Cyber Essentials of ISO 27001: watter een moet jy kies?
As jy weeg Cyber Essentials teen ISO 27001, jy is nie alleen nie. Britse besighede word gereeld meegedeel dat hulle die een, die ander of albei benodig, en die etikette alleen maak nie die regte antwoord voor die hand liggend nie. Dit is baie verskillende skemas, ontwerp vir verskillende gehore, maar hulle word dikwels in dieselfde gesprek oor kuberveiligheid en verskafferversekering bekendgestel.
Hier is die kort weergawe. Cyber Essentials is 'n Britse regering-gesteunde basislynskema wat bevestig dat jy vyf kern tegniese beheermaatreëls in plek het. Dit is vinnig, goedkoop en goed erken in die Britse openbare sektor en KMO-voorsieningskettings. ISO 27001 is 'n internasionale standaard vir 'n inligtingsekuriteitsbestuurstelsel (ISMS). Dit is breër, dieper, neem langer om te bereik en dra gewig by ondernemings en oorsese kopers. Die meeste Britse besighede doen uiteindelik albei, in daardie volgorde, want elkeen maak 'n ander deur oop.
Hierdie bladsy stel die verskille in detail uiteen, help jou om te besluit watter een by jou situasie vandag pas en verduidelik hoe ISMS.aanlyn ondersteun beide paaie vanaf 'n enkele platform.
Wat is Cyber Essentials en ISO 27001 in die praktyk?
Cyber Essentials is 'n sertifiseringskema wat deur die Britse regering gesteun word en namens die Nasionale Kuberveiligheidsentrum (NCSC) deur IASME bedryf word. Dit fokus op vyf tegniese beheermaatreëls: brandmure, veilige konfigurasie, gebruikerstoegangsbeheer, wanware-beskerming en sekuriteitsopdateringsbestuur. Jy doen selfassessering aan die hand van 'n vraelys (en vir Cyber Essentials Plus verifieer 'n tegniese oudit jou antwoorde). Die doel is om te verdedig teen die mees algemene, opportunistiese internetgedraagde aanvalle.
ISO 27001 is die internasionale standaard vir inligtingsekuriteitsbestuur. Dit is nie 'n kontrolelys van tegniese beheermaatreëls nie; dit is 'n raamwerk vir die bestuur van inligtingsekuriteit as 'n besigheidsdissipline. Jy definieer die omvang van jou ISMS, identifiseer en behandel inligtingsekuriteitsrisiko's, stel doelwitte, lei mense op, voer interne oudits uit en verbeter voortdurend. ISO 27001:2022 verwys na 93 Aanhangsel A-beheermaatreëls oor organisatoriese, mense-, fisiese en tegnologiese temas, maar jy pas slegs die beheermaatreëls toe wat relevant is vir jou risiko's. Sertifisering word toegestaan deur 'n onafhanklike UKAS-geakkrediteerde sertifiseringsliggaam na 'n tweefase-oudit.
Daardie verskil, 'n gefokusde tegniese basislyn teenoor 'n volledige bestuurstelsel, is die wortel van elke ander verskil tussen die twee skemas.
Begin jou gratis toets
Wil jy verken?
Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand
Hoe vergelyk Cyber Essentials en ISO 27001 mekaar?
Die tabel hieronder som die verskille op waaroor Britse kopers die meeste vra. Gebruik dit om die regte skema vir jou stadium, mark en kliëntemengsel te trianguleer.
| Dimensie | Cyber Essentials | ISO 27001 |
|---|---|---|
| Omvang | Vyf tegniese beheermaatreëls wat internetgerigte stelsels en eindgebruikertoestelle dek | Volledige inligtingsekuriteitsbestuurstelsel plus 93 Aanhangsel A-kontroles wat op 'n risikobasis toegepas word |
| Kos | Van £330+BTW (selfassessering) tot ongeveer £3 000+BTW vir Cyber Essentials Plus, afhangende van die grootte van die organisasie. | Tipies £3,000 tot £15,000+ in sertifiseringsliggaamfooie oor 'n driejaarsiklus, plus interne implementeringspoging en enige konsultasie |
| Tyd om te sertifiseer | 2 tot 4 weke sodra beheermaatreëls in plek is | 6 tot 18 maande, afhangende van die beginvolwassenheid, omvang en hulpbron |
| Erkenning | Slegs vir die VK; wyd erken in die VK se openbare sektor en KMO-voorsieningskettings | Internasionaal; wêreldwyd erken deur ondernemingsaankope, reguleerders en vennote |
| Diepte | Basislyn-kuberhigiëne teen algemene internetgedraagde bedreigings | Risikogebaseerde bestuurstelsel wat mense, prosesse en tegnologie oor die volle inligtingslewensiklus dek |
| Hernuwing | Jaarlikse hersertifisering (dieselfde fooi elke jaar) | Driejaar-sertifiseringsiklus met jaarlikse toesigoudits en 'n volledige her-sertifiseringsoudit in jaar drie |
| Vir wie dit pas | Britse KMO's, nuwe ondernemings, verskaffers van die Ministerie van Defensie/sentrale regering, organisasies wat vir Britse openbare sektorwerk bie | Ondernemings, opskaal-ups, B2B SaaS, gereguleerde nywerhede en enige besigheid wat internasionale of ondernemingskliënte bedien |
Hoeveel kos Cyber Essentials en ISO 27001 en hoe lank neem dit?
Koste en tyd is gewoonlik die twee faktore wat die volgorde bepaal. Cyber Essentials selfassessering begin by £330 + BTW vir 'n mikro-organisasie en styg in gelaagde bande volgens personeeltelling, tot 'n maksimum van £500 + BTW vir groter organisasies. Cyber Essentials Plus voeg 'n eksterne tegniese oudit by en beloop tipies tussen £1 500 en £3 000 + BTW, afhangende van die grootte en kompleksiteit van jou omgewing. Daar is meer besonderhede oor die Koste-uiteensetting van Cyber Essentials en op wat werklik beoordeel word in die Vereistes vir Cyber EssentialsDie meeste organisasies voltooi sertifisering binne twee tot vier weke vanaf 'n staande begin, met die veronderstelling dat die onderliggende beheermaatreëls reeds gekonfigureer is.
ISO 27001 is 'n ander beleggingskaal. Sertifiseringsliggaamfooie alleen is geneig om £3 000 tot £15 000+ oor die driejaarsiklus te beloop, skaalbaar met personeeltelling, terreine en ISMS-omvang. Die groter koste is intern: implementering van die bestuurstelsel, skryf van beleide, uitvoering van 'n risikobepaling, opleiding van mense, uitvoering van interne oudits en voorbereiding van bewyse. Realistiese tydlyne is ses tot nege maande vir organisasies met volwasse beheermaatreëls en 'n gefokusde omvang, en twaalf tot agtien maande vir diegene wat van nuuts af begin.
Die afweging is wat elke sertifisering ontsluit. Cyber Essentials oorkom 'n verkrygingshindernis vinnig. ISO 27001 neem langer, maar beantwoord 'n veel groter vraag vir die koper: bestuur jy inligtingsekuriteit as 'n bestuurde, voortdurend verbeterende dissipline?
Watter sertifisering vra jou kliënte eintlik vir?
Die eerlike antwoord op “watter een beter is” is “wat ook al jou kliënte en reguleerders herken”. In die praktyk verdeel dit netjies langs drie lyne.
Britse kopers in die openbare sektor oorweldigend vra vir Cyber Essentials. Dit is verpligtend vir sentrale regeringskontrakte wat die hantering van persoonlike inligting of die verskaffing van sekere IKT-produkte en -dienste behels, en dit verskyn as 'n standaardvraag op die meeste verkrygingsraamwerke in die openbare sektor. Cyber Essentials Plus word vereis waar die verskaffer toegang het tot meer sensitiewe stelsels of data, insluitend die meeste werk van die Ministerie van Verdediging.
Britse KMO-voorsieningskettings vra toenemend vir Cyber Essentials, deels omdat hul eie groter kliënte die vereiste afwaarts verlaag. As jou kopers in die VK en middelmark is, is Cyber Essentials dikwels op sy eie genoeg, veral vroeg in die proses.
Ondernemings- en internasionale kopers Vra vir ISO 27001. Dit is die lingua franca van B2B-sekuriteitsvraelyste regoor Europa, Noord-Amerika en Asië. As jy aan FTSE 100-maatskappye, globale SaaS-platforms, finansiëledienstefirmas of gereguleerde nywerhede verkoop, sal jy vroeër eerder as later vir ISO 27001 gevra word, en 'n skoon ISMS sal weke se sekuriteitsoorsig kortsluit.
Indien jy steeds onseker is of die besteding terugbetaalbaar is, die Is Cyber Essentials die moeite werd? gids stap deur die tipiese pyplyn en versekeringsvoordele.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Moet jy beide Cyber Essentials en ISO 27001 doen?
Vir die meeste Britse besighede wat 'n gemengde kliëntebasis bedien, is die antwoord ja – en die volgorde maak saak. Om eers Cyber Essentials te doen en dan ISO 27001 is die mees algemene volgorde, om drie redes.
Cyber Essentials is 'n lae-risiko forseringsfunksie. Om sertifisering binne 'n paar weke te behaal, dwing jou om toestelle te inventariseer, brandmure te sluit, dokumentasie-opdaterings te doen en gebruikerstoegang te verskerp. Elkeen van daardie aktiwiteite is ook bewyse wat jy vir ISO 27001 Aanhangsel A-kontroles benodig. Jy kry 'n erkende sertifikaat, 'n vinnige verkrygingsoorwinning en 'n voorsprong op ISO 27001 in een skuif.
Dit verminder die risiko's van ISO 27001 implementering. Die meeste ISO 27001-ouditbevindinge lê in tegniese beheerareas: konfigurasie, toegang, opgradering, verdediging teen wanware. Om daardie gapings tot die Cyber Essentials-standaard te sluit voordat jy met ISO 27001 begin, beteken dat jou ISMS-oudit fokus op bestuurstelselvolwassenheid, wat gewoonlik 'n meer gemaklike gesprek is.
Dit laat jou toe om tot ISO 27001 te groei. 'n Klein span kan met beskeie moeite Cyber Essentials hanteer terwyl hulle die ISMS in die agtergrond bou. Wanneer kliëntevraag of druk op die direksie jou na ISO 27001 wys, begin jy vanaf 'n bekende goeie tegniese basislyn eerder as van nul af.
Daar is ook beduidende oorvleueling om voordeel te trek. Cyber Essentials word direk gekoppel aan 'n deelversameling van ISO 27001:2022 Aanhangsel A-kontroles, veral in die Tegnologiese tema. Die bewyse wat jy vir Cyber Essentials genereer (firewall-reëls, opdateringsverslae, MFA-konfigurasie, antivirusverslagdoening) word direk in jou ISO 27001-verklaring van toepaslikheid en risikobehandelingsrekords ingevoer.
Wanneer is Cyber Essentials op sy eie genoeg?
Vir die breër oorsig van elke Britse skema, weeg lesers gewoonlik op – insluitend SOC 2 en NIS 2 – sien ons Britse kuberveiligheidsertifiseringsgids.
Cyber Essentials is op sy eie genoeg wanneer drie dinge waar is: jou kliënte is in die VK gebaseer, jou kopers vra nie vir ISO 27001 of SOC 2, en jou inligtingsbates en risikoblootstelling is beskeie. Tipiese voorbeelde sluit in konsultasiemaatskappye wat slegs in die VK beskikbaar is, klein bestuurde diensverskaffers wat VK-KMO's bedien, professionele dienstefirmas (regsdienste, rekeningkunde, ontwerp) wat hoofsaaklik vir VK-openbare sektor- of middelmarkwerk bie, en opstartondernemings in die vroeë stadium voor hul eerste ondernemingstransaksie.
Jy moet verder as Cyber Essentials beplan sodra een van die volgende waar word: jy neem ondernemingskliënte aan, jy brei internasionaal uit, jy verwerk volumes persoonlike of finansiële data, jy betree 'n gereguleerde sektor, of jou sekuriteitsvraelyste begin vra vir 'n ISMS, ISO 27001 of SOC 2.
Waarom ISMS.online vir Cyber Essentials en ISO 27001 kies?
ISMS.aanlyn is gebou om beide skemas vanaf 'n enkele platform te ondersteun, sodat die werk wat jy vir Cyber Essentials doen direk in ISO 27001 ingevoer word eerder as om in 'n aparte sigblad te sit.
- Beide raamwerke op een plek — Voorafgeboude inhoud, kontroles en bewyssjablone vir Cyber Essentials en ISO 27001:2022, aan mekaar gekoppel sodat jy een keer assesseer en die bewyse twee keer gebruik.
- Aanvaar, Aanpas, Voeg metodologie by — Begin met ons voorafgekonfigureerde ISMS, pas dit aan by jou besigheid en voeg slegs by wat uniek is aan jou, in plaas daarvan om van 'n leë bladsy af te bou.
- Voorlegging van Cyber Essentials gereed — Leg die vyf beheerareas vas, stoor toestelvoorraad, MFA-bewyse en laprekords, en voer alles uit wat jy vir IASME-assessering benodig.
- ISO 27001 oudit gereed — Risikobepaling, Verklaring van Toepaslikheid, beleidsbiblioteek, interne oudit- en bestuursoorsigmodules wat rondom die standaard gebou is, met beheerkartering wat oorvleueling met Cyber Essentials uitlig.
- Vertrou deur Britse besighede - ISMS.aanlyn word deur organisasies regoor die VK en internasionaal gebruik om Cyber Essentials, ISO 27001 en ander raamwerke langs mekaar te bestuur.
- Altyd-aan-leiding — Ingeboude virtuele afrigter, ondersteuningspan en handleiding-inhoud lei jou by elke stap, sodat jy nie 'n aparte konsultasie-opdrag nodig het om gesertifiseer te word nie.
- Weegskaal saam met jou — Voeg verdere raamwerke by (SOC 2, ISO 27701, ISO 42001, 2 NIS) soos jou kliënte se eise groei, sonder om na 'n nuwe instrument oor te skakel.
Verwante Cyber Essentials-gidse
Gaan voort met jou Cyber Essentials-reis met die ander gidse in hierdie reeks:
- Vereistes vir Siber-noodsaaklikhede — Die vyf beheerareas, omvangsbesluite en waarna bewysassessors soek.
- Koste van Kuberbenodigdhede — IASME-prysvlakke, pluskoste, versteekte koste en 3-jaar totale vir Britse besighede.
- Is Cyber Essentials die moeite werd? — 'n Eerlike assessering van die voordele, nadele en wie eintlik sertifisering benodig.
- Cyber Essentials Plus Vereistes — Die tegniese oudit, kwesbaarheidskanderings en wat Plus bo die basiese sertifisering lewer.
- Selfassessering van Kuber-noodsaaklikhede — Die SASQ-werkvloei, omvang, bewyse en algemene slaggate.
- Hoe lank neem dit vir Cyber Essentials? — Tipiese VK-tydlyn, versnelde opsies en wat die proses vertraag.
- Hernuwing van Kuberbenodigdhede — Die 12-maande siklus, 2026 beheerveranderinge en hoe om 60 dae voor te berei.
- Kuber-noodsaaklikhede vir klein besighede — KMO-spesifieke pryse, omvang en die koste-voordeel-geval.
Vrae & Antwoorde
Is ISO 27001 beter as Cyber Essentials?
Dit is breër en dieper, maar nie outomaties “beter” vir jou besigheid nie. ISO 27001 is die regte keuse wanneer jy internasionale erkenning of 'n volledige inligtingsekuriteitsbestuurstelsel benodig. Cyber Essentials is die regte keuse wanneer jy 'n vinnige, bekostigbare, VK-erkende basislyn benodig. Baie VK-ondernemings het albei omdat hulle verskillende verkrygingsvrae beantwoord.
Dek ISO 27001 alles in Cyber Essentials?
Grootliks, ja. Die tegniese beheermaatreëls in Cyber Essentials (firewalls, veilige konfigurasie, toegangsbeheer, wanware-beskerming, sekuriteitsopdaterings) is gekoppel aan ISO 27001:2022 Aanhangsel A-beheermaatreëls in die Tegnologiese tema. ISO 27001 dek egter baie meer areas (bestuur, risikobestuur, verskaffersekuriteit, besigheidskontinuïteit, HR-sekuriteit) wat Cyber Essentials nie aanspreek nie. Die besit van ISO 27001 voldoen nie formeel aan 'n Cyber Essentials-vereiste op sigself nie, dus Britse kopers wat spesifiek vir Cyber Essentials vra, sal steeds daardie sertifikaat wil sien.
Moet ek Cyber Essentials of Cyber Essentials Plus doen voor ISO 27001?
Indien moontlik, Cyber Essentials Plus. Die tegniese oudit dwing jou om jou beheermaatreëls te verifieer eerder as om net self te bevestig, wat baie nader is aan die bewysstandaard waarna 'n ISO 27001-ouditeur sal soek. As die begroting knap is, begin met selfgeassesseerde Cyber Essentials, en skeduleer dan Cyber Essentials Plus saam met of net voor jou ISO 27001 fase 2-oudit.
Sal ISO 27001-kliënte Cyber Essentials as 'n plaasvervanger aanvaar?
Gewoonlik nie. Ondernemings- en internasionale kopers wat vir ISO 27001 vra, soek bewyse van 'n bestuurde, risikogebaseerde inligtingsekuriteitsprogram, wat Cyber Essentials nie verskaf nie. Cyber Essentials kan jou help om deur 'n aanvanklike sekuriteitsvraelys te vorder, maar dit sal selde 'n ISO 27001-verkrygingsvereiste op sy eie afhandel.
Hoe lank na Cyber Essentials moet ek met ISO 27001 begin?
Sodra jy ISO 27001 aan die horison in jou verkoopspyplyn kan sien. ISO 27001 neem tipies ses tot agtien maande, dus is dit die regte raamwerk om terug te werk vanaf 'n kliënt se sperdatum. As jy Cyber Essentials Plus het, kan jy gewoonlik ISO 27001-implementering parallel met hernuwingsiklusse begin, en dieselfde bewyse vir beide skemas hergebruik.
Kan ISMS.online gelyktydig met beide Cyber Essentials en ISO 27001 help?
Ja. ISMS.aanlyn bestuur beide raamwerke vanuit een werkspasie, met vooraf gekarteerde kontroles sodat die bewyse wat jy vir Cyber Essentials insamel, tel vir jou ISO 27001-verklaring van toepaslikheid. Dit verwyder die duplisering wat gewoonlik gepaardgaan met die uitvoer van twee sertifisering langs mekaar.
