verified_user
Standardful
首页chevron_right标准chevron_rightCyber Essentials
有效国际标准update 标准更新:2025年4月fact_check 事实核查:2026年6月28日

Cyber Essentials

英国政府支持的网络安全认证计划

apartment发布组织:英国国家网络安全中心(NCSC)

标准简介

Cyber Essentials 是英国政府支持、由英国国家网络安全中心(NCSC)制定的网络安全认证计划,旨在帮助组织防范最常见的网络威胁。该计划分为两个级别:Cyber Essentials(自我评估问卷,由认证机构验证)和 Cyber Essentials Plus(包含动手技术验证,由授权审核员进行外部测试)。自 2014 年推出以来,Cyber Essentials 已成为英国政府合同的强制要求——所有涉及处理敏感和个人信息的政府合同都要求供应商持有 Cyber Essentials 认证。

Cyber Essentials 聚焦于五项基本安全控制:防火墙(在互联网和内部网络之间建立安全边界)、安全配置(确保设备使用安全设置进行配置)、用户访问控制(控制谁有权访问数据和服务)、恶意软件防护(防范病毒和其他恶意软件)和安全更新管理(保持设备和软件更新)。IASME 联盟是 NCSC 指定的 Cyber Essentials 计划合作伙伴,负责管理认证机构网络。认证有效期为 12 个月,需每年续期。虽然该计划起源于英国,但任何地区的组织都可以申请认证。Cyber Essentials Plus 还包括对外部攻击面的漏洞扫描和内部配置审查,提供更高水平的安全保证。

shield

五项技术控制

通过五项关键控制——防火墙、安全配置、用户访问控制、恶意软件防护和安全更新管理,可防范约 80% 的常见网络攻击。

workspace_premium

两级认证

提供基础 Cyber Essentials(自我评估问卷)与 Cyber Essentials Plus(由具备资格的评估员进行现场技术验证)。

gavel

政府强制要求

对于涉及处理个人信息或提供某些 ICT 产品与服务的英国政府合同,Cyber Essentials 为强制要求。

list_alt 五项技术控制

  • 防火墙——边界防护与配置
  • 安全配置——默认设置与加固
  • 用户访问控制——最小权限与 MFA
  • 恶意软件防护——反恶意软件与应用白名单
  • 安全更新管理——14 天内打补丁
  • 云服务配置与安全
  • 口令策略与多因素身份验证

谁需要合规?

groups

所有希望具备基本网络安全水平的英国组织,以及任何投标涉及敏感数据或 ICT 服务的英国政府合同的组织。适用于各种规模的组织。

关键要求

1

边界防火墙与互联网网关

在所有联网设备上配置防火墙。仅允许访问必要的网络服务,且必须更改网络设备上的默认口令。

2

安全配置

移除或禁用不必要的软件、服务和用户账户。更改默认口令,确保设备的配置能减少漏洞。

3

用户访问控制

控制对数据和服务的访问权限。实施最小权限原则,要求使用唯一的用户账户,并在可能时强制启用多因素身份验证。

4

恶意软件防护

在所有端点部署反恶意软件,配置自动更新,并实施应用白名单或沙箱以防止恶意软件的执行。

5

安全更新管理

在发布后 14 天内安装严重和高风险安全补丁。移除不受支持的软件,确保所有设备运行受支持的操作系统。

实施路线图

1
阶段 1schedule 预计周期: 1-2 周

准备范围和资产边界

定义范围内的组织、网络、云服务、终端设备、服务器、移动设备和用户组。指定自评问卷负责人,并收集设备、账户、互联网暴露服务和云管理证据。

2
阶段 2schedule 预计周期: 1-3 周

按五项控制做差距分析

依据当前 NCSC 要求审查防火墙、安全配置、用户访问控制、恶意软件防护和安全更新管理。识别不受支持的软件、弱密码、缺失 MFA、暴露服务和补丁差距。

3
阶段 3schedule 预计周期: 2-6 周

实施技术修复

加固设备和云服务,移除不必要账户和软件,启用 MFA,限制管理员权限,部署恶意软件防护,并让补丁符合要求期限。提交评估前重新测试高风险互联网资产。

4
阶段 4schedule 预计周期: 年度续证

认证并保持准备状态

提交 Cyber Essentials 验证自评,或完成 Cyber Essentials Plus 技术验证。维护设备清单、补丁节奏、访问审查和配置检查,使续证不变成临时整改项目。

合规检查清单

0 / 12

checklist 范围与配置

checklist 访问与恶意软件防护

checklist 补丁与续证运营

Cyber Essentials 与 Cyber Essentials Plus、ISO 27001 对比

这些方案主要在评估深度和管理体系范围上不同。

方面Cyber EssentialsCyber Essentials PlusISO 27001
评估方式经验证的自评评估员技术测试独立认证审核
控制范围五项技术控制同五项控制并进行动手验证基于风险的 ISMS 和 Annex A 控制
有效期12 个月12 个月三年周期并有监督审核
最适合基线客户或合同保证对技术实施有更高信心企业级安全治理

常见误区

cancel
误区

Cyber Essentials 证明组织能抵御所有攻击。

check_circle
事实

它证明组织具备应对常见攻击的基线控制,而不是完整安全成熟度。

cancel
误区

问卷只是文书工作。

check_circle
事实

答案必须反映真实技术环境,Cyber Essentials Plus 还会测试控制是否实际有效。

cancel
误区

云安全完全由提供商负责。

check_circle
事实

客户仍负责用户访问、MFA、配置、数据处理和许多管理控制。

处罚与执行

warning

未认证无直接法律处罚。然而,未获得 Cyber Essentials 认证的组织无资格承接涉及个人数据的英国政府合同。失去认证还可能提高网络保险费并降低客户信任。

常见问题解答

Cyber Essentials 五项控制是什么?

expand_more

五项控制是防火墙、安全配置、用户访问控制、恶意软件防护和安全更新管理。它们旨在范围内环境一致实施时阻止常见互联网攻击。

Cyber Essentials 和 Cyber Essentials Plus 有何区别?

expand_more

Cyber Essentials 是经验证的自评问卷。Cyber Essentials Plus 使用同一组控制,但增加评估员对抽样设备和服务的动手技术测试。

Cyber Essentials 是强制性的吗?

expand_more

它对部分英国政府合同是强制的,尤其是供应商处理个人信息或提供某些 ICT 产品和服务时。许多私营客户也把它作为基线保证要求。

认证有效期多久?

expand_more

Cyber Essentials 认证有效期为 12 个月。组织应全年维护证据和控制卫生,因为续证需要当前答案,而不是去年的配置。

云服务是否在范围内?

expand_more

是。存储、处理或管理组织数据的云服务在范围内。组织必须考虑云用户访问、MFA、管理角色、安全配置和客户自有责任。

补丁要求是什么?

expand_more

范围内软件必须受支持,高危或严重安全更新必须在要求期限内应用。不受支持的软件应移除、隔离或替换。

小企业能使用 Cyber Essentials 吗?

expand_more

可以。该计划本来就是面向各种规模组织的实用基线。小企业通常受益于五项具体、可测试且客户易懂的控制。

Cyber Essentials 会替代 ISO 27001 吗?

expand_more

不会。Cyber Essentials 是聚焦的技术基线,ISO 27001 是完整的信息安全管理体系。它可以作为更广泛 ISMS 的第一步或支持证据。

官方文档

查看全部

实施时间线

rocket_launch
2014年6月
Cyber Essentials scheme launched by UK government
gavel
2014年10月
Made mandatory for UK government contracts involving sensitive data
update
2022年1月
Major update: requirements v3.0 with cloud services and MFA requirements
description
2023年4月
Requirements v3.1 published with enhanced guidance
security
2025年4月
Requirements v3.2 with updated cloud, MFA, and password management controls

相关分类