Cyber Essentials (UK) vs. ISO 27001

Woran liegt es, dass es selbst in Europa mehrere Varianten der Zertifizierung gibt, um als sicheres Unternehmen zu gelten? Wie kann man den Überblick behalten? Werfen wir einen Blick auf das Vereinigte Königreich....

Was ist der Unterschied zwischen den britischen Cyber Essentials und der internationalen Norm ISO 27001?

Der Unterschied zwischen Cyber Essentials und ISO 27001

Cyber Essentials ist ein britisches Zertifizierungssystem, mit dem nachgewiesen werden soll, dass eine Organisation über ein Mindestmaß an Cybersicherheit verfügt. Dies geschieht durch jährliche Bewertungen, um die Zertifizierung aufrechtzuerhalten. Cyber Essentials wurde vom National Cyber Security Centre (NCSC) entwickelt, das von der britischen Regierung unterstützt und ebenfalls vom NCSC beaufsichtigt wird. Es ist die Antwort der britischen Regierung auf einen sichereren Cyberspace für Unternehmen aller Größen und Branchen.

Cyber Essentials ist ebenfalls ein von der Industrie unterstütztes Programm, das Unternehmen dabei helfen soll, sich vor Cyberangriffen zu schützen, und das eine klare Liste der grundlegenden Kontrollen enthält, die Unternehmen zu ihrem Schutz einrichten sollten.

Außerdem wird deutlich, dass die Cyber Essentials-Zertifizierung es Unternehmen ermöglicht, sich als vertrauenswürdig und sicher im Bereich der Cybersicherheit zu präsentieren. Die Unternehmen haben also nachweislich Maßnahmen ergriffen, um sensible Informationen wie Finanz- und Kundendaten vor den häufigsten Cyberangriffen zu schützen. Klingt vertraut, oder? Warum also nicht ISO 27001, denn ISO 27001 ist der international anerkannte Standard für Informationssicherheit.

Im Detail: Cyber Essentials ist eine Basiszertifizierung, die eine Erklärung zu den grundlegenden Kontrollen liefert, die Ihr Unternehmen einrichten sollte, um das Risiko gängiger Cyber-Bedrohungen zu mindern. Cyber Essentials BASIC ist eine Selbstzertifizierung. Das bedeutet, dass Sie aufgefordert werden, einen Fragebogen zu beantworten (mit entsprechenden Unterlagen). Der Antrag wird von IASME (Information Assurance for Small and Medium Enterprises Consortium) geprüft. IASME ist seit dem 1. April 2020 der Cyber Essentials Partner des Nationalen Zentrums für Cybersicherheit und für die Umsetzung des Systems verantwortlich. IASME Governance ist ein Informationssicherheitsstandard, der besonders für KMU relevant ist, die ihr Engagement für die Cybersicherheit nachweisen wollen, ohne die Kosten und die Komplexität einer ISO 27001-Zertifizierung auf sich nehmen zu müssen. Der Standard erfüllt auch bestimmte GDPR-Anforderungen.

Cyber Essential PLUS ist wie ein Upgrade, es hat immer noch den einfachen Ansatz von Cyber Essentials, und die Schutzmaßnahmen, die Sie ergreifen müssen, sind die gleichen, aber dieses Mal führt ein Prüfer ein technisches Audit Ihrer Systeme durch, um zu überprüfen, ob die Cyber Essentials-Kontrollen vorhanden sind.

Cyber Essentials ist ein effektives, von der Regierung unterstütztes Mindeststandardprogramm, das Organisationen dabei hilft, ihre Daten und Programme vor Cyberangriffen jeder Art und Größe zu schützen. Es hat eine Laufzeit von 12 Monaten und ist, wie ISO 27001, nicht für jeden verpflichtend.

‍

ISO 27001 hingegen unterstützt Unternehmen, die den internationalen Standard für Informationssicherheit einhalten wollen.

Die Zertifizierung legt fest, was eine Organisation tun muss, um ein Informationssicherheitssystem einzurichten, zu implementieren, zu pflegen und kontinuierlich zu verbessern.

An dieser Stelle empfehlen wir Ihnen die Lektüre unseres Cybersecurity vs. Informationssicherheit Blog um den Unterschied zwischen diesen beiden Zertifizierungen zu verstehen!

‍

Bei der Zertifizierung nach ISO 27001 werden alle Informationen berücksichtigt, unabhängig davon, ob es sich um Papier, Informationssysteme oder digitale Medien handelt. Sie ist eine umfassende Bewertung der Fähigkeit einer gesamten Organisation, Informationen in allen Zusammenhängen sicher zu verwalten. Cyber Essentials hingegen schützt IT-Infrastrukturdaten, wie Programme in Netzwerken, Computer, Server und andere Elemente der IT-Infrastruktur.

Vermeidung von Cyberangriffen vs. Aufbau eines vollständigen Informationssicherheitssystems. Etwas, worüber man nachdenken sollte.  

Daher entscheiden sich viele Organisationen für die Zertifizierung nach ISO 27001, weil sie von den in den Normen enthaltenen bewährten Verfahren profitieren können. Kunden und Auftraggeber können daher sicher sein, dass die Empfehlungen der Norm befolgt werden.

ISO 27001 bietet den Rahmen für die Verwaltung der Informationssicherheit

Obwohl ISO 27001 mehr Sicherheitselemente enthält als Cyber Essentials, sind Organisationen nicht verpflichtet, ISO 27001 zu haben, wenn sie mit dem öffentlichen Sektor Großbritanniens arbeiten. Auch wenn Cyber Essentials und ISO 27001 unterschiedliche Anforderungen haben, sollten beide als Ergänzung und nicht als Konkurrenz betrachtet werden.