Definition und Zweck

Das Cyber Essentials-Programm wurde eingeführt, um eine Basislinie für die Cybersicherheit aller Organisationen festzulegen. Der Hauptzweck des Programms besteht darin, die Übernahme bewährter Verfahren in der Informationssicherheit zu fördern und sicherzustellen, dass Organisationen grundlegenden Schutz gegen eine Reihe der häufigsten Cyber-Bedrohungen haben.

Verwaltungsorgan

Das Programm wurde von der britischen Regierung ins Leben gerufen und wird vom National Cyber Security Centre (NCSC), einem Teil des Government Communications Headquarters (GCHQ), überwacht.

Zuletzt aktualisiert

Die letzte Aktualisierung wurde im April 2023 mit Version 3.1 der Cyber Essentials Requirements veröffentlicht.

Gilt für

Cyber Essentials eignet sich für alle Organisationen, unabhängig von Größe und Branche, ob privat, öffentlich oder gemeinnützig. Es wird besonders für Organisationen empfohlen, die persönliche Daten verarbeiten oder Lieferanten von Regierungsstellen sind.

Kontrollen und Anforderungen

Das Cyber Essentials-Programm konzentriert sich auf fünf wesentliche Kontrollen, die bei ordnungsgemäßer Implementierung bis zu 80 % der Cyberangriffe verhindern können:

• Grenzschutz-Firewalls und Internet-Gateways: Sicherstellung, dass die Geräte, die Netzwerke mit dem Internet verbinden, die richtigen Einstellungen haben, um unbefugten Zugriff zu verhindern.
• Sichere Konfiguration: Sicherstellung, dass die Systeme auf die sicherste Weise für die Bedürfnisse der Organisation konfiguriert sind.
• Benutzerzugriffskontrolle: Verwaltung von Benutzerkonten, indem nur denjenigen der entsprechende Zugang gewährt wird, die ihn benötigen, und die richtigen Authentifizierungsmethoden sichergestellt werden.
• Schutz vor Schadsoftware: Sicherstellung, dass ein Schutz gegen Viren und Schadsoftware installiert und auf dem neuesten Stand gehalten wird.
• Patch-Management: Sicherstellung, dass die neuesten unterstützten Versionen von Anwendungen und Betriebssystemen verwendet werden und alle erforderlichen Patches angewendet wurden.

Bitte wenden Sie sich an die offizielle Cyber Essentials-Dokumentation für eine detaillierte Liste der Kontrollen und Anforderungen.

Audit-Typ, Häufigkeit und Dauer

Organisationen können zwei Zertifizierungsstufen erreichen:

• Cyber Essentials: Dies erfordert von Organisationen das Ausfüllen eines Selbstbewertungsfragebogens, dessen Antworten unabhängig von einer externen Zertifizierungsstelle überprüft werden.
• Cyber Essentials Plus: Dies umfasst sowohl den Selbstbewertungsfragebogen als auch einen unabhängigen externen Test des Ansatzes der Organisation zur Cybersicherheit.

Während die grundlegende Cyber Essentials-Zertifizierung eine Selbstbewertung beinhaltet, erfordert die Cyber Essentials Plus-Zertifizierung eine praktische technische Überprüfung.

Das Zertifikat ist ab dem Ausstellungsdatum 12 Monate gültig. Daher sollten Organisationen eine jährliche Neubewertung in Betracht ziehen, um ihre Zertifizierung aufrechtzuerhalten. Die Dauer des Audits, insbesondere für Cyber Essentials Plus, hängt von der Größe und Komplexität des Netzwerks und der Systeme der Organisation ab.