ISO 27001 против Cyber Essentials: какой из них подходит для вашей организации?

Опубликовано: 14 Марта, 2023
ISO 27001 против Cyber Essentials: какой из них подходит для вашей организации?

Если вы работаете с конфиденциальными данными, важно показать, что вы правильно с ними обращаетесь. Вот почему многие правительства требуют, чтобы компании имели какую-либо сертификацию того, как они обрабатывают данные. В этой статье я сосредоточусь на двух таких сертификатах: ISO 27001 и Cyber Essentials.

Международная организация по стандартизации разработала ISO 27001 для защиты и обеспечения безопасности информационных активов. ISO также фокусируется на информации, независимо от ее носителя для хранения. И наоборот, Cyber Essentials новее, чем ISO 27001. Он также фокусируется только на информации, но той, которая находится в компьютерах и ИТ-сетях.

Как узнать, какой из них вам понадобится для вашей компании? В этой статье я сравню две сертификации и отмечу их различия. Я также покажу вам, как пройти сертификацию, и расскажу, можете ли вы использовать ISO и Cyber Essentials вместе. Во-первых, давайте более подробно изучим ISO 27001.

Все, что вам нужно знать об ISO 27001

В 1995 году Министерство торговли и промышленности Великобритании создало стандарт ISO 27001. Однако со временем тест адаптировался к изменяющейся среде безопасности данных. Этот сертификат свидетельствует о том, что ваш бизнес серьезно относится к безопасности.

Поскольку это международный стандарт, ваша сертификация будет действительна во всем мире. Другие международные компании также признают это на 100%. Сертификат ISO 27001 включает 114 элементов управления в 14 группах и 35 категорий элементов управления. Вы также заметите, что имена не относятся к ИТ, а скорее являются общими. Взгляните на 14 групп, и вы поймете, что я имею в виду.

14 контрольных групп

ISO будет привлекать вашу компанию к ответственности в соответствии с этими 14 группами и подкатегориями. Ваша компания также должна соответствовать этим 14 ценностям, чтобы получить сертификат.

  1. A.5: Политики информационной безопасности
  2. A.6: Организация информационной безопасности
  3. A.7: Безопасность человеческих ресурсов
  4. A.8: Управление активами
  5. A.9: Контроль доступа
  6. A.10: Криптография
  7. A.11: Физическая и экологическая безопасность
  8. A.12: Операционная безопасность
  9. A.13: Безопасность связи
  10. A.14: Приобретение, разработка и обслуживание системы
  11. A.15: Отношения с поставщиками
  12. A.16: Управление инцидентами информационной безопасности
  13. A.17: Аспекты информационной безопасности управления непрерывностью бизнеса
  14. A.18: Соответствие требованиям; с внутренними и внешними требованиями, такими как законы

Увидев 14 групп, вы можете подумать, что на их выполнение уйдет много времени. Правда ли это?

Процесс и сроки сертификации ISO 27001

Процесс сертификации займет в общей сложности от 6 до 12 месяцев для компаний малого и среднего бизнеса. За это время вашей компании также предстоит пройти несколько этапов, которые я собрал в следующей таблице.

стадия Временное ограничение Подробности
Готовность компании 6-10 месяцев Самый тяжелый этап. Ваша организация должна подготовиться и начать следовать элементам управления
Аудит 1: Документация 1 день Аудиторы проверяют документацию.
Аудит 2: Сертификация 6-10 дней Аудиторы на месте. Они также наблюдают и встречаются с вашей командой, чтобы определить, соблюдают ли они меры контроля.
Исправление от 1 дня до 6 месяцев Аудиторы просят внести изменения. Внедрение может занять от нескольких дней до нескольких месяцев в зависимости от проблем
В целом простой процесс!

Сертификат действителен только в течение 3 лет, поэтому вы должны убедиться, что продлили его к тому времени.

Стоимость сертификации по ISO 27001

Затраты на получение сертификата зависят от количества дней, которые аудитор провел в вашей компании, проводя аудит. Хотя ежедневные ставки аудитора могут варьироваться, мы можем ориентировочно оценить гонорары от 800 до 1600 долларов в день. В среднем это около 1200 долларов.

Количество сотрудников в вашей организации также напрямую связано с количеством дней, которые аудиторы должны провести на месте. В принципе, если количество дней выше, затраты также выше.

Небольшая компания с несколькими сотрудниками может заплатить около 5000 долларов за получение сертификата. И наоборот, крупной компании с более чем 1000 сотрудников, возможно, придется заплатить не менее 25 000 долларов за сертификацию. Это также естественно потому что аудиторы будут находиться на месте дольше.

К настоящему времени вы знакомы со стандартом ISO 27001. В следующем разделе я расскажу об основах кибербезопасности и о том, что это влечет за собой. Я также покажу вам, что нужно сделать, чтобы получить его.

Cyber Essentials: что это такое и почему это важно

Cyber Essentials — это схема сертификации, созданная в Великобритании для внедрения мер безопасности в отношении 5 технических мер безопасности. Эта сертификация фокусируется только на 5 пунктах. Он также не настолько глубок, как ISO 27001, который имеет более широкий охват таких вещей, как финансы, риски и управление.

Технические средства контроля

Cyber Essentials фокусируется на контрольных группах, связанных с ИТ. Эти группы также являются передовыми методами кибербезопасности и относятся к ISO 27001. Вы также можете рассматривать Cyber Essentials как мини-сертификацию ISO 27001.

Cyber Essentials охватывает критерии, связанные с кибербезопасностью. Как и в случае с ISO, ваша компания также должна будет соблюдать эти 5 рекомендаций, чтобы получить сертификат Cyber Essentials.

1. Настройте и разверните брандмауэр. Эти брандмауэры предотвращают несанкционированный доступ между сетями. Этот элемент управления также аналогичен разделу A.13.1 элемента управления Приложения A ISO 27001 (Управление сетевой безопасностью).

2. Используйте безопасные конфигурации для устройств и программного обеспечения. Это включает в себя методы, обеспечивающие максимальную безопасность системных конфигураций. Сопоставимыми критериями ISO 27001 является контрольный раздел A.12.1 Приложения A (Операционные процедуры и обязанности).

3. Используйте контроль доступа и предотвращайте несанкционированный доступ. Это гарантирует, что только те, кто должен иметь доступ к системам. Этот элемент управления также аналогичен разделу A.9.2 элемента управления Приложения A ISO 27001 (Управление доступом пользователей).

4. Защитите себя от вредоносных программ, таких как вирусы. Это гарантирует, что вы установили защиту от вирусов и вредоносных программ и поддерживаете ее в актуальном состоянии. Это также означает, что сотрудники проходят надлежащую подготовку по предотвращению распространения вредоносных программ. Сопоставимым элементом ISO 27001 является контрольный раздел A.12.2 Приложения A (Защита от вредоносных программ).

5. Обновляйте устройства и программное обеспечение. Это означает, что вы используете последние версии программного обеспечения и применяете все исправления поставщиков. Это также соответствует контрольному разделу A.12.6 Приложения A стандарта ISO 27001 (Управление техническими уязвимостями).

Процесс и сроки сертификации Cyber Essentials

Процесс получения сертификата Cyber Essentials довольно прост. Он состоит только из 2-часовой анкеты. Тем не менее, предварительная работа может занять у небольшой компании около 2 недель.

Это также необходимо сделать перед сдачей экзамена. Затем требуется около 3 дней, чтобы сертификационная комиссия дала свой ответ. Сертификат действителен в течение 12 месяцев, после чего его нужно будет продлевать.

Стоимость сертификации для Cyber Essentials

Стоимость получения сертификата составляет 300 фунтов стерлингов + НДС. Однако эта сертификация не подтверждена. Это означает, что ни один аудитор не гарантирует, что ваша компания действительно следует рекомендациям. Чтобы получить проверку, аудит, вам нужно выбрать Cyber Essentials Plus. Время и стоимость аудита также зависят от размера вашей организации. Аудитор также определяет стоимость аудита.

Теперь, когда вы подробно ознакомились с обоими сертификатами, давайте также рассмотрим их рядом для более четкого сравнения.

ISO 27001 и Cyber Essentials — ключевые отличия

Следующая таблица поможет вам визуализировать различия между двумя сертификатами.

ИСО 27001 Основы кибербезопасности
Что это? Набор международных стандартов для обеспечения безопасности информационных активов Сертификация с 5 техническими средствами защиты от угроз
Что он покрывает? Информация, независимо от носителя Данные, программное обеспечение, программы в сетях, серверах, компьютерах. ИТ фокус.
Кому это помогает? Организации любой отрасли, которым необходимо обеспечить защиту данных Организации, которые хотят иметь базовые меры кибербезопасности
Структура 10 пунктов и 114 общих элементов управления безопасностью, сгруппированных в 14 разделов. 5 элементов управления, относящихся к ИТ-инфраструктуре
Внедрение и сертификация Не требуется, но рекомендуется Требуется для всех компаний, претендующих на контракты с правительством Великобритании
Эти сертификаты существенно отличаются!
Изображение 4081

Совместное использование ISO 27001 и Cyber Essentials

Вы действительно можете использовать эти два сертификата вместе! Это зависит от ваших клиентов. Это также связано с тем, насколько конфиденциальной является ваша информация.

Согласно веб-сайту правительства Великобритании, Cyber Essentials обычно достаточно, чтобы показать, что вы хорошо защищены от проблем, связанных с Интернетом. Имейте в виду, что Cyber Essentials также очень доступен, а ISO 27001 дороже. Если ваша компания также планирует работать напрямую с правительством Великобритании, вы пройти сертификацию Cyber Essentials, даже если у вас уже есть ISO 27001.

Советы профессионалов

  • Подумайте о получении ISO 27001, если вы крупная международная компания с особо конфиденциальными данными.
  • Получите сертификат Cyber Essentials, если вы представляете компанию любого размера, планирующую вести бизнес с правительством Великобритании (это обязательно)
  • Получите сертификат Cyber Essentials, если вы представляете компанию в Великобритании, так как он стоит дешевле, чем сертификат ISO 27001.

Нижняя линия

В заключение, ваша компания, безусловно, может извлечь выгоду из обоих сертификатов, в зависимости от ваших информационных активов и клиентов. Прежде всего, эти сертификаты также способствуют душевному спокойствию как для вас, так и для ваших клиентов. Учитывайте местоположение вашей компании и клиентов. Также следует помнить о стоимости каждого сертификата. В результате вы примете лучшее решение относительно того, какой сертификат должна получить ваша фирма.

Есть еще вопросы о сертификатах? Ознакомьтесь с часто задаваемыми вопросами и ресурсами ниже!

Часто задаваемые вопросы

Что такое Международная организация по стандартизации?

Международная организация по стандартизации — неправительственная организация , основанная в 1947 году. Он продвигает международную стандартизацию во всех отраслях промышленности и работает в 167 странах. ISO также помогла установить международные стандарты. Кроме того, компаниям стало намного проще производить продукты для использования во всем мире.

Есть ли у Cyber Essentials международный стандарт?

Хотя сертификат действителен в Великобритании, он не является полностью признанным сертификатом. Вы можете сопоставить все 5 элементов управления с ISO 27001. Консорциум по обеспечению безопасности информации для малых и средних предприятий (IASME ) также включил Cyber Essentials в более широкую сферу сертификации. Таким образом, вы обязательно увидите значение сертификата Cyber Essentials. Вы также должны иметь его, если хотите работать с правительством Великобритании.

Сколько времени занимает повторная сертификация Cyber Essentials?

Сертификат Cyber Essentials действителен в течение 12 месяцев и требует повторной сертификации. Каждый раз на это уходит одинаковое количество времени: около 2 недель на подготовку и несколько часов на заполнение анкеты. В итоге ждать результата приходится около 3-х дней. Стоимость составляет 300 фунтов стерлингов + НДС. Кроме того, если вы хотите получить сертификат «плюс», вам нужно поговорить с аудитором. Затем этот аудитор установит плату в зависимости от размера вашей организации и сложности, связанной с ее тестированием.

Как долго действует ISO 27001?

ISO 27001 действует 3 года, но компании также должны поддерживать установленные стандарты. Аудиторы также будут возвращаться и проводить проверки каждый год в течение срока действия сертификата. Короче говоря, несоблюдение стандарта может привести к его отмене.

Что такое Cyber Essentials Plus?

Cyber Essentials Plus — это проверенный сертификат Cyber Essentials. Аудитор также приедет в вашу организацию и докажет, что вы соблюдаете стандарты сертификата. Обычный Cyber Essentials не проверяется, он основан только на анкете. У вас также есть 90 дней с момента получения сертификата, чтобы проверить его.

Ресурсы

TechGenix: Руководство по сертификации ISO 27001

Изучите пошаговый подход к получению сертификата ISO 27001 для вашей компании.

TechGenix: Статья о пути к ISO 27001 (часть 1)

Узнайте, как начать свой путь к сертификации.

TechGenix: Статья о том, что такое ISO 27001 и сертификация

Узнайте об ISO и о том, как получить сертификат.

TechGenix: Белая книга по 13 эффективным средствам контроля для ISO 27001

Узнайте, что такое 13 элементов управления для ISO 27001.

TechGenix: Статья о стандартах ISO, заслуживающих внимания

Узнайте, какие стандарты могут быть важны для вас в вашей карьере.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023