標準簡介
Cyber Essentials 是由英國國家網路安全中心(NCSC)開發的、英國政府支持的網路安全認證計畫。該計畫於 2014 年 6 月推出,為組織提供了清晰、實用的框架來防範最常見的網路威脅。該計畫聚焦於五項技術控制措施,正確實施後可預防約 80% 的網路攻擊。
該計畫提供兩個認證級別:Cyber Essentials(經驗證的自我評估問卷)和 Cyber Essentials Plus(由認可認證機構執行的實際技術驗證)。認證有效期為 12 個月,由 IASME 作為 NCSC 的官方交付合作夥伴管理,英國全境擁有超過 400 家認可認證機構。自 2014 年 10 月起,Cyber Essentials 已成為涉及處理個人資訊或提供 ICT 產品和服務的英國政府合約的強制要求。
五項技術控制
透過五項關鍵控制——防火牆、安全組態、使用者存取控制、惡意軟體防護與安全更新管理,可防禦約 80% 的常見網路攻擊。
兩級認證
提供基礎 Cyber Essentials(自我評估問卷)與 Cyber Essentials Plus(由具備資格之評估員進行現場技術驗證)。
政府強制要求
對於涉及處理個人資料或提供特定 ICT 產品與服務之英國政府合約,Cyber Essentials 為強制要求。
list_alt 五項技術控制
- 防火牆——邊界防護與組態
- 安全組態——預設設定與強化
- 使用者存取控制——最小權限與 MFA
- 惡意軟體防護——反惡意軟體與應用程式白名單
- 安全更新管理——14 天內修補
- 雲端服務組態與安全
- 密碼政策與多因素驗證
誰需要合規?
所有希望達成基本網路安全水準之英國組織,以及任何投標涉及敏感資料或 ICT 服務之英國政府合約之組織。適用於各種規模之組織。
關鍵要求
邊界防火牆與網際網路閘道
於所有連上網際網路之裝置設定防火牆。僅允許存取必要之網路服務,且網路設備上之預設密碼必須變更。
安全組態
移除或停用不必要之軟體、服務及使用者帳戶。變更預設密碼並確保裝置之組態能降低漏洞。
使用者存取控制
控制對資料與服務之存取。實施最小權限原則、要求使用唯一之使用者帳戶,並於可行時強制啟用多因素驗證。
惡意軟體防護
於所有端點部署反惡意軟體、設定自動更新,並實施應用程式白名單或沙箱以防止惡意軟體之執行。
安全更新管理
於發布後 14 天內套用嚴重與高風險安全修補程式。移除不再支援之軟體,並確保所有裝置執行受支援之作業系統。
實施路線圖
准备範圍和資產邊界
定義範圍内的組織、網路、雲端服務、終端設備、服務器、行動裝置和使用者组。指定自評問卷負責人,并收集设备、帳戶、網際網路暴露服務和雲端管理證據。
按五项控制做差距分析
依据目前 NCSC 要求審查防火牆、安全組態、使用者存取控制、惡意軟體防护和安全更新管理。識別不受支援的軟體、弱密碼、缺失 MFA、暴露服務和修補程式差距。
實施技術修復
強化设备和雲端服務,移除不必要帳戶和軟體,啟用 MFA,限制管理員權限,部署惡意軟體防护,并让修補程式符合要求期限。提交評估前重新測試高風險網際網路資產。
認證并保持准备狀態
提交 Cyber Essentials 驗證自評,或完成 Cyber Essentials Plus 技術驗證。維護设备清單、修補程式節奏、存取審查和組態檢查,使續證不变成臨時整改專案。
合規檢查清單
checklist 範圍与組態
checklist 存取与惡意軟體防护
checklist 修補程式与續證營運
Cyber Essentials 与 Cyber Essentials Plus、ISO 27001 对比
这些方案主要在評估深度和管理體系範圍上不同。
| 方面 | Cyber Essentials | Cyber Essentials Plus | ISO 27001 |
|---|---|---|---|
| 評估方式 | 经驗證的自評 | 評估员技術測試 | 獨立認證稽核 |
| 控制範圍 | 五项技術控制 | 同五项控制并進行實作驗證 | 基于風險的 ISMS 和 Annex A 控制 |
| 有效期 | 12 个月 | 12 个月 | 三年周期并有監督稽核 |
| 最适合 | 基準客戶或合約保证 | 对技術實施有更高信心 | 企業級安全治理 |
常見誤區
Cyber Essentials 證明組織能抵御所有攻击。
它證明組織具备应对常见攻击的基準控制,而不是完整安全成熟度。
問卷只是文書工作。
答案必须反映真實技術环境,Cyber Essentials Plus 还会測試控制是否實際有效。
雲端安全完全由提供者負責。
客戶仍負責使用者存取、MFA、組態、資料處理和许多管理控制。
處罰與執行
未取得認證無直接法律罰則。惟未取得 Cyber Essentials 認證之組織無資格投標涉及個人資料之英國政府合約。失去認證亦可能提高網路保險費並降低客戶信任。
常見問題解答
Cyber Essentials 五项控制是什么?
expand_more
五项控制是防火牆、安全組態、使用者存取控制、惡意軟體防护和安全更新管理。它们旨在範圍内环境一致實施时阻止常见網際網路攻击。
Cyber Essentials 和 Cyber Essentials Plus 有何差異?
expand_more
Cyber Essentials 是经驗證的自評問卷。Cyber Essentials Plus 使用同一组控制,但增加評估员对抽样设备和服務的實作技術測試。
Cyber Essentials 是強制性的吗?
expand_more
它对部分英国政府合約是強制的,尤其是供應商處理个人資訊或提供某些 ICT 產品和服務时。许多民營客戶也把它作为基準保证要求。
認證有效期多久?
expand_more
Cyber Essentials 認證有效期为 12 个月。組織应全年維護證據和控制卫生,因为續證需要目前答案,而不是去年的組態。
雲端服務是否在範圍内?
expand_more
是。存储、處理或管理組織資料的雲端服務在範圍内。組織必须考虑雲端使用者存取、MFA、管理角色、安全組態和客戶自有責任。
修補程式要求是什么?
expand_more
範圍内軟體必须受支援,高危或严重安全更新必须在要求期限内應用。不受支援的軟體应移除、隔离或替换。
小企業能使用 Cyber Essentials 吗?
expand_more
可以。该计划本来就是面向各種規模組織的实用基準。小企業通常受益于五项具體、可測試且客戶易懂的控制。
Cyber Essentials 会替代 ISO 27001 吗?
expand_more
不會。Cyber Essentials 是聚焦的技術基準,ISO 27001 是完整的資訊安全管理體系。它可以作为更廣泛 ISMS 的第一步或支援證據。