ProvenExpert
50 Kundenbewertungen
ProvenExpertProvenExpertProvenExpertProvenExpertProvenExpert
Sehr Gut
100 % Empfehlungen
Empfehlung! 5 von 5 Sternen.
Mehr InfosMehr Infos

Informationssicherheit managen – nicht dem Zufall überlassen

Clock
5
min Lesezeit
Calendar icon
1/4/25
Illustration eines Managementsystems zur Informationssicherheit – mit Symbolen für Verantwortung, Steuerung und Kontrolle im TISAX®-Kontext

So setzt du die TISAX®-Kontrolle 1.2.1 richtig um

Informationssicherheit entsteht nicht durch Einzelmaßnahmen oder gute Vorsätze. Sie ist das Ergebnis eines systematischen Managements, das von der Spitze des Unternehmens getragen wird – mit klaren Zielen, geregelten Prozessen und überprüfbaren Wirkungen. Genau darum geht es in der TISAX®-Kontrolle 1.2.1.

Was fordert die TISAX®-Kontrolle 1.2.1 konkret?

Die Frage des VDA ISA lautet: „Inwieweit wird in der Organisation Informationssicherheit gemanagt?“

Konkret bedeutet das: Ein Unternehmen muss nachweisen, dass Informationssicherheit nicht zufällig, sondern strukturiert, zielgerichtet und dauerhaft umgesetzt wird – über ein gelebtes ISMS (Informationssicherheitsmanagementsystem).

Das umfasst insbesondere:

  • Festlegung des Geltungsbereichs (Scope): Welche Teile des Unternehmens sind vom ISMS erfasst?
  • Freigabe durch die Unternehmensleitung: Top-Management trägt Verantwortung und entscheidet aktiv.
  • Ermittlung und Bewertung der Anforderungen: z. B. über eine Schutzbedarfsfeststellung oder Kontextanalyse.
  • Regelmäßige Überprüfung der Wirksamkeit: durch Management-Reviews oder interne Audits.
  • Ableitung anwendbarer Maßnahmen: z. B. anhand des ausgefüllten VDA ISA oder einer ISO 27001 Erklärung zur Anwendbarkeit.
Du möchtest das TISAX®-Gesamtkonzept verstehen und wissen, wie Kontrolle 1.2.1 mit anderen Anforderungen zusammenhängt? Dann lies unseren Überblicksartikel: TISAX®-Anforderungen verstehen & umsetzen

Vom Regelwerk zur Realität – worauf es ankommt

Die meisten Organisationen führen früher oder später Richtlinien, Maßnahmen und Tools für die Informationssicherheit ein. Doch ohne Managementsystem bleibt es bei Einzellösungen. Die TISAX®-Kontrolle 1.2.1 macht deshalb klar: Sicherheit ist ein Chefthema – kein IT-Projekt.

Damit das ISMS Wirkung entfalten kann, braucht es:

  1. Strategische Verankerung
    Informationssicherheit muss in der Unternehmensstrategie benannt werden – nicht nur als IT-Thema, sondern als Geschäftsfaktor.
  2. Formale Beauftragung & Freigabe
    Die Unternehmensleitung muss das ISMS offiziell beauftragen – z. B. durch ein unterzeichnetes Mandat, Organigramme oder Management-Policy.
  3. Regelmäßige Steuerung
    Das ISMS muss durch Reviews, Berichte und ggf. ein Gremium begleitet werden. Nur so entstehen Rückkopplung und Fortschritt.
  4. Wirksamkeitsprüfung & Reifegradentwicklung
    Nicht das Dokumentieren allein zählt, sondern der nachweisbare Fortschritt – über Audits, Key Performance Indicators (KPIs) oder Lessons Learned.

Typische Schwächen in TISAX®-Assessments

Viele Unternehmen scheitern nicht an der Technik – sondern an der fehlenden Verankerung im Management:

  • Kein klar definierter Scope für das ISMS
  • Nur informelle Verantwortlichkeiten („das macht der IT-Leiter mit“)
  • Keine regelmäßige Managementbewertung
  • Fehlende Dokumentation zur Beauftragung oder Zielsetzung

Solche Lücken werden von Auditor:innen schnell erkannt – und führen oft zu einem unvollständigen Label oder Nachbesserungen.

Wie du Richtlinien zur Informationssicherheit formal korrekt aufsetzt und TISAX®-Kontrolle 1.1.1 erfüllst, erfährst du hier: Informationssicherheitsrichtlinie im Fokus

Was der Auditor konkret sehen will

Wenn dein Unternehmen ein TISAX®-Assessment durchläuft, sollte es u. a. folgende Nachweise griffbereit haben:

  • ISMS-Policy oder Mandat mit Management-Freigabe
  • Geltungsbereichsbeschreibung (Scope)
  • Management-Review-Berichte oder Protokolle
  • Maßnahmenkataloge (z. B. VDA ISA, SoA/Annex A)
  • Nachweise zur Wirksamkeitsprüfung (z. B. Auditergebnisse, KPIs)

Besonders überzeugend ist es, wenn das Management nicht nur unterzeichnet – sondern mit eigenen Worten erklären kann, warum Informationssicherheit wichtig ist und wie sie intern gesteuert wird.

Fazit: Informationssicherheit braucht Führung

Die TISAX®-Kontrolle 1.2.1 stellt keine technische, sondern eine kulturelle Anforderung. Sie fragt danach, ob Informationssicherheit ein Thema der Chefetage ist – oder nur als Pflichtthema im IT-Bereich gesehen wird.

Wer das Thema strategisch verankert und mit einem funktionierenden ISMS begleitet, legt die Grundlage für alle weiteren TISAX®-Kontrollen.

Wie dein ISMS auch in Notfällen stabil bleibt? Lies mehr dazu in unserem Beitrag: Business Continuity im Fokus – TISAX®-Kontrollen 1.6.3, 5.2.8 & 5.2.9

FAQ zur TISAX®-Anforderung 1.2.1

🔍 Was prüft TISAX®-Kontrolle 1.2.1 genau?
Ob Informationssicherheit aktiv durch das Management gesteuert wird – inklusive Scope-Festlegung, Managementfreigabe und regelmäßiger Wirksamkeitsprüfung des ISMS.

🔍 Welche Nachweise erwarten Auditor:innen?
Freigegebene ISMS-Policy, Scope-Dokument, Management-Reviews, ISA-Katalog oder SoA sowie interne Auditergebnisse.

🔍 Muss ich die ISO 27001 dafür vollständig umsetzen?
Nein – aber zentrale Elemente wie Geltungsbereich, Verantwortlichkeiten und Kontrolle der Wirksamkeit müssen auch bei TISAX®-Einführungen vorhanden sein. Der VDA ISA erlaubt eine pragmatische Umsetzung.

🤝 Unterstützung gewünscht?

Du willst dein ISMS systematisch aufbauen, verankern oder weiterentwickeln?
Wir helfen dir von der Gap-Analyse bis zum Management-Review.

👉 Jetzt TISAX®-Beratung anfragen

Weitere Beiträge

Entdecken Sie weitere spannende Artikel zu Datenschutz, Informationssicherheit und Compliance. Bleiben Sie auf dem neuesten Stand und erfahren Sie, wie Sie Ihr Unternehmen optimal schützen können.

Alle ansehen
Alle ansehen
1
2
3
4
5
6
Learn More
View Details