ProvenExpert
50 Kundenbewertungen
ProvenExpertProvenExpertProvenExpertProvenExpertProvenExpert
Sehr Gut
100 % Empfehlungen
Empfehlung! 5 von 5 Sternen.
Mehr InfosMehr Infos

Informationssicherheitsrichtlinie im Fokus

Clock
5
min Lesezeit
Calendar icon
1/4/25
Visualisierung einer Richtlinie zur Informationssicherheit mit Symbolen für Dokumentation, Genehmigung und Mitarbeiterkommunikation – passend zur TISAX®-Kontrolle 1.1.1

Wie du die TISAX®-Kontrolle 1.1.1 richtig umsetzt

Am Anfang jeder strukturierten Informationssicherheit steht ein Grundlagendokument: die Informationssicherheitsrichtlinie. Sie formuliert nicht nur die Haltung eines Unternehmens zum Thema Sicherheit, sondern legt verbindlich fest, wie Mitarbeitende, Führungskräfte und externe Partner mit sensiblen Informationen umgehen sollen.

Im Rahmen eines TISAX®-Assessments bildet die Richtlinie die Basis für das gesamte Informationssicherheitsmanagementsystem (ISMS). Kein Wunder also, dass sie bereits in der ersten TISAX®-Kontrolle – 1.1.1 – eine zentrale Rolle spielt.

Was fordert die TISAX®-Kontrolle 1.1.1 konkret?

Die Fragestellung im VDA ISA lautet: „Inwieweit sind Richtlinien zur Informationssicherheit vorhanden?“

Die ENX Association erwartet, dass jedes Unternehmen mindestens eine zentrale Richtlinie zur Informationssicherheit erstellt und formal genehmigt hat. Diese soll den Stellenwert der Informationssicherheit im Unternehmen deutlich machen, auf gesetzliche, vertragliche und interne Anforderungen eingehen – und an die Größe sowie die Struktur der Organisation angepasst sein.

Außerdem wird geprüft, ob:

  • die Richtlinie freigegeben und dokumentiert wurde,
  • Verantwortlichkeiten und Konsequenzen bei Nichteinhaltung benannt sind,
  • die Inhalte an Mitarbeitende und relevante Partner kommuniziert wurden,
  • und regelmäßige Überprüfungen sowie Aktualisierungen stattfinden.
Du möchtest verstehen, wie diese Anforderung in den Gesamtprozess der Informationssicherheit eingebettet ist?Lies hier weiter: 👉 TISAX®-Anforderungen verstehen & umsetzen

Vom Papier zur Praxis – worauf es wirklich ankommt

Viele Unternehmen erstellen eine Informationssicherheitsrichtlinie im Rahmen eines ISMS-Projekts. Doch Papier allein reicht nicht. Aus Sicht eines TISAX®-Auditors muss das Dokument gelebte Praxis widerspiegeln. Das bedeutet:

  • Die Inhalte müssen zu deiner Organisation passen. Pauschale Formulierungen aus Vorlagen sollten durch konkrete Aussagen ersetzt werden, z. B. zum Schutzbedarf, zum Umgang mit mobilen Geräten oder zur Reaktion auf Vorfälle.
  • Die Richtlinie muss intern verbreitet sein. Ideal ist die Veröffentlichung im Intranet oder ein direkter Versand an Mitarbeitende mit Lesebestätigung. Auch externe Partner im Scope müssen Zugang haben.
  • Regelmäßige Updates sind Pflicht. Spätestens nach Änderungen in Prozessen, Systemen oder relevanten Gesetzen sollte die Richtlinie überprüft und ggf. angepasst werden.
  • Awareness ist der Schlüssel. Die Richtlinie darf nicht im Dateisystem verstauben – sie muss in Schulungen, Onboardings und Prozessen verankert sein.
Auch Business Continuity beginnt mit klaren Grundsätzen und Richtlinien. Wie du TISAX®-Kontrollen zur Ausfallsicherheit, Datensicherung und Wiederherstellung erfüllst, erfährst du hier:👉 Business Continuity im Fokus – TISAX®-Controls 1.6.3, 5.2.8 & 5.2.9

Häufige Fehler in TISAX®-Assessments

  • Die Richtlinie wurde nicht offiziell freigegeben – oder es gibt keinen Nachweis darüber.
  • Es existieren mehrere widersprüchliche Versionen.
  • Kein Hinweis auf Konsequenzen bei Nichteinhaltung.
  • Mitarbeitende kennen die Richtlinie nicht – oder nur einzelne Bereiche.
  • Keine regelmäßige Prüfung oder Aktualisierung dokumentiert.

All das kann zu Punktabzug beim Reifegrad im Assessment führen – oder zu einer Abweichung.

Was ein Auditor sehen will

Ein erfahrener TISAX®-Auditor wird im Gespräch und in den Unterlagen folgende Punkte suchen:

  • Wer hat die Richtlinie erstellt und freigegeben?
  • Wie wird die Umsetzung innerhalb des Scopes sichergestellt?
  • Welche weiteren Richtlinien oder Dokumente existieren im Umfeld?
  • Wie werden Änderungen kommuniziert und dokumentiert?

Die gute Nachricht: Wenn du diese Fragen sauber beantworten kannst – idealerweise mit Screenshots, Versionierungen und klarer Zuständigkeit – bist du auf der sicheren Seite.

Fazit: Ohne klare Richtlinie kein sicheres System

Die Informationssicherheitsrichtlinie ist kein Selbstzweck. Sie ist das Fundament für jede weitere Maßnahme – sei es in der Zugriffskontrolle, im Umgang mit Daten oder in der Reaktion auf Sicherheitsvorfälle.

TISAX®-Kontrolle 1.1.1 erinnert uns daran, dass Sicherheit immer mit Klarheit beginnt. Und Klarheit entsteht durch eindeutige, verständliche und gelebte Richtlinien.

FAQ zum TISAX-Control 1.1.1

🔍 Was fordert TISAX®-Kontrolle 1.1.1 konkret?
Sie verlangt eine genehmigte, dokumentierte und kommunizierte Richtlinie zur Informationssicherheit. Diese muss den Stellenwert des Themas verdeutlichen und an Gesetze, Verträge und die Unternehmensziele angepasst sein.

🔍 Wer ist für die Richtlinie verantwortlich?
In der Regel das Informationssicherheitsmanagement (ISB, CISO oder Geschäftsführung). Wichtig ist, dass die Zuständigkeit klar dokumentiert ist und die Richtlinie regelmäßig überprüft wird.

🔍 Wie wird die Richtlinie im TISAX®-Assessment geprüft?
Auditoren achten auf Freigabedatum, Versionskontrolle, Verfügbarkeit für Mitarbeitende und Hinweise auf Konsequenzen bei Nichteinhaltung. Auch der Abgleich mit anderen Richtlinien wird oft geprüft.

🤝 Du brauchst Unterstützung?

Wenn du deine bestehende Richtlinie prüfen oder komplett neu aufsetzen willst – wir helfen dir weiter:
Von der individuell angepassten Vorlage bis zur vollständigen Integration in dein ISMS begleiten wir dich praxisnah durch die TISAX®-Anforderungen.

👉 Jetzt TISAX®-Beratung anfragen

Weitere Beiträge

Entdecken Sie weitere spannende Artikel zu Datenschutz, Informationssicherheit und Compliance. Bleiben Sie auf dem neuesten Stand und erfahren Sie, wie Sie Ihr Unternehmen optimal schützen können.

Alle ansehen
Alle ansehen
1
2
3
4
5
6
Learn More
View Details