Login
  • CyberSeal -marchio di qualità

    Il CyberSeal conferma che un fornitore di servizi IT implementa misure tecniche e organizzative adeguate per garantire ai propri clienti una protezione adeguata contro i rischi cibernetici. Il CyberSeal contribuisce ad aumentare la resilienza informatica delle PMI svizzere.

    Logo_CyberSeal_IT_PUR_400x400_mitHintergrund

Per chi è adatto il marchio di qualità svizzero CyberSeal?

I fornitori di servizi IT con sede legale e base clienti in Svizzera possono ottenere il CyberSeal se si assumono la responsabilità totale o parziale della configurazione e del funzionamento dell'IT e/o configurano e forniscono soluzioni cloud (ad esempio Microsoft 365) per conto di clienti PMI.

Richiesta di audit

CyberSeal

Valore aggiunto per il fornitore di servizi IT

Grafik zur Reduktion von Risiken

- Riduzione dei rischi di implementazione, operativi e di sicurezza

Grafik zur IT-Diensleister-Sensibilisierung

Sensibilizzazione alla criminalità cibernetica e creazione di un linguaggio comunee

Grafik zur IT-Dienstleister Vertrauen

L'adempimento dei requisiti minimi di sicurezza informatica crea fiducia

Grafik zur IT-Diensleister Markposition

Migliore posizione di mercato e vantaggi nei contratti assicurativi

1480x200 Banner Orientierungsworkshop_it

 

Valore aggiunto per il cliente finale

Grafik Endkunden Cyberattacken

Riduzione dei rischi legati ai cyberattacchi

Grafik Endkunden Vorteile

Meno incidenti, risoluzione più rapida e costi più bassi in caso di incidente

Grafik zur Wahl des Dienstleisters

Il marchio di qualità indipendente semplifica la scelta del fornitore di servizi IT

Grafik zum Endkunden Fokus

Maggiore attenzione al core business

Il processo di audit CyberSeal

La procedura prevede un ciclo di tre anni. Nel primo anno, viene effettuato un audit CyberSeal completo. Nel secondo e terzo anno, un audit di manutenzione funge da controllo di qualità. Nel quarto anno, il processo viene ripetuto con un audit completo.

(1) Interesse

In caso di interesse, il fornitore di servizi IT si registra tramite un modulo. Riceve l'attuale lista di controllo CyberSeal. Viene fissato un appuntamento per la revisione.

(2) Autodichiarazione

Il fornitore di servizi IT è tenuto a compilare e presentare un'autodichiarazione di tutti i punti della lista di controllo in base alle circostanze.

(3) Audit

L'auditor verifica i punti di controllo durante l'intervista e presso la console. Si occupa delle domande contrassegnate con l'autodichiarazione solo in caso di necessità di chiarimento.

(4) Feedback

Se non si verificano deviazioni di rilievo, il certificato di approvazione viene consegnato insieme al rapporto di audit.

(5) Attuazione

Le misure per correggere le divergenze ed elaborare le osservazioni devono essere attuate entro un anno. Questo viene verificato nell'audit di manutenzione.

(6) Manutenzione

Nel secondo e terzo anno dopo l'audit, viene effettuato un audit di mantenimento tramite autodichiarazione. La lista di controllo deve essere presentata aggiornata. L'auditor controlla le informazioni e discute telefonicamente eventuali modifiche agli standard.

Richiesta di audit

CyberSeal - Contenuto dello standard

I fornitori di servizi IT hanno un impatto diretto sulla resilienza cibernetica delle PMI. È quindi indispensabile che i fornitori di servizi IT dimostrino di possedere competenze di base nelle seguenti aree:

  • Organizzazione: ad esempio, documentazione, suddivisione dei compiti, formazione

  • Tecnologia: ad esempio, protezione dei dati, autorizzazioni, backup

  • Processo: ad esempio, gestione delle modifiche e degli incidenti, monitoraggio

I punti di controllo e i processi di audit dettagliati si basano sul valido manuale di audit CyberSeal di Alleanza Sicurezza Digitale Svizzera.

Cosa viene testato?
Inhalte des CyberSeal Standards

Documenti importanti in sintesi

I requisiti di audit di CyberSeal vengono rivisti annualmente e confrontati con le nuove situazioni di minaccia. I seguenti documenti fanno parte dello standard CyberSeal e devono essere consegnati al momento della registrazione per l'audit

Rapporto di audit CyberSeal

Rapporto di audit CyberSeal

Il rapporto descrive i risultati dell'audit superato o meno. Il rapporto identifica le non conformità maggiori e minori, nonché note e raccomandazioni per il miglioramento della cibersicurezza.

Manuale di audit CyberSeal   

Manuale di audit CyberSeal

Il manuale descrive l'applicazione della lista di controllo CyberSeal, i termini utilizzati e la procedura di audit. Illustra inoltre i requisiti e le modalità di gestione di eventuali scostamenti. Lista di controllo CyberSeal

Manuale die audit CyberSeal

Lista di controllo Cyberseal

Lista di controllo Cyberseal

Questa è la lista di controllo completa con le domande specifiche per condurre l'audit CyberSeal. Dopo l'audit, il rapporto di audit viene rilasciato insieme alla lista di controllo compilata.                                             

Lista di controllo CyberSeal

Gestione di divergenze, indicazioni e raccomandazioni

Non conformità importante, che impedisce l'attribuzione del marchio CyberSeal

Se un requisito del manuale di audit non è soddisfatto per una voce della lista di controllo contrassegnata con priorità uno, ciò comporta una non conformità maggiore.

Gestione delle non conformità maggiori
Il fornitore di servizi IT ha 3 mesi di tempo per correggere la non conformità maggiore. Dopo la scadenza del termine, il revisore valuta la rettifica. Per questa revisione sono previsti costi aggiuntivi di 500 franchi svizzeri. Se la non conformità maggiore non è sufficientemente risolta, non viene rilasciato alcun CyberSeal e il processo deve essere riavviato.

Differenza minore

Se un requisito è soddisfatto solo parzialmente per un elemento della lista di controllo contrassegnato con priorità uno, ciò comporta una divergenza minore.

Gestire le differenze minori
La differenza minore deve essere gestita dal fornitore di servizi IT fino al successivo audit di manutenzione. Poi la divergenza sarà sottoposta a un audit. Deve essere stato apportato un miglioramento chiaramente identificabile. L'incompleto soddisfacimento del requisito può essere dichiarato nuovamente come divergenza minore per il successivo audit/controllo di manutenzione.

Note e raccomandazioni

Le note sono risultati dell'auditor che possono contribuire a migliorare la sicurezza informatica del fornitore di servizi IT e dei suoi clienti.

Il fornitore di servizi IT decide autonomamente se e come implementare le note. Il revisore discuterà l'implementazione nel prossimo audit di manutenzione.

1480x200 Banner Vorbereitungskurs Alltron IT

 

Cosa viene testato

La lista di controllo CyberSeal definisce i requisiti per il fornitore di servizi IT e costituisce lo standard definito per il marchio di approvazione. Le specifiche precise mirano a promuovere l'uniformità dell'audit. Il revisore ottiene un quadro iniziale sulla base di una dichiarazione del fornitore di servizi IT che utilizza la lista di controllo attuale. La lista di controllo è suddivisa nei seguenti capitoli (le domande non sono tassative): 

01 Divisione dei compiti tra cliente e fornitore di servizi IT

È stato definito con precisione quali compiti sono di responsabilità del fornitore di servizi e quali compiti vengono assunti internamente dalla PMI?

02 Gestione dell'accesso all'infrastruttura del cliente

Chi ha accesso ai sistemi del cliente e quando? Viene comunicato in modo trasparente al cliente come viene gestito l'accesso? In che misura i sistemi del cliente sono protetti dall'accesso esterno?

03 Documentazione

Viene mantenuta una documentazione generale dei componenti gestiti e può essere inviata al cliente su richiesta?

04 Dati di accesso e autorizzazioni

Sono stati istituiti processi e strumenti per registrare e gestire in modo tracciabile le modifiche ai dati di accesso e renderle accessibili in caso di emergenza?

05 Progettazione della rete

Le reti per le diverse aree di lavoro presso i clienti e il fornitore di servizi IT sono separate in modo sensato (ad esempio, rete dell'ufficio, produzione, area per gli ospiti)?

06 Firewall

Le regole del firewall sono comprensibili e chiare? Le regole del firewall sono sufficientemente restrittive?

07 WLAN

La WLAN del cliente e del fornitore di servizi IT è protetta da password sicure? Esistono punti di accesso WLAN separati per i dipendenti e per gli ospiti?

08 Progettazione della Directory Active

Tutti i permessi sono gestiti in modo sicuro e trasparente? Le autorizzazioni amministrative sono limitate?

09 Rafforzamento dei componenti IT

È stato definito un processo più sicuro per il rafforzamento dei sistemi?

10 Sistema di posta elettronica

L'infrastruttura di posta del cliente e del fornitore di servizi IT è adeguatamente protetta da malware e spam?

11 Gestione delle interconnessioni

Esiste un processo sicuro per l'applicazione tempestiva delle interconessioni a tutti i sistemi gestiti?

12 Dispositivi mobili

Esistono linee guida per la gestione dei dispositivi mobili, l'accesso ai dati aziendali è sufficientemente limitato e i dati sono sufficientemente protetti?

13 Homeoffice

Come viene garantito l'accesso sicuro ai dati e ai sistemi aziendali dal proprio domicilio?

14 Protezione contro il malware

Tutti i sistemi IT rilevanti per la sicurezza sono dotati di una protezione contro il malware aggiornata o, se ciò non è possibile, sono isolati dalla rete?

15 Backup

Esiste un processo sicuro per la creazione dei backup? Questo processo viene eseguito regolarmente? I backup sono conservati in modo sicuro e controllati regolarmente?

16 Gestione delle modifiche / Gestione degli incidenti

Le modifiche e i guasti ai sistemi sono registrati in modo tracciabile?

17 Registrazione

I protocolli di accesso ai sistemi del cliente con le registrazioni degli accessi del fornitore di servizi IT e dei guasti all'hardware sono creati e conservati in modo appropriato?

18 Monitoraggio

I principali sistemi del cliente sono monitorati dal fornitore di servizi IT?

19 Smaltimento del supporto dei dati

Esiste un processo sicuro per lo smaltimento del supporto dei dati che viene seguito?

20 Servizi di parti terze

Il fornitore di servizi IT può garantire la sicurezza dei servizi di terzi?

21 Vulnerabilità del cliente

Le vulnerabilità dell'infrastruttura IT del cliente sono comunicate in modo trasparente?

22 Formazione e aggiornamento professionale

Il fornitore di servizi IT offre ai suoi dipendenti e a quelli dei suoi clienti una formazione regolare sul tema della sicurezza?

23 Concetto di emergenza

Esiste un concetto di emergenza aggiornato e testato? Il fornitore di servizi IT offre ai propri clienti assistenza nella stesura di un piano di emergenza?

24 Date di scadenza

Le date di scadenza dei componenti IT (licenze, certificati, componenti hardware, ecc.) sono monitorate e il cliente ne è informato?

25 Sicurezza fisica

L'accesso ai locali del fornitore di servizi informatici e alle sale computer è ragionevolmente protetto e monitorato? I dispositivi sono sufficientemente protetti da fattori esterni (ad es. interruzione di corrente)?

26 Gestione del rischio informatico

I rischi sono stati identificati, concordati con i clienti e mitigati con misure appropriate ( prevenzione, contenimento, trasferimento) fino a renderli inammissibili?

Condizioni di esame e di utilizzo

I costi

Il marchio di qualità CyberSeal è valido per 3 anni. Include un audit completo nel primo anno del valore di 3'700.- franchi, seguito da un audit annuale di mantenimento nel secondo e terzo anno del valore di 600.- franchi.

Audit Cyber-seal
Fornitore di servizi IT certificato

  • Audit completo nel primo anno presso la sede del cliente
  • Lista di controllo CyberSeal compatta
  • Documentazione dettagliata dei risultati
  • Elenco dei punti deboli e delle raccomandazioni
  • Audit di manutenzione incluso nei primi due anni
 

Rilascio del marchio di approvazione CyberSeal da parte di Alleanza Sicurezza Digitale Svizzera

CHF 4'900 più IVA
Richiesta di audit

Audit sulla manutenzione

  • Richiesta di audit di manutenzione nel secondo e terzo anno
  • Revisione di un'ora (online o per telefono) dei progressi compiuti rispetto all'autodichiarazione e alle minacce attuali.
  • Aggiornamento sui rischi informatici attuali
  • Revisione dell'autodichiarazione

    Mantenimento del marchio di approvazione CyberSeal