1. Zweck der Dienstleistung
Das interne ISO/IEC 27001‑Audit dient der strukturierten und methodischen Überprüfung des Informationssicherheitsmanagementsystems (ISMS) des Auftraggebers im Hinblick auf die Anforderungen der ISO/IEC 27001:2022. Ziel des Audits ist es, den aktuellen Stand der Umsetzung einzuordnen, potenzielle Abweichungen sowie Verbesserungspotenziale aufzuzeigen und dem Auftraggeber eine fachliche Einschätzung zur Unterstützung der internen Weiterentwicklung seines ISMS bereitzustellen.
Das Audit stellt eine unabhängige Prüfleistung dar. Es ersetzt weder die Verantwortung des Auftraggebers für Aufbau, Betrieb und Weiterentwicklung des ISMS noch eine Zertifizierungs‑, Überwachungs‑ oder Beratungstätigkeit.
2. Gegenstand der Leistung
Gegenstand der Dienstleistung ist die Durchführung eines vollständigen internen Audits gemäß ISO/IEC 27001:2022 innerhalb des vom Auftraggeber definierten und dokumentierten Geltungsbereichs des ISMS.
Das Audit umfasst insbesondere:
- sämtliche Anforderungen der Normkapitel 4 bis 10 der ISO/IEC 27001:2022,
- die vollständige Prüfung aller als anwendbar erklärten Kontrollen aus Anhang A,
- organisatorische, technische und personelle Maßnahmen im definierten ISMS‑Scope.
3. Leistungsumfang
3.1 Auditvorbereitung
Der Auditor stimmt Auditumfang, Auditziele und den Geltungsbereich des ISMS mit dem Auftraggeber ab. Grundlage der Auditvorbereitung sind ausschließlich die vom Auftraggeber zur Verfügung gestellten Informationen und Unterlagen. Eine Verantwortung für deren Richtigkeit, Vollständigkeit oder Aktualität wird nicht übernommen.
Auf Basis dieser Informationen erstellt der Auditor einen Auditplan, der Ablauf und den zeitlichen Rahmen des Audits definiert. Die Festlegung der erforderlichen Audittage erfolgt nach pflichtgemäßem Ermessen des Auditors unter Berücksichtigung von Unternehmensgröße, organisatorischer und technischer Komplexität sowie des ISMS‑Geltungsbereichs.
3.2 Durchführung des internen Audits
Das interne Audit wird grundsätzlich vor Ort an den vereinbarten Standorten des Auftraggebers durchgeführt. Vor‑ und Nachbereitungstätigkeiten, insbesondere Abstimmungen, Dokumentensichtungen sowie die Ergebnisaufbereitung, können nach vorheriger Abstimmung remote erfolgen. Ein Anspruch des Auftraggebers auf eine vollständige oder teilweise Remote‑Durchführung des Audits besteht nicht.
Die Auditdurchführung erfolgt insbesondere durch strukturierte Interviews mit relevanten Rollen und Funktionen, die Prüfung der vom Auftraggeber bereitgestellten Dokumentation sowie durch stichprobenartige Kontrollen ausgewählter Prozesse, Systeme und Nachweise. Eine vollständige oder flächendeckende Prüfung sämtlicher Systeme, Prozesse oder Unterlagen ist nicht geschuldet. Art, Umfang und Tiefe der Stichproben werden vom Auditor nach fachlichem Ermessen festgelegt.
3.3 Auditbewertung
Auf Grundlage der erhobenen Informationen identifiziert und dokumentiert der Auditor Abweichungen, Nebenabweichungen, Beobachtungen sowie Verbesserungspotenziale. Die Feststellungen werden risikobasiert bewertet und hinsichtlich ihrer Bedeutung für die Informationssicherheit und das ISMS eingeordnet. Der Auditor leitet aus den Ergebnissen nachvollziehbare, praxisnahe und priorisierte Handlungsempfehlungen ab, die dem Auftraggeber eine gezielte Weiterentwicklung seines ISMS ermöglichen. Empfehlungen stellen unverbindliche Hinweise zur möglichen Weiterentwicklung des ISMS dar und begründen weder eine Umsetzungspflicht noch eine Garantie für die Wirksamkeit empfohlener Maßnahmen.
3.4 Auditbericht
Nach Abschluss des Audits erstellt der Auditor einen strukturierten Auditbericht. Dieser enthält eine Beschreibung des Auditumfangs, eine detaillierte Darstellung sämtlicher Feststellungen mit eindeutiger Zuordnung zu den jeweiligen Anforderungen der ISO/IEC 27001:2022 und Bewertung der Umsetzung von Maßnahmen nach Reifegradanalyse. Der Bericht erhebt keinen Anspruch auf Vollständigkeit im Sinne einer umfassenden Risiko‑, Schwachstellen‑ oder Sicherheitsanalyse und wird dem Auftraggeber in digitaler Form zur Verfügung gestellt.
3.5 Ergebnisbesprechung
Die Auditergebnisse werden dem Auftraggeber in einem Abschlussgespräch erläutert. Die Ergebnisbesprechung dient der fachlichen Einordnung der Feststellungen und ersetzt keine rechtliche, organisatorische oder strategische Beratung.
4. Datenschutz und Auftragsverarbeitung
Soweit der Auditor im Rahmen der Leistungserbringung personenbezogene Daten verarbeitet, erfolgt dies ausschließlich im Auftrag des Auftraggebers. Der Auftraggeber bleibt Verantwortlicher im Sinne der Datenschutz‑Grundverordnung (DSGVO).
Ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO wird, sofern erforderlich, gesondert abgeschlossen. Der Auditor übernimmt keine Verantwortung für die datenschutzrechtliche Zulässigkeit der vom Auftraggeber bereitgestellten Daten oder der zugrunde liegenden Verarbeitungsprozesse.
5. Vertraulichkeit und Geheimhaltung
Der Auditor verpflichtet sich, sämtliche im Rahmen der Auftragserfüllung bekannt gewordenen Informationen vertraulich zu behandeln und ausschließlich zur Durchführung des Audits zu verwenden. Eine Weitergabe an Dritte erfolgt nur, soweit eine gesetzliche Verpflichtung besteht oder der Auftraggeber zuvor schriftlich eingewilligt hat.
Die Vertraulichkeitspflicht gilt nicht für Informationen, die dem Auditor bereits rechtmäßig bekannt waren oder öffentlich zugänglich sind.
6. Mitwirkungspflichten des Auftraggebers
Der Auftraggeber ist verpflichtet, alle für das Audit erforderlichen Informationen, Unterlagen, Zugänge und Ansprechpartner vollständig, korrekt und rechtzeitig bereitzustellen. Einschränkungen oder Verzögerungen in der Mitwirkung können Umfang, Dauer und Aussagekraft des Audits beeinflussen und liegen ausschließlich im Verantwortungsbereich des Auftraggebers.
Der Auditor ist nicht verpflichtet, vom Auftraggeber gemachte Angaben auf ihre materielle Richtigkeit zu überprüfen.
7. Aussagekraft und Verantwortung des Audits
Das Audit basiert auf Interviews, Dokumentenprüfungen und Stichproben und stellt eine Momentaufnahme zum Zeitpunkt der Auditdurchführung dar. Es kann nicht ausgeschlossen werden, dass bestehende oder zukünftige Abweichungen, Risiken oder Sicherheitsvorfälle nicht identifiziert werden.
Das Audit stellt insbesondere keine Garantie für die Wirksamkeit des ISMS, die Vermeidung von Informationssicherheitsvorfällen oder das Bestehen externer Audits dar.
8. Haftung
Der Auditor haftet unbeschränkt nur bei Vorsatz und grober Fahrlässigkeit. Bei einfacher Fahrlässigkeit ist die Haftung auf den vertragstypischen, vorhersehbaren Schaden begrenzt und der Höhe nach auf die vereinbarte Auftragssumme beschränkt.
Eine Haftung für mittelbare Schäden, Folgeschäden, entgangenen Gewinn, Betriebsunterbrechungen oder ausgebliebene Zertifizierungen ist, soweit gesetzlich zulässig, ausgeschlossen. Entscheidungen und Maßnahmen, die der Auftraggeber auf Grundlage der Auditergebnisse trifft, liegen allein in dessen Verantwortung.
9. Aufbewahrung und Löschung von Auditunterlagen
Der Auditor ist berechtigt, Auditunterlagen für eigene Nachweis‑ und Dokumentationszwecke aufzubewahren, insbesondere zur Absicherung der ordnungsgemäßen Leistungserbringung. Personenbezogene Daten werden nach Abschluss des Audits im Einklang mit den geltenden datenschutzrechtlichen Regelungen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
10. Rahmenbedingungen und Kosten
Die Vergütung für das interne ISO/IEC 27001‑Audit erfolgt auf Basis der jeweils gültigen Auditpauschale gemäß Preisliste bzw. Online‑Shop.
Zusätzlich zur Auditpauschale wird die im Zusammenhang mit der Auditdurchführung anfallende Fahrtzeit gesondert berechnet. Die Abrechnung der Fahrtzeit erfolgt ab Standort Dresden mit 150 € pro angefangener Stunde Fahrtzeit. Maßgeblich ist die tatsächliche Reisezeit unabhängig vom verwendeten Verkehrsmittel. Wartezeiten, verkehrsbedingte Verzögerungen sowie unvermeidbare Unterbrechungen der An‑ und Abreise gelten als Fahrtzeit und sind abrechnungsfähig.
11. Vertragssprache
Sämtliche vertraglichen Unterlagen, die Kommunikation im Zusammenhang mit der Beauftragung sowie die Erstellung des Auditberichts erfolgen ausschließlich in deutscher Sprache, sofern nicht ausdrücklich schriftlich etwas Abweichendes vereinbart wird.
Der Auditor ist nicht verpflichtet, Dokumente, Berichte, Präsentationen oder sonstige Arbeitsergebnisse zu übersetzen oder mehrsprachig bereitzustellen. Maßgeblich für Auslegung und Verständnis der Leistung ist ausschließlich die deutschsprachige Fassung.
12. Schlussbestimmungen
Der Auditor erbringt die Leistung als unabhängiger Auftragnehmer. Ein bestimmtes Auditergebnis oder das Bestehen externer Audits wird nicht geschuldet. Es gilt deutsches Recht. Gerichtsstand ist – soweit gesetzlich zulässig – der Sitz des Auftragnehmers.