Audit- und Zertifizierungsanforderungen
Facility Management: FM-Software » Ausschreibung » Strukturierte Bieterformulare » Audit- und Zertifizierungsanforderungen
Audit- und Zertifizierungsanforderungen für CAFM-Ausschreibung
Dieses Formblatt dient der strukturierten Erhebung von Audit- und Zertifizierungsnachweisen im Zusammenhang mit der Ausschreibung zur Implementierung einer CAFM-Loesung. Der Auftraggeber beabsichtigt, die Eignung, Governance, Informationssicherheit, Qualitaetssicherung und Auditierbarkeit des angebotenen Leistungsumfangs transparent und vergleichbar zu bewerten. Die vom Bieter gemachten Angaben sollen den angebotenen Leistungsumfang einschliesslich Software, Konfiguration, Schnittstellen, Migration, Schulung, Support, Betriebsunterstuetzung und gegebenenfalls Hosting oder Cloud-Leistungen abdecken. Sofern Zertifizierungen oder Auditergebnisse nur fuer bestimmte Gesellschaften, Standorte, Rechenzentren, Servicebereiche oder Unterauftragnehmer gelten, ist die jeweilige Abgrenzung eindeutig darzustellen. Projekt- und verfahrensspezifische Angaben werden in diesem Muster nicht vorbelegt. Statt konkreter Informationen sind an allen relevanten Stellen Platzhalter vorgesehen, die durch den Bieter oder den Auftraggeber im Vergabeverfahren zu ersetzen sind.
Nachweise zu Audits und Zertifizierungen
- Audit- und Zertifizierungsanforderungen fuer CAFM-Ausschreibung
- Zertifizierungsstatus und Geltungsbereich
- Umsetzung im angebotenen Leistungsumfang
- Auditverlauf, Nichtkonformitaeten und Vorfaelle
- Nachweisunterlagen
- Zertifizierungsstatus und Geltungsbereich
- Umsetzung des QMS im CAFM-Projekt
- Auditverlauf, Abweichungen und Verbesserungsmassnahmen
- Nachweisunterlagen
- Auditbezogene Zusatzangaben
- Audit- und Mitwirkungspflichten
- Abweichungen, Risiken und Massnahmenplaene
- Anlagenverzeichnis
- Bietererklaerung und Unterschrift
Allgemeine Bieterangaben
| Angabe | Vom Bieter auszufuellen | Anlage / Referenz |
|---|---|---|
| Rechtlicher Name des Bieters | [Platzhalter] | [Platzhalter] |
| Handelsregister- oder Unternehmensnummer | [Platzhalter] | [Platzhalter] |
| Sitz / eingetragene Anschrift | [Platzhalter] | [Platzhalter] |
| Verantwortliche Kontaktperson fuer dieses Formular | [Platzhalter] | [Platzhalter] |
| Funktion / Rolle der Kontaktperson | [Platzhalter] | [Platzhalter] |
| E-Mail-Adresse | [Platzhalter] | [Platzhalter] |
| Telefonnummer | [Platzhalter] | [Platzhalter] |
| Angebotsfuehrende Rechtseinheit / Konsortialfuehrer | [Platzhalter] | [Platzhalter] |
| Beteiligte Unterauftragnehmer, Hosting- oder Cloud-Partner mit Relevanz fuer Audit und Zertifizierung | [Platzhalter - bitte alle relevanten Parteien benennen] | [Platzhalter] |
| Angebotene Bereitstellungsform | [Platzhalter - On-premises / SaaS / Hybrid / Sonstiges] | [Platzhalter] |
| Vom vorliegenden Formblatt erfasster Leistungsumfang | [Platzhalter - bitte beschreiben] | [Platzhalter] |
ISO 27001: Informationssicherheitsmanagementsystem (ISMS)
Zweck: Nachweis, dass der Bieter industriegerechte Verfahren fuer das Management von Informationssicherheitsrisiken anwendet. Dazu gehoeren unter anderem Governance, Risikobehandlung, Zugriffskontrolle, Schutz sensibler Daten, Behandlung von Sicherheitsvorfaellen sowie kontinuierliche Ueberwachung und Verbesserung.
Relevanz: Von besonderer Bedeutung fuer den Schutz sensibler CAFM-bezogener Informationen wie Stammdaten, Asset-Daten, Plaene, Wartungs- und Arbeitsauftraege, Benutzerkonten, Personaldaten, Dienstleisterdaten sowie system- und betriebsbezogene Protokolle.
Zertifizierungsstatus und Geltungsbereich
| Angabe | Vom Bieter auszufuellen | Anlage / Referenz |
|---|---|---|
| Aktueller Zertifizierungsstatus | [Platzhalter - zertifiziert / im Zertifizierungsprozess / nicht zertifiziert mit Begruendung] | [Platzhalter] |
| Zertifizierte Rechtseinheit(en) | [Platzhalter] | [Platzhalter] |
| Geltungsbereich der Zertifizierung (Scope Statement) | [Platzhalter - bitte vollstaendig angeben] | [Platzhalter] |
| Deckt der Scope die angebotene CAFM-Loesung und die angebotenen Services ab? | [Platzhalter - ja / teilweise / nein mit Erlaeuterung] | [Platzhalter] |
| Umfasst der Scope Hosting-, Cloud-, Support-, Service-Desk- oder Managed-Service-Leistungen? | [Platzhalter] | [Platzhalter] |
| Standorte, Rechenzentren oder Organisationseinheiten innerhalb des Scopes | [Platzhalter] | [Platzhalter] |
| Zertifikatsnummer | [Platzhalter] | [Platzhalter] |
| Zertifizierungsstelle und Akkreditierungsstatus | [Platzhalter] | [Platzhalter] |
| Datum der Erstzertifizierung | [Platzhalter] | [Platzhalter] |
| Gueltigkeitsende / naechste Rezertifizierung | [Platzhalter] | [Platzhalter] |
| Datum des letzten Ueberwachungsaudits | [Platzhalter] | [Platzhalter] |
| Termin des naechsten geplanten Audits | [Platzhalter] | [Platzhalter] |
Umsetzung im angebotenen Leistungsumfang
| Angabe | Vom Bieter auszufuellen | Anlage / Referenz |
|---|---|---|
| Beschreibung der im CAFM-Umfeld verarbeiteten Datenkategorien und ihres Schutzbedarfs | [Platzhalter - bitte beschreiben] | [Platzhalter] |
| Zugriffs- und Berechtigungsmanagement | [Platzhalter - Rollenmodell, Rezertifizierung, Least-Privilege-Ansatz] | [Platzhalter] |
| Identitaets- und Authentifizierungsverfahren | [Platzhalter - z. B. SSO, MFA, Passwortregeln, technische und organisatorische Massnahmen] | [Platzhalter] |
| Protokollierung, Nachvollziehbarkeit und revisionssichere Nachweise | [Platzhalter] | [Platzhalter] |
| Schutz von Daten bei Uebertragung und Speicherung | [Platzhalter - bitte technische und organisatorische Massnahmen benennen] | [Platzhalter] |
| Schwachstellenmanagement, Patchmanagement und Sicherheitsupdates | [Platzhalter] | [Platzhalter] |
| Management von Informationssicherheitsvorfaellen | [Platzhalter - Meldewege, Reaktionszeiten, Eskalation] | [Platzhalter] |
| Backup-, Wiederherstellungs- und Business-Continuity-Regelungen | [Platzhalter] | [Platzhalter] |
| Steuerung von Unterauftragnehmern und Drittparteien mit Daten- oder Systemzugriff | [Platzhalter] | [Platzhalter] |
| Regelmaessige Risikobewertungen und Management-Reviews | [Platzhalter] | [Platzhalter] |
| Schulungs- und Sensibilisierungsprogramm fuer Informationssicherheit | [Platzhalter] | [Platzhalter] |
| Physische und umgebungsbezogene Sicherheitsmassnahmen, soweit fuer die Leistung relevant | [Platzhalter] | [Platzhalter] |
Auditverlauf, Nichtkonformitaeten und Vorfaelle
| Angabe | Vom Bieter auszufuellen | Anlage / Referenz |
|---|---|---|
| Wurden in den letzten 36 Monaten wesentliche Nichtkonformitaeten festgestellt? | [Platzhalter - ja / nein; falls ja bitte zusammenfassen] | [Platzhalter] |
| Zusammenfassung wesentlicher Feststellungen aus externen oder internen Audits | [Platzhalter] | [Platzhalter] |
| Status der Korrektur- und Vorbeugungsmassnahmen | [Platzhalter] | [Platzhalter] |
| Wurde die Zertifizierung jemals ausgesetzt, eingeschraenkt oder entzogen? | [Platzhalter - ja / nein; falls ja bitte erlaeutern] | [Platzhalter] |
| Fuer das Angebot relevante Informationssicherheitsvorfaelle in den letzten 36 Monaten | [Platzhalter - keine / bitte beschreiben] | [Platzhalter] |
| Eingeleitete Verbesserungsmassnahmen infolge Audits oder Vorfaellen | [Platzhalter] | [Platzhalter] |
| Benannte verantwortliche Stelle fuer Audit- und Sicherheitsrueckfragen | [Platzhalter] | [Platzhalter] |
Nachweisunterlagen
| Nachweis | Vom Bieter auszufuellen | Anlage / Referenz |
|---|---|---|
| Kopie des gueltigen ISO-27001-Zertifikats | [Platzhalter] | [Platzhalter] |
| Ausfuehrliche Scope-Beschreibung oder gleichwertiger Nachweis | [Platzhalter] | [Platzhalter] |
| Letzter Ueberwachungs- oder Rezertifizierungsnachweis | [Platzhalter] | [Platzhalter] |
| Zusammenfassung noch offener oder kuerzlich geschlossener Feststellungen | [Platzhalter] | [Platzhalter] |
| Liste relevanter Standorte, Rechenzentren, Dienstleister oder Unterauftragnehmer im Scope | [Platzhalter] | [Platzhalter] |
| Sonstige beigefuegte sicherheitsbezogene Nachweise | [Platzhalter] | [Platzhalter] |
ISO 9001: Qualitaetsmanagementsystem (QMS)
Zweck: Nachweis, dass der Bieter ueber ein wirksames Qualitaetsmanagementsystem verfuegt, mit dem Produkte und Dienstleistungen konsistent, planbar und qualitaetsgesichert erbracht werden. Dies umfasst insbesondere die Steuerung von Prozessen, Verantwortlichkeiten, Dokumentation, Korrekturmassnahmen und kontinuierlicher Verbesserung.
Relevanz: Von besonderer Bedeutung fuer die qualitaetsgesicherte Entwicklung, Implementierung, Konfiguration, Einfuehrung und Betreuung der CAFM-Loesung, einschliesslich Anforderungsmanagement, Projektsteuerung, Testmanagement, Abnahme, Support und Erfuellung vertraglicher Anforderungen.
Zertifizierungsstatus und Geltungsbereich
| Angabe | Vom Bieter auszufuellen | Anlage / Referenz |
|---|---|---|
| Aktueller Zertifizierungsstatus | [Platzhalter - zertifiziert / im Zertifizierungsprozess / nicht zertifiziert mit Begruendung] | [Platzhalter] |
| Zertifizierte Rechtseinheit(en) | [Platzhalter] | [Platzhalter] |
| Geltungsbereich der Zertifizierung (Scope Statement) | [Platzhalter] | [Platzhalter] |
| Deckt der Scope die fuer die CAFM-Implementierung angebotenen Leistungen ab? | [Platzhalter - ja / teilweise / nein mit Erlaeuterung] | [Platzhalter] |
| Erfasste Standorte, Delivery-Einheiten oder Servicebereiche | [Platzhalter] | [Platzhalter] |
| Zertifikatsnummer | [Platzhalter] | [Platzhalter] |
| Zertifizierungsstelle und Akkreditierungsstatus | [Platzhalter] | [Platzhalter] |
| Datum der Erstzertifizierung | [Platzhalter] | [Platzhalter] |
| Gueltigkeitsende / naechste Rezertifizierung | [Platzhalter] | [Platzhalter] |
| Datum des letzten Ueberwachungsaudits | [Platzhalter] | [Platzhalter] |
| Termin des naechsten geplanten Audits | [Platzhalter] | [Platzhalter] |
Umsetzung des QMS im CAFM-Projekt
| Angabe | Vom Bieter auszufuellen | Anlage / Referenz |
|---|---|---|
| Qualitaetsmanagement fuer Anforderungsaufnahme, Analyse und Freigabe | [Platzhalter] | [Platzhalter] |
| Projektgovernance, Rollen, Freigaben und Eskalationsmechanismen | [Platzhalter] | [Platzhalter] |
| Steuerung von Design, Konfiguration, Entwicklung und Change Management | [Platzhalter] | [Platzhalter] |
| Testmanagement, Fehlerbehandlung und Abnahmeunterstuetzung | [Platzhalter] | [Platzhalter] |
| Datenmigration, Datenvalidierung und Qualitaetssicherung der Stammdaten | [Platzhalter] | [Platzhalter] |
| Schulungskonzept und Sicherstellung der Anwenderbefaehigung | [Platzhalter] | [Platzhalter] |
| Servicebetrieb: Incident-, Request-, Problem- und Eskalationsmanagement | [Platzhalter] | [Platzhalter] |
| Messung und Ueberwachung der Servicequalitaet | [Platzhalter - bitte KPIs, Reviews und Berichtswesen beschreiben] | [Platzhalter] |
| Umgang mit Kundenfeedback, Reklamationen und Verbesserungsimpulsen | [Platzhalter] | [Platzhalter] |
| Korrektur- und Vorbeugungsmassnahmen sowie kontinuierliche Verbesserung | [Platzhalter] | [Platzhalter] |
| Steuerung externer Lieferanten und Unterauftragnehmer aus Qualitaetssicht | [Platzhalter] | [Platzhalter] |
| Dokumentenlenkung, Wissensmanagement und Versionskontrolle | [Platzhalter] | [Platzhalter] |
Auditverlauf, Abweichungen und Verbesserungsmassnahmen
| Angabe | Vom Bieter auszufuellen | Anlage / Referenz |
|---|---|---|
| Datum des letzten internen Qualitaetsaudits mit Bezug zur angebotenen Leistung | [Platzhalter] | [Platzhalter] |
| Datum des letzten externen Audits / Ueberwachungsaudits | [Platzhalter] | [Platzhalter] |
| Wesentliche oder wiederkehrende Nichtkonformitaeten in den letzten 36 Monaten | [Platzhalter - ja / nein; falls ja bitte beschreiben] | [Platzhalter] |
| Status der Korrektur- und Verbesserungsmassnahmen | [Platzhalter] | [Platzhalter] |
| Fuer CAFM-Implementierungen relevante Qualitaetsvorfaelle, Eskalationen oder Reklamationen | [Platzhalter - keine / bitte beschreiben] | [Platzhalter] |
| Wesentliche Kennzahlen zur Ueberwachung der Liefer- und Servicequalitaet | [Platzhalter] | [Platzhalter] |
| Benannte verantwortliche Stelle fuer Qualitaetsrueckfragen | [Platzhalter] | [Platzhalter] |
Nachweisunterlagen
| Nachweis | Vom Bieter auszufuellen | Anlage / Referenz |
|---|---|---|
| Kopie des gueltigen ISO-9001-Zertifikats | [Platzhalter] | [Platzhalter] |
| Ausfuehrliche Scope-Beschreibung oder gleichwertiger Nachweis | [Platzhalter] | [Platzhalter] |
| Letzter Ueberwachungs- oder Rezertifizierungsnachweis | [Platzhalter] | [Platzhalter] |
| Zusammenfassung offener oder kuerzlich geschlossener qualitaetsbezogener Feststellungen | [Platzhalter] | [Platzhalter] |
| Dokumentierte Prozessuebersicht oder vergleichbarer Qualitaetsnachweis fuer die angebotene Leistung | [Platzhalter] | [Platzhalter] |
| Sonstige beigefuegte qualitaetsbezogene Nachweise | [Platzhalter] | [Platzhalter] |
Externe und interne Audits
| Angabe | Vom Bieter auszufuellen | Anlage / Referenz |
|---|---|---|
| Liste relevanter externer Audits oder Assessments der letzten 36 Monate | [Platzhalter - bitte Auditart, Zeitraum und Bezug zur angebotenen Leistung angeben] | [Platzhalter] |
| Liste relevanter interner Audits mit Bezug zu Softwareentwicklung, Servicebetrieb, Informationssicherheit oder Support | [Platzhalter] | [Platzhalter] |
| Frequenz von Management-Reviews oder vergleichbaren Steuerungsgremien | [Platzhalter] | [Platzhalter] |
| Beschreibung der Unabhaengigkeit der Audit- oder Compliance-Funktion | [Platzhalter] | [Platzhalter] |
| Eskalationsverfahren bei kritischen Auditfeststellungen | [Platzhalter] | [Platzhalter] |
| Verantwortliche Rollen fuer Nachverfolgung und Schliessung von Feststellungen | [Platzhalter] | [Platzhalter] |
Audit- und Mitwirkungspflichten
| Angabe | Vom Bieter auszufuellen | Anlage / Referenz |
|---|---|---|
| Bereitschaft zur Unterstuetzung von Audits des Auftraggebers oder seiner Beauftragten | [Platzhalter - bitte beschreiben] | [Platzhalter] |
| Erforderliche Vorlaufzeit fuer Auditankuendigungen | [Platzhalter] | [Platzhalter] |
| Zugangsmodell fuer Nachweisdokumente, Prozesse, Rollenbeschreibungen und Systeminformationen | [Platzhalter] | [Platzhalter] |
| Umgang mit vertraulichen Informationen waehrend eines Audits | [Platzhalter] | [Platzhalter] |
| Bereitstellung benannter Ansprechpartner waehrend eines Audits | [Platzhalter] | [Platzhalter] |
| Unterstuetzung von Remote-Audits oder Dokumentenpruefungen | [Platzhalter] | [Platzhalter] |
| Fristen und Vorgehen fuer die Behebung festgestellter Abweichungen | [Platzhalter] | [Platzhalter] |
| Berichtswesen und Rueckmeldung nach Abschluss eines Audits | [Platzhalter] | [Platzhalter] |
Abweichungen, Risiken und Massnahmenplaene
| Angabe | Vom Bieter auszufuellen | Anlage / Referenz |
|---|---|---|
| Vom Bieter identifizierte Abweichungen zu den in diesem Formblatt abgefragten Zertifizierungs- oder Audit-Anforderungen | [Platzhalter] | [Platzhalter] |
| Bewertung der Auswirkungen auf die CAFM-Implementierung oder den spaeteren Betrieb | [Platzhalter] | [Platzhalter] |
| Kompensierende organisatorische, prozessuale oder technische Massnahmen | [Platzhalter] | [Platzhalter] |
| Geplanter Termin zur Schliessung offener Punkte | [Platzhalter] | [Platzhalter] |
| Erforderliche Entscheidungen oder Zustimmungen des Auftraggebers | [Platzhalter] | [Platzhalter] |
| Referenz auf gesonderte Massnahmen- oder Remediationsplaene | [Platzhalter] | [Platzhalter] |
Anlagenverzeichnis
| Anlage | Beschreibung / Inhalt | Referenz |
|---|---|---|
| Anlage 1 | [Platzhalter - ISO-27001-Nachweise] | [Platzhalter] |
| Anlage 2 | [Platzhalter - ISO-9001-Nachweise] | [Platzhalter] |
| Anlage 3 | [Platzhalter - Auditberichte oder Audit-Zusammenfassungen] | [Platzhalter] |
| Anlage 4 | [Platzhalter - Unterauftragnehmer-, Hosting- oder Cloud-Informationen] | [Platzhalter] |
| Anlage 5 | [Platzhalter - Korrekturmassnahmen- oder Verbesserungsplaene] | [Platzhalter] |
| Anlage 6 | [Platzhalter - Sonstige relevante Nachweise] | [Platzhalter] |
Bietererklaerung und Unterschrift
Der Bieter erklaert, dass die in diesem Formblatt gemachten Angaben vollstaendig, richtig und auf den angebotenen Leistungsumfang bezogen sind. Der Bieter bestaetigt ferner, dass wesentliche Aenderungen des Zertifizierungsstatus, relevante Auditfeststellungen, Sicherheitsvorfaelle oder qualitaetsrelevante Abweichungen, die waehrend des Vergabeverfahrens eintreten, dem Auftraggeber unverzueglich mitgeteilt werden.
Soweit Nachweise in diesem Verfahrensstand noch nicht beigefuegt werden, verpflichtet sich der Bieter, diese auf gesonderte Anforderung innerhalb der vorgegebenen Frist vorzulegen.
| Feld | Vom Bieter auszufuellen | Anlage / Referenz |
|---|---|---|
| Name der zeichnungsberechtigten Person | [Platzhalter] | [Platzhalter] |
| Funktion | [Platzhalter] | [Platzhalter] |
| Unternehmen / Rechtseinheit | [Platzhalter] | [Platzhalter] |
| Ort und Datum | [Platzhalter] | [Platzhalter] |
| Unterschrift | [Platzhalter] | [Nicht erforderlich, falls digital geregelt - Platzhalter] |