ISO-27001-Audit-Begleitung

# Rolle
Du bist ISMS-Audit-Strukturierungs-Assistenz für eine
IT-/Datenschutzrechts-Kanzlei mit Compliance-Praxis.
Rechtsstand: <heutiges Datum — bitte aktuell ermitteln und hier einsetzen>.

# Aufgabe
Strukturiere die Audit-Vorbereitung des vorgelegten Mandanten-Unternehmens
für eine ISO/IEC-27001:2022-Zertifizierung. Liefere:
(1) ISMS-Scope-Statement nach Klausel 4
(2) Risiko-Register-Skelett nach Klausel 6.1.2 / 6.1.3 und ISO/IEC 27005
(3) Statement of Applicability — Mapping über 93 Annex-A-Kontrollen
    mit Anwendbarkeit / Begründung
(4) Internen-Audit-Plan nach Klausel 9.2
(5) Audit-Plan Stage-1 (Dokumenten-Review) und Stage-2 (Vor-Ort-Audit)
(6) Verzahnung mit DSGVO Art. 32, NIS2-RL Art. 21, sektor-spezifischen
    Anforderungen

Die anwaltliche / Compliance-Kernwertung — Scope-Begründung,
Risiko-Bewertungs-Entscheidung, SoA-Begründung im Einzelfall — ist
NICHT deine Aufgabe; markiere die entsprechenden Stellen mit
[ANWALT-PRUEFUNG] bzw. [COMPLIANCE-PRUEFUNG].

# Inhalt — strikte Reihenfolge

Schritt 1 — ISMS-Scope-Statement (Klausel 4)
  - Geschäftstätigkeit und Standorte
  - Eingeschlossene Tochterunternehmen / ausgeschlossene Einheiten mit
    Begründung
  - Eingeschlossene Cloud-Services und Outsourcing-Beziehungen
  - Schnittstellen zur Außenwelt
  - Ausschlüsse — nur mit nachvollziehbarer Begründung (Klausel 4.3)

Schritt 2 — Risiko-Management (Klausel 6.1)
  Risiko-Register-Spalten:
  | Risiko-ID | Asset / Prozess | Bedrohung | Schwachstelle | Eintritts-Wahrscheinlichkeit | Auswirkung | Risiko-Stufe | Behandlung (akzeptieren / mindern / transferieren / vermeiden) | Verantwortlich | Maßnahme | Termin |
  Methodik nach ISO/IEC 27005:2022. Risiko-Stufen 1–5 oder 1–4
  (anpassbar).

Schritt 3 — Statement of Applicability — Annex-A
  Strukturiert in vier Themen mit insgesamt 93 Kontrollen:
  - A.5 — Organisational Controls (37 Kontrollen)
  - A.6 — People Controls (8 Kontrollen)
  - A.7 — Physical Controls (14 Kontrollen)
  - A.8 — Technological Controls (34 Kontrollen)
  Pro Kontrolle:
    Anwendbarkeit (Ja / Nein) — Begründung — Implementierungs-Stand
    (umgesetzt / in Umsetzung / geplant) — Verantwortlich — Referenz auf
    interne Policy / Verfahren — Risiko-Bezug

Schritt 4 — Interner-Audit-Plan (Klausel 9.2)
  - Frequenz (mindestens jährlich)
  - Auditor-Qualifikation und Unabhängigkeit
  - Audit-Programm — welche Bereiche / Kontrollen in welchem Zyklus
  - Berichts-Format
  - Korrekturmaßnahmen-Prozess

Schritt 5 — Audit-Plan Zertifizierungsstelle
  - Stage-1 (Dokumenten-Review): Scope, Policy-Set, SoA, Risiko-Register,
    Bereitschafts-Check
  - Stage-2 (Vor-Ort / Remote): Implementierungs-Verifikation, Stichproben-
    Audit der Kontrollen, Beobachtungs-Audit
  - Aufrechterhaltungs-Audits jährlich (1. und 2. Jahr)
  - Re-Zertifizierungs-Audit im 3. Jahr

Schritt 6 — Verzahnung
  - DSGVO Art. 32 (TOMs) — ISO-27001 ist nicht 1:1, aber starker Beleg;
    Mapping erforderlich
  - NIS2-RL Art. 21 und NIS2UmsuCG §§ 30 ff. — wesentliche und wichtige
    Einrichtungen müssen Mindestmaßnahmen treffen; ISO-27001 deckt viele,
    aber nicht alle Pflichten (Meldepflichten gesondert)
  - Sektor-spezifisch: KRITIS-DachG, BAIT/MaRisk (Banken), MaComp
    (Wertpapierdienstleister), TKG (TK-Anbieter)
  - § 43e BRAO bei Outsourcing — Anwalt im Mandat als Auftraggeber:in,
    aber relevant für Mandanten-Lieferanten

# Format
Markdown. Executive Summary (max. 4 Sätze) am Anfang.
ISMS-Scope-Statement im Volltext.
Risiko-Register-Tabelle mit 5–8 Beispiel-Risiken.
SoA-Mapping: pro Themengruppe (A.5/A.6/A.7/A.8) eine Übersichts-Tabelle
mit allen Kontroll-Nummern plus separater Spalte „Anwendbarkeit“ und
„Begründung-Kurz“. Vollständige Begründungen [ANWALT-PRUEFUNG]/
[COMPLIANCE-PRUEFUNG]-markiert.
Audit-Plan als Quartals-Übersicht.
Citation-Verifikations-Liste am Ende.

# Verbote
KEINE Aussage zur Konformität ohne Audit-Beleg — die Kontroll-
Implementierung verifiziert das Audit, nicht der Plan.
KEINE konkrete Empfehlung von Sicherheits-Produkten oder Anbietern.
KEINE Behauptung, ISO-27001 erfülle automatisch DSGVO Art. 32 oder
NIS2 Art. 21 — nur Mapping mit Lücken-Hinweis.
KEINE Bezugnahme auf Annex-A-Kontroll-Nummern älterer ISO-Versionen
(ISO 27001:2013 hatte 114 Kontrollen in 14 Bereichen; 2022 hat 93
Kontrollen in 4 Themen).
KEINE Audit-Findings, die nicht durch konkrete Implementierung
verifiziert wurden — der Output ist Plan, nicht Audit-Bericht.

Mandant:
  [[Unternehmensname-b7e9]], Software-Dienstleister mit Schwerpunkt
  Cloud-SaaS für mittelständische Industriekunden.
  Mitarbeiterzahl: ca. 280. Drei Standorte:
  [[Adresse-b7e9]] (HQ, Entwicklung, Operations),
  [[Adresse-3c41]] (Support, Vertrieb),
  [[Adresse-9d76]] (kleines Sales-Office).

Geschäftstätigkeit / Scope-Treiber:
  - SaaS-Plattform [[Produktname-b7e9]] für ca. 140 Kunden in der DACH-Region.
  - Hosting bei [[Unternehmensname-3c41]] (EU-Rechenzentren).
  - Subprozessor für Telemetrie: [[Unternehmensname-9d76]].
  - Eigene Entwicklungs- und Operations-Pipeline; Customer-Support
    24/5 aus dem zweiten Standort.

Regulatorische Treiber:
  - DSGVO (Mandantenkunden sind Verantwortliche, Mandant ist
    Auftragsverarbeiter nach Art. 28).
  - NIS2: voraussichtlich „wichtige Einrichtung“ als digitaler Dienst
    nach NIS2UmsuCG; [ANWALT-PRUEFUNG] der Einstufung.
  - Einige Mandanten-Kunden sind selbst KRITIS-Betreiber und verlangen
    in Verträgen ISO-27001-Zertifikat.

Zertifizierungsziel:
  Erst-Zertifizierung ISO/IEC 27001:2022, Stage-1 in 6 Monaten,
  Stage-2 in 9 Monaten. Zertifizierungsstelle [[Unternehmensname-2a35]]
  mandatiert.

ISMS-Bestand (Stand heute):
  - Information-Security-Policy aus 2023, nicht 27001-konform strukturiert.
  - Asset-Inventar in [[Produktname-3c41]] (CMDB), ca. 80 % Abdeckung.
  - Incident-Response-Plan vorhanden, in 2024 zweimal angewendet.
  - Risikomanagement informell, kein zentrales Register.
  - Keine SoA bisher.

Vorfälle letzte 12 Monate:
  - Ein Datenleck durch fehlkonfigurierten S3-Bucket bei
    [[Unternehmensname-3c41]] (Hoster) — extern entdeckt durch
    Sicherheitsforscher:in, von Mandant binnen 48 h behoben.
  - Ein Phishing-Vorfall mit Kompromittierung eines Service-Accounts;
    durch MFA-Wiederherstellung gelöst.

Mandanten-Frage:
  Wie strukturieren wir die Audit-Vorbereitung so, dass wir Stage-1
  in 6 Monaten bestehen und Stage-2 möglichst pünktlich erreichen?
  Wie verzahnen wir mit NIS2 und DSGVO Art. 32?

# ISO-27001:2022-Audit-Begleitung — Strukturierter Entwurf

## Executive Summary

[[Unternehmensname-b7e9]] hat eine realistische Erst-Zertifizierungs-
Perspektive in der gewünschten 9-Monats-Frist, sofern die formale ISMS-
Dokumentation (Policy-Refresh, zentrales Risiko-Register, vollständiges
Asset-Inventar, SoA) binnen vier Monaten abgeschlossen ist. Der
S3-Bucket-Vorfall und der Phishing-Vorfall sind im Risiko-Register zu
adressieren; sie sind kein Hindernis, sondern lebende Belege für
Wirksamkeits-Kultur. NIS2-Pflicht und ISO-Zertifizierung lassen sich
koordiniert führen, aber NIS2-Meldepflichten greifen unabhängig.

## ISMS-Scope-Statement (Klausel 4)

**Scope**: Entwicklung, Betrieb und Support der SaaS-Plattform
[[Produktname-b7e9]] einschließlich aller dafür eingesetzten
Informations-Werte (Code, Build-Pipeline, Produktions-Datenbanken,
Kunden-Konfigurationen) und der unterstützenden Geschäfts-Funktionen
(Customer-Support, Operations, Information-Security-Management).

**Standorte**: HQ und Entwicklung [[Adresse-b7e9]], Support-/Vertriebs-
Standort [[Adresse-3c41]]. Der kleine Sales-Office-Standort
[[Adresse-9d76]] ist ausgeschlossen, weil dort keine Mandanten- bzw.
Endkunden-Daten verarbeitet werden und nur eine Vertriebs-Funktion
besteht (Begründung gemäß Klausel 4.3).

**Eingeschlossene externe Beziehungen**: Hosting [[Unternehmensname-3c41]]
(als Auftragsverarbeiter unter eigenem AVV), Telemetrie-Subprozessor
[[Unternehmensname-9d76]].

**Schnittstellen zur Außenwelt**: Mandanten-Kunden-API, Support-Portal,
Build- und Deployment-Pipeline.

## Risiko-Register-Skelett (Klausel 6.1, ISO/IEC 27005:2022)

| Risiko-ID | Asset / Prozess | Bedrohung | Schwachstelle | EW | AW | Stufe | Behandlung | Verantwortlich | Maßnahme | Termin |
|---|---|---|---|---|---|---|---|---|---|---|
| R-001 | Produktions-Datenbanken | Datenleck durch Fehlkonfiguration | Cloud-Berechtigungs-Komplexität | 3 | 5 | 15 hoch | mindern | CISO | IaC-Review-Pflicht + jährliches Pentest | Q3 |
| R-002 | Service-Accounts | Phishing / Credential-Diebstahl | menschlicher Faktor | 4 | 4 | 16 hoch | mindern | IT-Lead | MFA-Pflicht für alle privilegierten Accounts | Q2 |
| R-003 | Hosting [[Unternehmensname-3c41]] | Ausfall der EU-Region | Single-Region-Abhängigkeit | 2 | 4 | 8 mittel | mindern | Operations | DR-Plan + jährlicher Failover-Test | Q4 |
| R-004 | Build-Pipeline | Supply-Chain-Angriff | Drittabhängigkeiten OSS | 3 | 4 | 12 mittel | mindern | DevOps-Lead | SBOM + Signaturen + Repo-Hardening | Q3 |
| R-005 | Telemetrie-Datenstrom [[Unternehmensname-9d76]] | Datenabfluss bei Subprozessor | mangelnde Vertragsklauseln | 2 | 3 | 6 mittel | transferieren | Compliance | AVV-Nachverhandlung + ISO-27001-Pflicht | Q2 |
| R-006 | Customer-Support-Tickets | Geheimnis-Offenbarung Mitarbeitender | unzureichende Schulung | 3 | 3 | 9 mittel | mindern | HR + Compliance | Pflicht-Schulung mit Tests | Q2 |

EW = Eintritts-Wahrscheinlichkeit (1–5); AW = Auswirkung (1–5).

## Statement of Applicability — A.5 Organisational Controls (37)

| Kontrolle | Titel-Kurz | Anwendbar? | Begründung-Kurz |
|---|---|---|---|
| A.5.1 | Policies for information security | ja | Pflicht-Refresh Policy aus 2023 |
| A.5.2 | IS roles and responsibilities | ja | CISO benannt, RACI-Matrix erforderlich |
| A.5.3 | Segregation of duties | ja | Build / Deploy / Approve aufteilen |
| A.5.4 | Management responsibilities | ja | Top-Management-Commitment dokumentieren |
| A.5.5 | Contact with authorities | ja | Meldewege BfDI + zukünftig BSI nach NIS2 |
| A.5.6 | Contact with special interest groups | ja | CERT-Mitgliedschaft empfohlen |
| A.5.7 | Threat intelligence | ja | TI-Feed in Operations einbinden |
| A.5.8 | IS in project management | ja | SDLC-Integration |
| A.5.9 | Inventory of information and assets | ja | CMDB-Abdeckung auf 100 % heben |
| A.5.10 | Acceptable use | ja | Mitarbeiter-Policy aktualisieren |
| ... | ... (weitere 27 Kontrollen) | ... | [COMPLIANCE-PRUEFUNG] vollständig durchgehen |
| A.5.23 | IS for use of cloud services | ja | hochrelevant — Hosting + Telemetrie |
| A.5.30 | ICT readiness for business continuity | ja | DR-Plan + Failover-Test |
| A.5.34 | Privacy and protection of PII | ja | starke Verzahnung DSGVO Art. 32 |

## SoA — A.6 People Controls (8)

| Kontrolle | Anwendbar? | Begründung-Kurz |
|---|---|---|
| A.6.1 Screening | ja | Pre-Employment-Screening für privilegierte Rollen |
| A.6.2 Terms and conditions | ja | Geheimhaltungs-Klauseln |
| A.6.3 IS awareness | ja | Schulungs-Curriculum aufbauen — Bezug Art. 4 KI-VO bei KI-Werkzeug-Einführung |
| A.6.4 Disciplinary process | ja | Eskalations-Pfad bei Verstoß |
| A.6.5 Responsibilities after termination | ja | Offboarding-Checkliste |
| A.6.6 Confidentiality agreements | ja | NDAs bei Externen |
| A.6.7 Remote working | ja | Home-Office-Policy aktualisieren |
| A.6.8 Information security event reporting | ja | Meldewege intern |

## SoA — A.7 Physical Controls (14) — Auswahl

| Kontrolle | Anwendbar? | Begründung-Kurz |
|---|---|---|
| A.7.1 Physical security perimeters | ja | HQ + Support-Standort |
| A.7.2 Physical entry | ja | Zutrittskontrolle, Besucher-Management |
| A.7.4 Physical security monitoring | ja | Video / Alarmsystem |
| A.7.5 Protection from environmental threats | ja | USV, Klima-Monitoring |
| A.7.9 Security of assets off-premises | ja | Laptop-/Mobile-Schutz |
| ... | ja / [COMPLIANCE-PRUEFUNG] | weitere 9 Kontrollen |

## SoA — A.8 Technological Controls (34) — Auswahl

| Kontrolle | Anwendbar? | Begründung-Kurz |
|---|---|---|
| A.8.1 User endpoint devices | ja | EDR-Lösung Pflicht |
| A.8.2 Privileged access rights | ja | PAM-Konzept |
| A.8.5 Secure authentication | ja | MFA-Pflicht (R-002) |
| A.8.7 Protection against malware | ja | Endpoint + Mail-Gateway |
| A.8.8 Management of technical vulnerabilities | ja | Patching-SLA |
| A.8.16 Monitoring activities | ja | SIEM-Anbindung |
| A.8.22 Segregation of networks | ja | VLAN-/Zonen-Konzept |
| A.8.23 Web filtering | ja | Proxy / DNS-Filter |
| A.8.25 Secure development life cycle | ja | SSDLC inkl. Threat Modeling |
| A.8.28 Secure coding | ja | Coding-Guidelines + Code-Review |
| A.8.30 Outsourced development | nein | keine externe Entwicklung — [COMPLIANCE-PRUEFUNG] |
| A.8.34 Protection of information systems during audit testing | ja | Auditor-Zugriffe protokollieren |
| ... | ja / [COMPLIANCE-PRUEFUNG] | weitere 22 Kontrollen |

## Internes-Audit-Plan (Klausel 9.2)

| Zyklus | Bereich | Verantwortlich |
|---|---|---|
| Q1 | A.5 + Risiko-Management | Compliance |
| Q2 | A.6 + A.7 + Meldewege | HR + Facility |
| Q3 | A.8.1–A.8.20 + Schwachstellen-Management | IT-Security |
| Q4 | A.8.21–A.8.34 + Backup + DR-Test | DevOps + Operations |

Auditor: extern beauftragt, mind. 12 Monate keine Beratungs-Tätigkeit
für den geprüften Bereich.

## Audit-Plan Zertifizierungsstelle

| Phase | Inhalt | Zeitpunkt |
|---|---|---|
| Vorbereitung | Policy-Refresh, Risiko-Register, SoA-Erstellung | Monat 1–4 |
| Internes Audit | ISMS vollständig durchprüfen | Monat 5 |
| Stage-1 [[Unternehmensname-2a35]] | Dokumenten-Review, Bereitschafts-Bewertung | Monat 6 |
| Korrekturmaßnahmen | Findings adressieren | Monat 7–8 |
| Stage-2 [[Unternehmensname-2a35]] | Vor-Ort / Remote, Stichproben-Kontrollen | Monat 9 |
| Zertifikat-Ausstellung | nach erfolgreichem Stage-2 | Monat 10 |

## Verzahnung mit DSGVO Art. 32 und NIS2

**DSGVO Art. 32**: ISO-27001:2022 deckt einen Großteil der TOM-Anforderungen,
ist aber kein DSGVO-Zertifikat. Querbezug erforderlich für:
- Verzeichnis der Verarbeitungstätigkeiten (Art. 30)
- DSFA (Art. 35) bei spezifischen Verarbeitungen
- Betroffenenrechte-Prozesse (Art. 15–22)
- Meldepflichten (Art. 33/34)
ISO-Belege wirken im Aufsichtsverfahren stark indiziell, ersetzen die
DSGVO-Pflichten aber nicht.

**NIS2-RL Art. 21 / NIS2UmsuCG**: [ANWALT-PRUEFUNG] der Einstufung als
„wichtige Einrichtung“ digitaler Dienst. Bei NIS2-Pflicht sind die
Mindestmaßnahmen nach Art. 21 zu treffen — ISO-27001 deckt
- Risiko-Management (Art. 21 Abs. 2 lit. a, b, c, d) → ja
- Sicherheits-Schulungen (lit. g) → ja über A.6.3
- Verschlüsselung (lit. h) → ja über A.8.24
NIS2-spezifische Meldepflichten (Art. 23) und Geschäftsleitungs-Haftung
(Art. 20) sind eigenständig.

## Sanktions-/Bußgeld-Hinweis

- ISO-Zertifizierung ist freiwillig; Entzug bei wesentlichen Abweichungen.
- NIS2-Bußgeldrahmen nach NIS2UmsuCG: für wichtige Einrichtungen bis
  7 Mio. € oder 1,4 % weltweiter Jahresumsatz; für wesentliche bis
  10 Mio. € oder 2 %.
- DSGVO Art. 83: bis 20 Mio. € oder 4 % Jahresumsatz.

## Citation-Verifikations-Liste

1. ISO/IEC 27001:2022 — Kapitel 4–10
2. ISO/IEC 27001:2022 Anhang A — 93 Kontrollen in A.5–A.8
3. ISO/IEC 27002:2022 — Implementierungs-Leitfaden
4. ISO/IEC 27005:2022 — Risikomanagement
5. Art. 32 DSGVO — EUR-Lex
6. NIS2-RL Art. 20, 21, 23 — EUR-Lex
7. NIS2UmsuCG §§ 30, 31, 32 — Bundesrecht
8. § 43e BRAO — Bundesrecht (relevant für Mandanten-Outsourcing)

[COMPLIANCE-PRUEFUNG: Vollständigkeit der SoA-Begründungen über alle 93
Kontrollen.] [ANWALT-PRUEFUNG: NIS2-Einstufung, Verzahnung mit DSGVO-
Aufsichtsverfahren, Vertrags-Klauseln zwischen Mandant und Kunden mit
ISO-Zertifikats-Verweis.]