.png)
So setzt du die TISAX®-Kontrolle 1.2.1 richtig um
Informationssicherheit entsteht nicht durch Einzelmaßnahmen oder gute Vorsätze. Sie ist das Ergebnis eines systematischen Managements, das von der Spitze des Unternehmens getragen wird – mit klaren Zielen, geregelten Prozessen und überprüfbaren Wirkungen. Genau darum geht es in der TISAX®-Kontrolle 1.2.1.
Was fordert die TISAX®-Kontrolle 1.2.1 konkret?
Die Frage des VDA ISA lautet: „Inwieweit wird in der Organisation Informationssicherheit gemanagt?“
Konkret bedeutet das: Ein Unternehmen muss nachweisen, dass Informationssicherheit nicht zufällig, sondern strukturiert, zielgerichtet und dauerhaft umgesetzt wird – über ein gelebtes ISMS (Informationssicherheitsmanagementsystem).
Das umfasst insbesondere:
- Festlegung des Geltungsbereichs (Scope): Welche Teile des Unternehmens sind vom ISMS erfasst?
- Freigabe durch die Unternehmensleitung: Top-Management trägt Verantwortung und entscheidet aktiv.
- Ermittlung und Bewertung der Anforderungen: z. B. über eine Schutzbedarfsfeststellung oder Kontextanalyse.
- Regelmäßige Überprüfung der Wirksamkeit: durch Management-Reviews oder interne Audits.
- Ableitung anwendbarer Maßnahmen: z. B. anhand des ausgefüllten VDA ISA oder einer ISO 27001 Erklärung zur Anwendbarkeit.
Du möchtest das TISAX®-Gesamtkonzept verstehen und wissen, wie Kontrolle 1.2.1 mit anderen Anforderungen zusammenhängt? Dann lies unseren Überblicksartikel: TISAX®-Anforderungen verstehen & umsetzen
Vom Regelwerk zur Realität – worauf es ankommt
Die meisten Organisationen führen früher oder später Richtlinien, Maßnahmen und Tools für die Informationssicherheit ein. Doch ohne Managementsystem bleibt es bei Einzellösungen. Die TISAX®-Kontrolle 1.2.1 macht deshalb klar: Sicherheit ist ein Chefthema – kein IT-Projekt.
Damit das ISMS Wirkung entfalten kann, braucht es:
- Strategische Verankerung
Informationssicherheit muss in der Unternehmensstrategie benannt werden – nicht nur als IT-Thema, sondern als Geschäftsfaktor.
- Formale Beauftragung & Freigabe
Die Unternehmensleitung muss das ISMS offiziell beauftragen – z. B. durch ein unterzeichnetes Mandat, Organigramme oder Management-Policy.
- Regelmäßige Steuerung
Das ISMS muss durch Reviews, Berichte und ggf. ein Gremium begleitet werden. Nur so entstehen Rückkopplung und Fortschritt.
- Wirksamkeitsprüfung & Reifegradentwicklung
Nicht das Dokumentieren allein zählt, sondern der nachweisbare Fortschritt – über Audits, Key Performance Indicators (KPIs) oder Lessons Learned.
Typische Schwächen in TISAX®-Assessments
Viele Unternehmen scheitern nicht an der Technik – sondern an der fehlenden Verankerung im Management:
- Kein klar definierter Scope für das ISMS
- Nur informelle Verantwortlichkeiten („das macht der IT-Leiter mit“)
- Keine regelmäßige Managementbewertung
- Fehlende Dokumentation zur Beauftragung oder Zielsetzung
Solche Lücken werden von Auditor:innen schnell erkannt – und führen oft zu einem unvollständigen Label oder Nachbesserungen.
Wie du Richtlinien zur Informationssicherheit formal korrekt aufsetzt und TISAX®-Kontrolle 1.1.1 erfüllst, erfährst du hier: Informationssicherheitsrichtlinie im Fokus
Was der Auditor konkret sehen will
Wenn dein Unternehmen ein TISAX®-Assessment durchläuft, sollte es u. a. folgende Nachweise griffbereit haben:
- ISMS-Policy oder Mandat mit Management-Freigabe
- Geltungsbereichsbeschreibung (Scope)
- Management-Review-Berichte oder Protokolle
- Maßnahmenkataloge (z. B. VDA ISA, SoA/Annex A)
- Nachweise zur Wirksamkeitsprüfung (z. B. Auditergebnisse, KPIs)
Besonders überzeugend ist es, wenn das Management nicht nur unterzeichnet – sondern mit eigenen Worten erklären kann, warum Informationssicherheit wichtig ist und wie sie intern gesteuert wird.
Fazit: Informationssicherheit braucht Führung
Die TISAX®-Kontrolle 1.2.1 stellt keine technische, sondern eine kulturelle Anforderung. Sie fragt danach, ob Informationssicherheit ein Thema der Chefetage ist – oder nur als Pflichtthema im IT-Bereich gesehen wird.
Wer das Thema strategisch verankert und mit einem funktionierenden ISMS begleitet, legt die Grundlage für alle weiteren TISAX®-Kontrollen.
Wie dein ISMS auch in Notfällen stabil bleibt? Lies mehr dazu in unserem Beitrag: Business Continuity im Fokus – TISAX®-Kontrollen 1.6.3, 5.2.8 & 5.2.9
FAQ zur TISAX®-Anforderung 1.2.1
🔍 Was prüft TISAX®-Kontrolle 1.2.1 genau?
Ob Informationssicherheit aktiv durch das Management gesteuert wird – inklusive Scope-Festlegung, Managementfreigabe und regelmäßiger Wirksamkeitsprüfung des ISMS.
🔍 Welche Nachweise erwarten Auditor:innen?
Freigegebene ISMS-Policy, Scope-Dokument, Management-Reviews, ISA-Katalog oder SoA sowie interne Auditergebnisse.
🔍 Muss ich die ISO 27001 dafür vollständig umsetzen?
Nein – aber zentrale Elemente wie Geltungsbereich, Verantwortlichkeiten und Kontrolle der Wirksamkeit müssen auch bei TISAX®-Einführungen vorhanden sein. Der VDA ISA erlaubt eine pragmatische Umsetzung.
🤝 Unterstützung gewünscht?
Du willst dein ISMS systematisch aufbauen, verankern oder weiterentwickeln?
Wir helfen dir von der Gap-Analyse bis zum Management-Review.
