-
CyberSeal -
das GütesiegelDas CyberSeal bestätigt, dass ein IT-Dienstleister geeignete technische und organisatorische Massnahmen umsetzt, um seinen Kunden einen angemessenen Schutz vor Cyberrisiken zu gewährleisten. Das CyberSeal leistet einen Beitrag zur Erhöhung der Cyber-Resilienz der Schweizer KMU.
Jetzt von bis zu CHF 150.– Rabatt auf das CyberSeal Audit profitieren
Für wen ist das Schweizer Gütesiegel CyberSeal geeignet?
IT-Dienstleister mit Sitz und Kundenbasis in der Schweiz können das CyberSeal erhalten, wenn sie im Auftrag von KMU Kunden die Gesamt- oder Teilverantwortung für den Setup und Betrieb der IT übernehmen und/oder Cloudlösungen (Bsp. Microsoft 365) konfigurieren und zur Verfügung stellen.
CyberSeal
Mehrwert für den IT-Dienstleister

Reduktion der Implementierungs-, Betriebs- und Sicherheitsrisiken

Cyberkriminalität Sensibilisierung und Etablierung einer gemeinsamen Sprache

Erfüllung der minimalen IT-Sicherheits-Anforderungen schafft Vertrauen

Bessere Marktposition und Vorteile bei Versicherungsabschlüssen
Mehrwert für den Endkunden

Reduktion der Risiken bezüglich Cyberattacken

Weniger Vorfälle, schnellere Behebung, tiefere Kosten im Ereignisfall

Unabhängiges Gütesiegel vereinfacht die Wahl des IT-Dienstleisters

Stärkere Fokussierung auf das Kerngeschäft
Der CyberSeal Audit-Prozess
Der Prozess durchläuft einen dreijährigen Zyklus. Im Jahr eins erfolgt ein umfassendes CyberSeal Audit. In den Jahren zwei und drei dient je ein Aufrechterhaltungsaudit der Qualitätskontrolle. Im Jahr vier erfolgt mit einem umfassenden Audit der Prozess wieder von Neuem.
(1) Interesse
Bei Interesse meldet sich der IT-Dienstleister mittels Formulars an. Er erhält die aktuelle CyberSeal Prüfliste zugestellt. Ein Termin für das Audit wird vereinbart.
(2) Selbstdeklaration
Er ist aufgefordert, in einer Selbstdeklaration alle Punkte der Prüfliste, den Gegebenheiten entsprechend, auszufüllen und einzureichen.
(3) Audit
Der Auditor prüft im Interview und an der Konsole (vertiefte Prüfung vor Ort) die Kontrollpunkte. Auf die mit Selbstdeklaration gekennzeichneten Fragen geht er nur bei Klärungsbedarf ein.
(4) Feedback
Sind keine Hauptabweichungen aufgetreten, wird das Gütesiegel zusammen mit dem Auditbericht ausgehändigt.
(5) Umsetzung
Massnahmen zur Behebung von Abweichungen und zur Bearbeitung von Hinweisen sind innerhalb Jahresfrist umzusetzen. Dies wird im Aufrechterhaltungsaudit überprüft.
(6) Aufrechterhaltung
In den Jahren zwei und drei nach dem Audit erfolgt ein Aufrechterhaltungsaudit durch Selbstdeklaration. Die Prüfliste ist aktualisiert einzureichen. Der Auditor prüft die Angaben und diskutiert telefonisch allfällige Neuerungen am Standard.
CyberSeal - Inhalte des Standards
Die IT-Dienstleister haben einen unmittelbaren Einfluss auf die Cyberresilienz der KMU. Es ist darum zwingend erforderlich, dass die IT-Dienstleister grundlegende Kompetenzen in folgenden Bereichen nachweisen können:
-
Organisation: z.B. Dokumentation, Aufgabenteilung, Ausbildung
-
Technik: z.B. Schutz der Daten, Berechtigungen, Backup
-
Prozesse: z.B. Change und Incident Management, Monitoring
Die detaillierten Audit Kontrollpunkte und Prozesse richten sich nach dem gültigen CyberSeal Audit Handbuch der Allianz Digitale Sicherheit Schweiz.

Was wird geprüft?
Die CyberSeal Prüfliste definiert die Anforderungen an den IT-Dienstleister und ist der definierte Standard für das Gütesiegel. Die präzisen Vorgaben sollen die Einheitlichkeit des Audits fördern. Für die Selbstdeklaration wird dem IT-Dienstleistern die aktuelle Prüfliste zur Verfügung gestellt, welche in 26 Kapitel aufgeteilt ist.
Wichtige Dokumente im Überblick
Die CyberSeal Audit Anforderungen werden jährlich überprüft und mit neuen Bedrohungslage abgeglichen. Die folgenden Dokumente sind Bestandteil des CyberSeal Standards und werden bei der Anmeldung zum Audit abgegeben.

CyberSeal Audit Bericht
Der Bericht beschreibt die Ergebnisse des bestandenen oder nicht bestandenen Audits. Der Bericht zeigt Haupt- und Nebenabweichungen sowie Hinweise und Empfehlungen zur Verbesserung der Cybersecurity auf.

CyberSeal Audit Handbuch
Das Handbuch beschreibt die Anwendung der CyberSeal Prüfliste, die verwendeten Begriffe und den Ablauf des Audits. Zudem werden die Anforderungen und der Umgang mit möglichen Abweichungen erklärt.

CyberSeal Prüfliste
Dies ist die umfassende Checkliste mit den konkreten Fragen für die Durchführung des CyberSeal Audits. Nach dem Audit wird der Auditbericht zusammen mit der ausgefüllten Prüfliste ausgestellt.
Umgang mit Abweichungen, Hinweisen
und Empfehlungen
Hauptabweichung, CyberSeal verhindernd
Wenn bei einem mit Priorität Eins bezeichneter Punkt der Prüfliste eine Anforderung gemäss Audit Handbuch nicht erfüllt, führt dies zu einer Hauptabweichung.
Umgang mit Hauptabweichungen
Der IT-Dienstleister hat 3 Monate Zeit die Hauptabweichung zu beheben. Nach Ablauf der Frist beurteilt der Auditor die Behebung. Für diese Überprüfung fallen zusätzliche Kosten von CHF 600 an. Ist die Hauptabweichung ungenügend behoben, wird kein CyberSeal ausgestellt und der Prozess muss erneut angestossen werden.
Nebenabweichung
Wenn bei einem mit Priorität Eins bezeichneter Punkt der Prüfliste eine Anforderung nur teilweise erfüllt wird, führt dies zu einer Nebenabweichung.
Umgang mit Nebenabweichungen
Die Nebenabweichung muss vom IT-Dienstleister bis zum nächsten Aufrechterhaltungsaudit behandelt werden. Dann wird die Abweichung geprüft. Es muss eine deutlich erkennbare Verbesserung implementiert worden sein. Eine nicht komplette Erfüllung der Anforderung kann für das nächste Audit/Aufrechterhaltungsaudit wieder als Nebenabweichung deklariert werden.
Hinweise und Empfehlungen
Hinweise sind Feststellungen des Auditors, die zu einer Verbesserung der Cybersecurity des IT-Dienstleisters und seiner Kunden beitragen können.
Der IT-Dienstleister entscheidet selbst, ob und wie die Hinweise umgesetzt werden. Der Auditor wird im nächsten Aufrechterhaltungsaudit eine Umsetzung besprechen.
Die Kosten
Das CyberSeal Gütesiegel ist für 3 Jahre gültig. Es beinhaltet ein umfassendes Audit im 1. Jahr im Wert von CHF 3'700.-, gefolgt von einem jährlichen Wartungsaudit im Jahr zwei und drei im Wert von je CHF 600.-
CyberSeal Audit
Geprüfter IT-Dienstleister
- Umfassendes Audit im ersten Jahr am Standort des Kunden
- Kompakte CyberSeal Prüfliste
- Ausführliche Dokumentation der Ergebnisse
- Liste der Schwachstellen und Empfehlungen
- Aufrechterhaltungsaudits in den ersten zwei Jahren inklusive
Ausstellung des CyberSeal Gütesiegels durch die Allianz Digitale Sicherheit Schweiz
Aufrechterhaltungsaudit
- Aufgebot in den Jahren zwei und drei zum Aufrechterhaltungsaudit
- Einstündige Besprechung (online oder am Telefon) des Fortschritts anhand der Selbstdeklaration und aktueller Bedrohungen
- Update betreffend aktueller Cyber-Risken
- Überprüfung der Selbstdeklaration
Aufrechterhaltung des CyberSeal Gütesiegels