verified_user
Standardful
首頁chevron_right標準chevron_rightCyber Essentials
現行有效國際標準update 標準更新:2025年4月fact_check 事實核查:2026年6月28日

Cyber Essentials

英國政府支持的網路安全認證計畫

apartment發布組織:英國國家網路安全中心(NCSC)

標準簡介

Cyber Essentials 是由英國國家網路安全中心(NCSC)開發的、英國政府支持的網路安全認證計畫。該計畫於 2014 年 6 月推出,為組織提供了清晰、實用的框架來防範最常見的網路威脅。該計畫聚焦於五項技術控制措施,正確實施後可預防約 80% 的網路攻擊。

該計畫提供兩個認證級別:Cyber Essentials(經驗證的自我評估問卷)和 Cyber Essentials Plus(由認可認證機構執行的實際技術驗證)。認證有效期為 12 個月,由 IASME 作為 NCSC 的官方交付合作夥伴管理,英國全境擁有超過 400 家認可認證機構。自 2014 年 10 月起,Cyber Essentials 已成為涉及處理個人資訊或提供 ICT 產品和服務的英國政府合約的強制要求。

shield

五項技術控制

透過五項關鍵控制——防火牆、安全組態、使用者存取控制、惡意軟體防護與安全更新管理,可防禦約 80% 的常見網路攻擊。

workspace_premium

兩級認證

提供基礎 Cyber Essentials(自我評估問卷)與 Cyber Essentials Plus(由具備資格之評估員進行現場技術驗證)。

gavel

政府強制要求

對於涉及處理個人資料或提供特定 ICT 產品與服務之英國政府合約,Cyber Essentials 為強制要求。

list_alt 五項技術控制

  • 防火牆——邊界防護與組態
  • 安全組態——預設設定與強化
  • 使用者存取控制——最小權限與 MFA
  • 惡意軟體防護——反惡意軟體與應用程式白名單
  • 安全更新管理——14 天內修補
  • 雲端服務組態與安全
  • 密碼政策與多因素驗證

誰需要合規?

groups

所有希望達成基本網路安全水準之英國組織,以及任何投標涉及敏感資料或 ICT 服務之英國政府合約之組織。適用於各種規模之組織。

關鍵要求

1

邊界防火牆與網際網路閘道

於所有連上網際網路之裝置設定防火牆。僅允許存取必要之網路服務,且網路設備上之預設密碼必須變更。

2

安全組態

移除或停用不必要之軟體、服務及使用者帳戶。變更預設密碼並確保裝置之組態能降低漏洞。

3

使用者存取控制

控制對資料與服務之存取。實施最小權限原則、要求使用唯一之使用者帳戶,並於可行時強制啟用多因素驗證。

4

惡意軟體防護

於所有端點部署反惡意軟體、設定自動更新,並實施應用程式白名單或沙箱以防止惡意軟體之執行。

5

安全更新管理

於發布後 14 天內套用嚴重與高風險安全修補程式。移除不再支援之軟體,並確保所有裝置執行受支援之作業系統。

實施路線圖

1
階段 1schedule 預計週期: 1-2 周

准备範圍和資產邊界

定義範圍内的組織、網路、雲端服務、終端設備、服務器、行動裝置和使用者组。指定自評問卷負責人,并收集设备、帳戶、網際網路暴露服務和雲端管理證據。

2
階段 2schedule 預計週期: 1-3 周

按五项控制做差距分析

依据目前 NCSC 要求審查防火牆、安全組態、使用者存取控制、惡意軟體防护和安全更新管理。識別不受支援的軟體、弱密碼、缺失 MFA、暴露服務和修補程式差距。

3
階段 3schedule 預計週期: 2-6 周

實施技術修復

強化设备和雲端服務,移除不必要帳戶和軟體,啟用 MFA,限制管理員權限,部署惡意軟體防护,并让修補程式符合要求期限。提交評估前重新測試高風險網際網路資產。

4
階段 4schedule 預計週期: 年度續證

認證并保持准备狀態

提交 Cyber Essentials 驗證自評,或完成 Cyber Essentials Plus 技術驗證。維護设备清單、修補程式節奏、存取審查和組態檢查,使續證不变成臨時整改專案。

合規檢查清單

0 / 12

checklist 範圍与組態

checklist 存取与惡意軟體防护

checklist 修補程式与續證營運

Cyber Essentials 与 Cyber Essentials Plus、ISO 27001 对比

这些方案主要在評估深度和管理體系範圍上不同。

方面Cyber EssentialsCyber Essentials PlusISO 27001
評估方式经驗證的自評評估员技術測試獨立認證稽核
控制範圍五项技術控制同五项控制并進行實作驗證基于風險的 ISMS 和 Annex A 控制
有效期12 个月12 个月三年周期并有監督稽核
最适合基準客戶或合約保证对技術實施有更高信心企業級安全治理

常見誤區

cancel
誤區

Cyber Essentials 證明組織能抵御所有攻击。

check_circle
事實

它證明組織具备应对常见攻击的基準控制,而不是完整安全成熟度。

cancel
誤區

問卷只是文書工作。

check_circle
事實

答案必须反映真實技術环境,Cyber Essentials Plus 还会測試控制是否實際有效。

cancel
誤區

雲端安全完全由提供者負責。

check_circle
事實

客戶仍負責使用者存取、MFA、組態、資料處理和许多管理控制。

處罰與執行

warning

未取得認證無直接法律罰則。惟未取得 Cyber Essentials 認證之組織無資格投標涉及個人資料之英國政府合約。失去認證亦可能提高網路保險費並降低客戶信任。

常見問題解答

Cyber Essentials 五项控制是什么?

expand_more

五项控制是防火牆、安全組態、使用者存取控制、惡意軟體防护和安全更新管理。它们旨在範圍内环境一致實施时阻止常见網際網路攻击。

Cyber Essentials 和 Cyber Essentials Plus 有何差異?

expand_more

Cyber Essentials 是经驗證的自評問卷。Cyber Essentials Plus 使用同一组控制,但增加評估员对抽样设备和服務的實作技術測試。

Cyber Essentials 是強制性的吗?

expand_more

它对部分英国政府合約是強制的,尤其是供應商處理个人資訊或提供某些 ICT 產品和服務时。许多民營客戶也把它作为基準保证要求。

認證有效期多久?

expand_more

Cyber Essentials 認證有效期为 12 个月。組織应全年維護證據和控制卫生,因为續證需要目前答案,而不是去年的組態。

雲端服務是否在範圍内?

expand_more

是。存储、處理或管理組織資料的雲端服務在範圍内。組織必须考虑雲端使用者存取、MFA、管理角色、安全組態和客戶自有責任。

修補程式要求是什么?

expand_more

範圍内軟體必须受支援,高危或严重安全更新必须在要求期限内應用。不受支援的軟體应移除、隔离或替换。

小企業能使用 Cyber Essentials 吗?

expand_more

可以。该计划本来就是面向各種規模組織的实用基準。小企業通常受益于五项具體、可測試且客戶易懂的控制。

Cyber Essentials 会替代 ISO 27001 吗?

expand_more

不會。Cyber Essentials 是聚焦的技術基準,ISO 27001 是完整的資訊安全管理體系。它可以作为更廣泛 ISMS 的第一步或支援證據。

官方文件

查看全部

實施時間線

rocket_launch
2014年6月
Cyber Essentials scheme launched by UK government
gavel
2014年10月
Made mandatory for UK government contracts involving sensitive data
update
2022年1月
Major update: requirements v3.0 with cloud services and MFA requirements
description
2023年4月
Requirements v3.1 published with enhanced guidance
security
2025年4月
Requirements v3.2 with updated cloud, MFA, and password management controls

相關分類