledig deur die IASME Cyber ​​Essentials-portaal hanteer. Jy koop jou assessering (pryse word volgens organisasiegrootte gegradeer; sien ons gids tot Koste van Cyber ​​Essentials), ontvang 'n portaalrekening, voltooi die vraelys aanlyn en dien dit in vir assessorbeoordeling.

  1. Dien in deur die portaal — 'n Ondertekenaar op raadsvlak bevestig dat die antwoorde akkuraat is voor indiening.
  2. Assessor-oorsig (gewoonlik 1–3 werksdae) — ’n IASME-geakkrediteerde assessor hersien jou antwoorde teenoor die gepubliseerde Cyber ​​Essentials Requirements for IT Infrastructure.
  3. Uitkoms — Jy ontvang óf 'n slaagsyfer (sertifikaat uitgereik, gelys op die IASME-register) óf terugvoer wat nie-nakoming identifiseer.
  4. Herindiening (indien nodig) — Jy het twee werksdae om die probleme reg te stel en dit weer in te dien. Een gratis poging tot herstel is ingesluit; verdere pogings vereis 'n nuwe aankoop.
  5. sertifisering — ’n Suksesvolle slaagsyfer lei tot ’n 12-maande Cyber ​​Essentials-sertifikaat. Jy ontvang ook opsionele kuberversekering indien jy in aanmerking kom.

Indien u van voorneme is om op te volg met Cyber ​​Essentials Plus, moet u dit binne drie maande nadat u selfassessering geslaag het, doen, andersins moet u eers die vraelys oordoen.

Waarom ISMS.online kies vir selfassessering van Cyber ​​Essentials?

  • Voorafgeboude vraelyswerkruimte - ISMS.aanlyn weerspieël die IASME-vraestel sodat jy antwoorde intern kan opstel, hersien en goedkeur voordat hulle die portaal bereik.
  • Geïntegreerde bateregister — Volg elke toestel, gebruiker en wolkdiens binne die omvang op een plek, met die status van die opdatering en eienaarskap gereed om te bewys.
  • Beleidsjablone in lyn met die vyf kontroles — Wysigbare beleide vir brandmure, veilige konfigurasie, toegangsbeheer, wanware-beskerming en sekuriteitsopdateringsbestuur, geskryf vir Britse KMO's, nie ondernemings nie.
  • Bewysbiblioteek — Laai skermkiekies, uitvoere en konfigurasiekiekies een keer op en koppel dit aan elke relevante kontrole vir assessor-hersiening of 'n toekomstige Plus-oudit.
  • Samewerking en afsluiting — Wys vrae toe aan die regte eienaar, hou vordering dop en verkry goedkeuring op direksievlak voor voorlegging aan IASME.
  • Hernuwing-gereed — Verlede jaar se antwoorde, bewyse en batelys word bewaar, dus is hernuwing 'n delta-oefening eerder as 'n volledige herbegin.
  • Multi-raamwerk hefboomwerking — Dieselfde bewyse ondersteun ISO 27001, SOC 2 en ander raamwerke wat jy volgende mag aanneem, sodat jou Cyber ​​Essentials-werk nooit weggegooi word nie.

Verwante Cyber ​​Essentials-gidse

Gaan voort met jou Cyber ​​Essentials-reis met die ander gidse in hierdie reeks:

Vrae & Antwoorde

Hoe lank neem dit om die Cyber ​​Essentials-selfassessering te voltooi?

Die meeste goed voorbereide Britse KMO's spandeer twee tot drie weke aan die selfassessering van begin tot einde: ongeveer een week om die omvang te bepaal en bewyse in te samel, een week om antwoorde intern op te stel en te hersien, en 'n paar dae om enige terugvoer van die assessor in te dien en daarop te reageer. Organisasies wat nie MFA opgedateer, verhard of uitgerol het voordat hulle begin het nie, moet ses tot agt weke verwag, want remediëring, nie papierwerk nie, word die bottelnek.

Moet ons persoonlike (BYOD) toestelle insluit?

Ja, as daardie toestelle gebruik word om toegang tot organisatoriese data, werk-e-pos, lêers of wolkdienste te verkry. Die enigste manier om BYOD buite die bestek te hou, is om hulle tegnies te blokkeer om toegang tot enigiets binne die bestek te verkry, byvoorbeeld deur voorwaardelike toegangsbeleide af te dwing wat 'n bestuurde toestel vereis. As BYOD toegelaat word, moet dit aan al vyf beheertemas voldoen, dieselfde as 'n korporatiewe toestel.

Wat gebeur as ons die selfassessering druip?

Jy ontvang terugvoer van die IASME-assessor wat die spesifieke nie-nakomings identifiseer. Jy het een gratis kans om binne twee werksdae reg te stel en weer in te dien. Indien jy nie die probleme binne daardie venster kan oplos nie, sluit die aansoek en moet jy 'n nuwe assessering koop om weer te probeer. Daarom is dit so belangrik om 'n interne voorassessering teen die gepubliseerde vraestel uit te voer voordat die amptelike vraelys oopgemaak word.

Is die selfassessering op sy eie genoeg, of het ons Cyber ​​Essentials Plus nodig?

Selfassessering alleen (soms "basiese" Cyber ​​Essentials genoem) is voldoende vir die meeste Britse openbare sektor kontrakte onder die sentrale regering se basislyn en vir algemene voorsieningsketting gerusstelling. Cyber ​​Essentials Plus voeg 'n onafhanklike tegniese oudit by en word toenemend vereis vir MOD-kontrakte, NHS-dataverwerkers en groter ondernemingsverkryging. Indien u 'n kontraktuele vereiste het, kyk na die bewoording; andersins is die selfassessering die standaard beginpunt.

Wie by die organisasie moet die selfassessering onderteken?

'n Ondertekenaar op direksievlak – tipies 'n direkteur, uitvoerende hoof, eienaar of CISO – moet bevestig dat die antwoorde in die vraelys na hul beste wete akkuraat is voordat dit aan IASME voorgelê word. Hierdie goedkeuring is kontraktueel, dus moet die ondertekenaar die antwoorde hersien, nie bloot 'n rubberstempel daarop plaas nie. ISMS.aanlyn ondersteun die interne hersieningswerkvloei sodat die ondertekenaar 'n skoon, goedgekeurde weergawe sien eerder as 'n halfgeredigeerde konsep.

Hoe gereeld moet ons die selfassessering herdoen?

Cyber ​​Essentials-sertifisering duur 12 maande. Om gesertifiseer te bly, voltooi jy jaarliks ​​'n nuwe selfassessering. Die hernuwingsvraelys is dieselfde as die aanvanklike een, maar as jy jou bateregister, beleide en bewyse intussen op datum gehou het, neem hernuwing gewoonlik 'n paar dae eerder as weke. Sien ons spilpuntbladsy op Cyber ​​Essentials vir die breër skemakonteks.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Kyk na 'n platform-demonstrasie

Sien hoe meer as 1 000 spanne hul nakomingsraamwerke bestuur in 'n 3-minuut platformtoer

Kyk nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Somer 2026
Hoë Presteerder - Somer 2026 Klein Besigheid VK
Streeksleier - Somer 2026 EU
Streekleier - Somer 2026 EMEA
Streeksleier - Somer 2026 VK
Hoë Presteerder - Somer 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.