Login

  • CyberSeal -
    das Gütesiegel

    Das CyberSeal bestätigt, dass ein IT-Dienstleister geeignete technische und organisatorische Massnahmen umsetzt, um seinen Kunden einen angemessenen Schutz vor Cyberrisiken zu gewährleisten. Das CyberSeal leistet einen Beitrag zur Erhöhung der Cyber-Resilienz der Schweizer KMU.

    logo-cyberseal-deutsch-startseite

Für wen ist das Schweizer Güte­siegel CyberSeal geeignet?

IT-Dienstleister mit Sitz und Kundenbasis in der Schweiz können das CyberSeal erhalten, wenn sie im Auftrag von KMU Kunden die Gesamt- oder Teilverantwortung für das Setup und den Betrieb der IT übernehmen und/oder Cloudlösungen (Bsp. Microsoft 365) konfigurieren und zur Verfügung stellen.

Mehrwert für den IT-Dienstleister

Grafik zur Reduktion von Risiken

Reduktion der Implementierungs-, Betriebs- und Sicherheitsrisiken

Grafik zur IT-Diensleister-Sensibilisierung

Cyberkriminalität Sensibilisierung und Etablierung einer gemeinsamen Sprache

Grafik zur IT-Dienstleister Vertrauen

Erfüllung der minimalen IT-Sicherheits-Anforderungen schafft Vertrauen

Grafik zur IT-Diensleister Markposition

Bessere Marktposition und Vorteile bei Versicherungsabschlüssen

Mehrwert für den Kunden

Grafik Endkunden Cyberattacken

Reduktion der Risiken bezüglich Cyberattacken

Grafik Endkunden Vorteile

Weniger Vorfälle, schnellere Behebung, tiefere Kosten im Ereignisfall

Grafik zur Wahl des Dienstleisters

Unabhängiges Gütesiegel vereinfacht die Wahl des IT-Dienstleisters

Grafik zum Endkunden Fokus

Stärkere Fokussierung auf das Kerngeschäft 

CyberSeal - Inhalte des Standards

Die IT-Dienstleister haben einen unmittelbaren Einfluss auf die Cyberresilienz der KMU. Es ist darum zwingend erforderlich, dass die IT-Dienstleister grundlegende Kompetenzen in folgenden Bereichen nachweisen können: 

  • Organisation: z.B. Dokumentation, Aufgabenteilung, Ausbildung

  • Technik: z.B. Schutz der Daten, Berechtigungen, Backup

  • Prozesse: z.B. Change und Incident Management, Monitoring

Die detaillierten Audit Kontrollpunkte und Prozesse richten sich nach dem gültigen CyberSeal Audit Handbuch der Allianz Digitale Sicherheit Schweiz. 

Prüfungs- und Nutzungsbedingungen
Inhalte des CyberSeal Standards

Der CyberSeal Audit-Prozess

Der Prozess durchläuft einen dreijährigen Zyklus. Im Jahr eins erfolgt ein umfassendes CyberSeal Audit. In den Jahren zwei und drei dient je ein Aufrechterhaltungsaudit der Qualitätskontrolle. Im Jahr vier erfolgt mit einem umfassenden Audit der Prozess wieder von Neuem.

(1) Interesse

Bei Interesse meldet sich der IT-Dienstleister mittels Formulars an. Er erhält die aktuelle CyberSeal Prüfliste zugestellt. Ein Termin für das Audit wird vereinbart.

(2) Selbstdeklaration

Er ist aufgefordert, in einer Selbstdeklaration alle Punkte der Prüfliste, den Gegebenheiten entsprechend, auszufüllen und einzureichen.

(3) Audit

Der Auditor prüft im Interview und an der Konsole (vertiefte Prüfung vor Ort) die Kontrollpunkte. Auf die mit Selbstdeklaration gekennzeichneten Fragen geht er nur bei Klärungsbedarf ein.

(4) Feedback

Sind keine Hauptabweichungen aufgetreten, wird das Gütesiegel zusammen mit dem Auditbericht ausgehändigt.

(5) Umsetzung

Massnahmen zur Behebung von Abweichungen und zur Bearbeitung von Hinweisen sind innerhalb Jahresfrist umzusetzen. Dies wird im Aufrechterhaltungsaudit überprüft.

(6) Aufrechterhaltung

In den Jahren zwei und drei nach dem Audit erfolgt ein Aufrechterhaltungsaudit durch Selbstdeklaration. Die Prüfliste ist aktualisiert einzureichen. Der Auditor prüft die Angaben und diskutiert telefonisch allfällige Neuerungen am Standard.

CyberSeal Audit Handbuch

CyberSeal Audit Handbuch

Die CyberSeal Audit Anforderungen werden jährlich überprüft und mit neuen Bedrohungslage abgeglichen. Das Handbuch beschreibt die Anwendung der CyberSeal Prüfliste, die verwendeten Begriffe und den Ablauf des Audits. Zudem werden die Anforderungen und der Umgang mit möglichen Abweichungen erklärt.

CyberSeal Audithandbuch

 

CyberSeal Prüfliste

CyberSeal Prüfliste

Die CyberSeal Prüfliste definiert die Anforderungen an den IT-Dienstleister und ist der definierte Standard für das Gütesiegel. Die präzisen Vorgaben sollen die Einheitlichkeit des Audits fördern. Für die Selbstdeklaration wird dem IT-Dienstleistern die aktuelle Prüfliste zur Verfügung gestellt, welche in 26 Kapitel aufgeteilt ist.

CyberSeal Prüfliste

 

CyberSeal Audit Bericht

CyberSeal Audit Bericht

Diesen Bericht erhält der IT-Dienstleister nach dem Audit. Der Bericht beschreibt die Ergebnisse des bestandenen oder nicht bestandenen Audits. Der Bericht zeigt Haupt- und Nebenabweichungen sowie Hinweise und Empfehlungen zur Verbesserung der Cybersecurity auf.

Umgang mit Abweichungen, Hinweisen
und Empfehlungen

Hauptabweichung:  kein CyberSeal 

Eine Hauptabweichung liegt vor, wenn bei einem Punkt der Checkliste, der mit Priorität 1 gekennzeichnet ist, eine Anforderung nicht erfüllt ist.

Umgang mit Hauptabweichungen
Der IT-Dienstleister hat 3 Monate Zeit, um die Hauptabweichung zu beheben. Nach Ablauf der Frist beurteilt der Auditor die Behebung. Für diese Überprüfung wird eine zusätzliche Gebühr von CHF 600 erhoben. Bei ungenügender Behebung der Hauptabweichung wird kein CyberSeal ausgestellt und der Prozess muss neu gestartet werden.

Nebenabweichung

Wenn bei einem Punkt der Checkliste mit der Priorität 1 eine Anforderung nur teilweise erfüllt ist, führt dies zu einer Nebenabweichung.

Umgang mit Nebenabweichungen
Die Nebenabweichung muss vom IT-Dienstleister bis zum nächsten Aufrechterhaltungsaudit bearbeitet werden. Die Abweichung wird dann überprüft. Eine deutlich erkennbare Verbesserung muss umgesetzt worden sein. Eine nicht vollständige Erfüllung der Anforderung kann für das nächste Audit / Aufrechterhaltungsaudit erneut als Nebenabweichung deklariert werden.

Hinweise und Empfehlungen

Hinweise sind Feststellungen des Auditors, die die Cyber-Sicherheit des IT-Dienstleisters und seiner Kunden verbessern können.

Der IT-Dienstleister entscheidet selbst, ob und wie die Hinweise umgesetzt werden. Der Auditor wird die Umsetzung der Hinweise im Rahmen des nächsten Aufrechterhaltungsaudits besprechen.

Die Kosten

Das CyberSeal Gütesiegel ist drei Jahre gültig. Die Gesamtkosten belaufen sich auf 4'900 Franken und beinhalten das initiale Audit und jeweils ein Aufrechterhaltungsaudit in den beiden Folgejahren.

CyberSeal Audit
Geprüfter IT-Dienstleister

  • Umfassendes Audit im ersten Jahr am Standort des Kunden

  • Kompakte CyberSeal Prüfliste

  • Ausführliche Dokumentation der Ergebnisse

  • Liste der Schwachstellen und Empfehlungen

  • Aufrechterhaltungsaudits in den ersten zwei Jahren inklusive

 

Ausstellung des CyberSeal Gütesiegels durch die Allianz Digitale Sicherheit Schweiz

CHF 4'900 zzgl. MwSt

Aufrechterhaltungsaudit

  • Aufgebot in den Jahren zwei und drei zum Aufrechterhaltungsaudit
  • Einstündige Besprechung (online oder am Telefon) des Fortschritts anhand der Selbstdeklaration und aktueller Bedrohungen
  • Update betreffend aktueller Cyber-Risken
  • Überprüfung der Selbstdeklaration

Aufrechterhaltung des CyberSeal Gütesiegels