标准简介
Cyber Essentials 是英国政府支持、由英国国家网络安全中心(NCSC)制定的网络安全认证计划,旨在帮助组织防范最常见的网络威胁。该计划分为两个级别:Cyber Essentials(自我评估问卷,由认证机构验证)和 Cyber Essentials Plus(包含动手技术验证,由授权审核员进行外部测试)。自 2014 年推出以来,Cyber Essentials 已成为英国政府合同的强制要求——所有涉及处理敏感和个人信息的政府合同都要求供应商持有 Cyber Essentials 认证。
Cyber Essentials 聚焦于五项基本安全控制:防火墙(在互联网和内部网络之间建立安全边界)、安全配置(确保设备使用安全设置进行配置)、用户访问控制(控制谁有权访问数据和服务)、恶意软件防护(防范病毒和其他恶意软件)和安全更新管理(保持设备和软件更新)。IASME 联盟是 NCSC 指定的 Cyber Essentials 计划合作伙伴,负责管理认证机构网络。认证有效期为 12 个月,需每年续期。虽然该计划起源于英国,但任何地区的组织都可以申请认证。Cyber Essentials Plus 还包括对外部攻击面的漏洞扫描和内部配置审查,提供更高水平的安全保证。
五项技术控制
通过五项关键控制——防火墙、安全配置、用户访问控制、恶意软件防护和安全更新管理,可防范约 80% 的常见网络攻击。
两级认证
提供基础 Cyber Essentials(自我评估问卷)与 Cyber Essentials Plus(由具备资格的评估员进行现场技术验证)。
政府强制要求
对于涉及处理个人信息或提供某些 ICT 产品与服务的英国政府合同,Cyber Essentials 为强制要求。
list_alt 五项技术控制
- 防火墙——边界防护与配置
- 安全配置——默认设置与加固
- 用户访问控制——最小权限与 MFA
- 恶意软件防护——反恶意软件与应用白名单
- 安全更新管理——14 天内打补丁
- 云服务配置与安全
- 口令策略与多因素身份验证
谁需要合规?
所有希望具备基本网络安全水平的英国组织,以及任何投标涉及敏感数据或 ICT 服务的英国政府合同的组织。适用于各种规模的组织。
关键要求
边界防火墙与互联网网关
在所有联网设备上配置防火墙。仅允许访问必要的网络服务,且必须更改网络设备上的默认口令。
安全配置
移除或禁用不必要的软件、服务和用户账户。更改默认口令,确保设备的配置能减少漏洞。
用户访问控制
控制对数据和服务的访问权限。实施最小权限原则,要求使用唯一的用户账户,并在可能时强制启用多因素身份验证。
恶意软件防护
在所有端点部署反恶意软件,配置自动更新,并实施应用白名单或沙箱以防止恶意软件的执行。
安全更新管理
在发布后 14 天内安装严重和高风险安全补丁。移除不受支持的软件,确保所有设备运行受支持的操作系统。
实施路线图
准备范围和资产边界
定义范围内的组织、网络、云服务、终端设备、服务器、移动设备和用户组。指定自评问卷负责人,并收集设备、账户、互联网暴露服务和云管理证据。
按五项控制做差距分析
依据当前 NCSC 要求审查防火墙、安全配置、用户访问控制、恶意软件防护和安全更新管理。识别不受支持的软件、弱密码、缺失 MFA、暴露服务和补丁差距。
实施技术修复
加固设备和云服务,移除不必要账户和软件,启用 MFA,限制管理员权限,部署恶意软件防护,并让补丁符合要求期限。提交评估前重新测试高风险互联网资产。
认证并保持准备状态
提交 Cyber Essentials 验证自评,或完成 Cyber Essentials Plus 技术验证。维护设备清单、补丁节奏、访问审查和配置检查,使续证不变成临时整改项目。
合规检查清单
checklist 范围与配置
checklist 访问与恶意软件防护
checklist 补丁与续证运营
Cyber Essentials 与 Cyber Essentials Plus、ISO 27001 对比
这些方案主要在评估深度和管理体系范围上不同。
| 方面 | Cyber Essentials | Cyber Essentials Plus | ISO 27001 |
|---|---|---|---|
| 评估方式 | 经验证的自评 | 评估员技术测试 | 独立认证审核 |
| 控制范围 | 五项技术控制 | 同五项控制并进行动手验证 | 基于风险的 ISMS 和 Annex A 控制 |
| 有效期 | 12 个月 | 12 个月 | 三年周期并有监督审核 |
| 最适合 | 基线客户或合同保证 | 对技术实施有更高信心 | 企业级安全治理 |
常见误区
Cyber Essentials 证明组织能抵御所有攻击。
它证明组织具备应对常见攻击的基线控制,而不是完整安全成熟度。
问卷只是文书工作。
答案必须反映真实技术环境,Cyber Essentials Plus 还会测试控制是否实际有效。
云安全完全由提供商负责。
客户仍负责用户访问、MFA、配置、数据处理和许多管理控制。
处罚与执行
未认证无直接法律处罚。然而,未获得 Cyber Essentials 认证的组织无资格承接涉及个人数据的英国政府合同。失去认证还可能提高网络保险费并降低客户信任。
常见问题解答
Cyber Essentials 五项控制是什么?
expand_more
五项控制是防火墙、安全配置、用户访问控制、恶意软件防护和安全更新管理。它们旨在范围内环境一致实施时阻止常见互联网攻击。
Cyber Essentials 和 Cyber Essentials Plus 有何区别?
expand_more
Cyber Essentials 是经验证的自评问卷。Cyber Essentials Plus 使用同一组控制,但增加评估员对抽样设备和服务的动手技术测试。
Cyber Essentials 是强制性的吗?
expand_more
它对部分英国政府合同是强制的,尤其是供应商处理个人信息或提供某些 ICT 产品和服务时。许多私营客户也把它作为基线保证要求。
认证有效期多久?
expand_more
Cyber Essentials 认证有效期为 12 个月。组织应全年维护证据和控制卫生,因为续证需要当前答案,而不是去年的配置。
云服务是否在范围内?
expand_more
是。存储、处理或管理组织数据的云服务在范围内。组织必须考虑云用户访问、MFA、管理角色、安全配置和客户自有责任。
补丁要求是什么?
expand_more
范围内软件必须受支持,高危或严重安全更新必须在要求期限内应用。不受支持的软件应移除、隔离或替换。
小企业能使用 Cyber Essentials 吗?
expand_more
可以。该计划本来就是面向各种规模组织的实用基线。小企业通常受益于五项具体、可测试且客户易懂的控制。
Cyber Essentials 会替代 ISO 27001 吗?
expand_more
不会。Cyber Essentials 是聚焦的技术基线,ISO 27001 是完整的信息安全管理体系。它可以作为更广泛 ISMS 的第一步或支持证据。