TISAX Controls erklärt: TISAX Control 1.1.1 Informationssicherheitsrichtlinien

In einer zunehmend digitalisierten Welt sind klare Richtlinien für Informationssicherheit essenziell, um sensible Daten zu schützen und die Geschäftskontinuität zu gewährleisten. Für Unternehmen, die im TISAX-Kontext agieren, bilden diese Richtlinien die Grundlage, um die Anforderungen der TISAX Controls zu erfüllen und ein effektives Informationssicherheitsmanagementsystem (ISMS) aufzubauen.

In diesem ersten Teil der Reihe „TISAX Controls erklärt“ zeige ich Ihnen, warum Informationssicherheitsrichtlinien eine zentrale Rolle für TISAX spielen, welche Anforderungen Sie erfüllen müssen und wie Sie diese effektiv in Ihrer Organisation umsetzen können.

Warum sind Richtlinien für Informationssicherheit unverzichtbar?

Unter all den TISAX Controls ist das TISAX Control 1.1.1 das fundamentalste und wichtigste. Richtlinien definieren nicht nur, welche Maßnahmen und Verhaltensweisen im Umgang mit Informationen erforderlich sind, sondern schaffen auch Transparenz und Verbindlichkeit – sowohl intern für Mitarbeitende als auch extern für Geschäftspartner. Sie sind ein entscheidender Faktor, um Informationssicherheitsziele zu erreichen und Risiken zu minimieren.

Doch wie gut ist Ihre Organisation tatsächlich aufgestellt? Genau diese Frage stellt das TISAX Control 1.1.1: „Inwieweit sind Richtlinien zur Informationssicherheit vorhanden?“

Brauchen Sie TISAX Beratung oder Unterstützung?

Gap Analyse, Maßnahmenplanung, Auditvorbereitung und -begleitung für TISAX.
Buchen Sie gerne einen kostenlosen und unverbindlichen Termin!

TISAX Control 1.1.1: Inwieweit sind Richtlinien zur Informationssicherheit vorhanden?

Die Kontrollfrage zielt darauf ab, zu überprüfen, ob in Ihrer Organisation klare und verbindliche Vorgaben zur Informationssicherheit existieren. Das ist der erste Schritt, um die Grundlage für ein strukturiertes Informationssicherheitsmanagement zu schaffen. Dabei geht es nicht nur um das Vorhandensein von Dokumenten, sondern auch darum, dass diese Richtlinien den spezifischen Anforderungen Ihrer Organisation entsprechen, freigegeben und für alle relevanten Parteien zugänglich sind.

Mindestens eine Richtlinie zur Informationssicherheit definiert den Stellenwert der Informationssicherheit in Ihrer Organisation, legt Ziele fest und zeigt, wie diese Ziele erreicht werden sollen. Zudem bildet sie den Rahmen für weitere spezifische Regelungen und Maßnahmen. Die Antwort auf diese Kontrollfrage gibt Aufschluss darüber, ob die Organisation die Bedeutung der Informationssicherheit strategisch verankert hat und ob die notwendigen Grundlagen für eine wirksame Umsetzung geschaffen wurden.

Ziel des TISAX Controls 1.1.1

Das Ziel dieses TISAX Controls ist es, sicherzustellen, dass die Organisation mindestens eine übergeordnete Richtlinie zur Informationssicherheit erstellt hat. Diese Richtlinie dient als strategisches Fundament des Informationssicherheitsmanagementsystems (ISMS) und spiegelt die Bedeutung der Informationssicherheit für die Organisation wider.

Dabei ist es wichtig, dass die Richtlinie auf die individuellen Gegebenheiten der Organisation abgestimmt ist. Sie muss die Informationssicherheitsziele der Organisation klar definieren und verbindliche Vorgaben für den Umgang mit Informationen festlegen.

Zusätzlich kann die Organisation, je nach ihrer Größe und Komplexität, weitere spezifische Richtlinien entwickeln, um bestimmte Themen wie Datensicherung, Zugriffskontrolle oder den Umgang mit externen Partnern abzudecken. Eine solche Struktur stellt sicher, dass Informationssicherheit in allen relevanten Bereichen durch klare Vorgaben verankert ist.

Die Anforderungen des TISAX Control 1.1.1 im Detail

Compliance im Unternehmen

Die Anforderungen der TISAX Controls lassen sich in zwei Kategorien unterteilen: Muss-Anforderungen und Sollte-Anforderungen.

Muss-Anforderungen

Die folgenden VDA ISA Anforderungen sind verpflichtend, um das TISAX Control 1.1.1 zu erfüllen:

  • Festlegung und Dokumentation der Anforderungen an die Informationssicherheit:
    • Die Anforderungen müssen an die Ziele der Organisation angepasst sein.
    • Eine Informationssicherheitsrichtlinie muss erstellt und von der Organisation freigegeben werden.
  • Inhalt der Richtlinie:
    • Die Richtlinie muss die Ziele der Informationssicherheit und deren Stellenwert innerhalb der Organisation klar definieren.

Anforderungen an die Informationssicherheit festlegen und dokumentieren

Jede Organisation hat individuelle Ziele und Herausforderungen. Dadurch entstehen auch ganz spezifische Anforderungen an die Informationssicherheit, die definiert werden müssen, um klare Regeln für den Umgang mit Informationen aufzustellen.

Die Anforderungen sollten immer an die strategischen Ziele der Organisation angepasst sein. Zum Beispiel:

  • Wenn die Organisation stark von der Zusammenarbeit mit externen Partnern abhängt, könnte der sichere Datenaustausch ein zentrales Thema sein.
  • Für Unternehmen, die viele Remote-Mitarbeitende haben, könnten sichere Zugänge und Gerätepriorität haben.

Sobald die Anforderungen klar sind, müssen sie dokumentiert werden. Dieses Dokument dient als Grundlage für die Informationssicherheitsrichtlinie und zeigt allen Mitarbeitenden, welche Vorgaben gelten. Eine schriftliche Festlegung ist entscheidend, um Transparenz und Verbindlichkeit zu schaffen und Missverständnisse zu vermeiden.

Eine Richtlinie erstellen und freigeben

Es sollte mindestens eine Richtlinie zur Informationssicherheit existieren. Diese Informationssicherheitsrichtlinie ist das zentrale Dokument, das die grundlegenden Anforderungen und Vorgaben für den Schutz von Informationen definiert. Sie dient als Orientierung für alle weiteren Aktivitäten und ist für die gesamte Organisation verbindlich.

In vielen Organisationen wird die Informationssicherheit in mehreren spezifischen Informationssicherheitsrichtlinien geregelt. In diesem Fall fordert das TISAX Control 1.1.1 die Erstellung einer übergeordneten Leitlinie zur Informationssicherheit. Diese Leitlinie fasst die wesentlichen Inhalte zusammen, schafft einen strategischen Rahmen und gewährleistet, dass alle Regelungen miteinander abgestimmt sind.

Die Inhalte dieser Leitlinie werden im Folgenden erläutert.

Inhalt der Richtlinie

Die Informationssicherheitsrichtlinie ist das zentrale Dokument, das die grundlegenden Ziele und Prioritäten der Informationssicherheit für die Organisation festlegt. Sie muss klar definieren, welchen Stellenwert die Informationssicherheit innerhalb des Unternehmens hat und welche Ziele mit ihrer Umsetzung verfolgt werden.

Ziele der Informationssicherheit

In der Richtlinie sollten zumindest die drei Schutzziele der Informationssicherheit deutlich hervorgehoben werden:

  • Vertraulichkeit: Schutz sensibler Daten vor unbefugtem Zugriff.
  • Integrität: Sicherstellen, dass Informationen korrekt und unverändert bleiben.
  • Verfügbarkeit: Informationen und Systeme müssen den berechtigten Nutzern jederzeit zur Verfügung stehen.

Zusätzlich können organisationsspezifische Ziele ergänzt werden, beispielsweise:

  • Einhaltung gesetzlicher und vertraglicher Anforderungen (z. B. DSGVO, TISAX Controls).
  • Schutz der Unternehmensreputation durch effektive Sicherheitsmaßnahmen.
  • Förderung des Vertrauens von Kunden und Geschäftspartnern in den Umgang mit Informationen.
Stellenwert der Informationssicherheit

Die Richtlinie sollte verdeutlichen, warum Informationssicherheit für die Organisation strategisch wichtig ist. Zum Beispiel:

  • Integration in die Unternehmenskultur: Informationssicherheit ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess, der alle Mitarbeitenden betrifft.
  • Verpflichtung der Führungsebene: Die Geschäftsleitung unterstützt aktiv die Ziele der Informationssicherheit, um deren Bedeutung im Unternehmen zu unterstreichen.
  • Verbindlichkeit für alle: Die Richtlinie gilt für alle Mitarbeitenden sowie für externe Partner, die Zugang zu Unternehmensinformationen haben.

Durch eine klare und prägnante Formulierung dieser Inhalte und durch die Unterstützung sowie Freigabe der Unternehmensführung wird die Informationssicherheitsrichtlinie zu einem wirksamen Steuerungsinstrument für das gesamte Unternehmen.

Sollte-Anforderungen

Die folgenden Anforderungen sollten, gemäß dem TISAX-Leitsatz „SOLLTE ist MUSS, wenn das Unternehmen KANN“, umgesetzt werden, sofern die Organisation dazu in der Lage ist und keine wichtigen Gründe dagegen sprechen:

  • Die Informationssicherheitsrichtlinie sollte die Organisationsstrategie, gesetzliche Anforderungen und vertragliche Verpflichtungen berücksichtigen.
  • Die Richtlinie sollte klare Folgen bei Verstößen definieren.
  • Zusätzliche Richtlinien sollten spezielle Themen abdecken.
  • Ein Verfahren zur regelmäßigen Überprüfung und Anpassung der Richtlinie sollte etabliert sein.
  • Die Richtlinie sollte Mitarbeitenden und externen Partnern leicht zugänglich gemacht werden.
  • Relevante Änderungen der Richtlinie sollten an alle betroffenen Parteien kommuniziert werden.
AnforderungDetailWarum wichtig?Beispiele
Berücksichtigung von Strategie, Gesetzen und VerträgenDie Richtlinie sollte sicherstellen, dass die Informationssicherheitsziele der Organisation auf die übergeordnete Strategie abgestimmt sind.So wird sichergestellt, dass die Organisation die Anforderungen an Compliance erfüllt, indem sie gesetzliche, regulatorische und vertragliche Vorgaben einhält und dokumentiert.Ein international tätiges Unternehmen muss die Datenschutzanforderungen verschiedener Länder berücksichtigen.

Ein Zulieferer in der Automobilindustrie muss vertragliche Anforderungen an die Informationssicherheit von Partnern wie OEMs erfüllen.
Konsequenzen bei Nichteinhaltung aufzeigenDie Richtlinie sollte klar darlegen, welche internen und externen Konsequenzen Verstöße gegen die Informationssicherheitsvorgaben haben.So wird die Verbindlichkeit der Informationssicherheitsrichtlinie gestärkt und das Bewusstsein der Mitarbeitenden sowie Partner für die Konsequenzen von Verstößen geschärft.Abmahnungen, Schulungen oder disziplinarische Konsequenzen bei wiederholten Verstößen.

Vertragsstrafen, rechtliche Schritte oder Schadenersatzforderungen durch betroffene Partner.
Erstellung weiterer spezifischer RichtlinienNeben der übergeordneten Informationssicherheitsleitlinie sollten zusätzliche Richtlinien für spezifische Bereiche erstellt werden.So können spezielle Anforderungen und Herausforderungen in einzelnen Bereichen detailliert abgedeckt werden, ohne die Hauptleitlinie zu überfrachten.Regeln zu Passwortmanagement, Netzwerksicherheit und Zugriffskontrollen.

Regelungen für den sicheren Einsatz von Laptops und Smartphones.
Regelmäßige Prüfung und Aktualisierung der RichtlinienEin Verfahren zur regelmäßigen Überprüfung und Anpassung der Richtlinie sollte dokumentiert und etabliert sein.So wird sichergestellt, dass die Richtlinie stets aktuell, relevant und wirksam bleibt.Jährliche Analyse von Änderungen in der Gesetzgebung, Technologien oder internen Prozessen.

Ad-hoc-Updates bei sicherheitsrelevanten Vorfällen oder neuen Risiken.
Zugänglichkeit der Richtlinien sicherstellenDie aktuellste Version der Richtlinien sollte für alle relevanten Personen zugänglich sein.So wird gewährleistet, dass alle Mitarbeitenden und externen Partner die Richtlinien kennen und korrekt umsetzen können.Bereitstellung im Intranet oder einem Dokumentenmanagement-System.

Regelmäßige Schulungen, um die Mitarbeitenden auf die wichtigsten Inhalte aufmerksam zu machen.
Kommunikation von ÄnderungenÄnderungen an der Richtlinie sollten an alle betroffenen Parteien kommuniziert werden.So wird sichergestellt, dass alle Beteiligten über aktuelle Anforderungen informiert sind und entsprechend handeln können.Über das Intranet, in Schulungen oder durch E-Mail-Benachrichtigungen.

Benachrichtigungen an Partner, die von den Änderungen betroffen sind.

Praktische Umsetzung und Tipps

informationssicherheitsrichtlinie muster vorlage inhalt checkliste

Unterstützung und Verantwortung durch die Geschäftsführung

Die Geschäftsführung spielt eine zentrale Rolle bei der Erstellung und Umsetzung der Informationssicherheitsrichtlinie. Ohne deren aktive Unterstützung und Übernahme von Verantwortung ist ein wirksames Informationssicherheitsmanagement nicht möglich. Die Geschäftsleitung sollte die Richtlinie nicht nur freigeben, sondern aktiv mitgestalten und auch die strategische Bedeutung der Informationssicherheit für die Organisation hervorheben. Diese Haltung schafft Vertrauen und fördert die Akzeptanz der Vorgaben bei Mitarbeitenden und externen Partnern.

Externe Unterstützung einholen

Die Erstellung einer Informationssicherheitsrichtlinie erfordert sorgfältige Planung und eine klare Abstimmung innerhalb der Organisation. Es ist empfehlenswert, frühzeitig auf die Unterstützung durch Experten oder Berater zu setzen, um sicherzustellen, dass die Richtlinie sowohl den TISAX Controls als auch den individuellen Gegebenheiten des Unternehmens gerecht wird. Externe Expertise hilft dabei, typische Stolperfallen zu vermeiden und die Richtlinie effektiv zu gestalten.

Falls ein Informationssicherheitsbeauftragter (ISB) in der Organisation vorhanden ist, sollte dieser aktiv in den Prozess eingebunden werden. Der ISB bringt nicht nur Fachwissen ein, sondern versteht auch die spezifischen Risiken und Anforderungen der Organisation. Seine Rolle ist entscheidend, um die Richtlinie praxisnah zu gestalten und ihre Umsetzung im Unternehmen sicherzustellen.

Regelmäßige Prüfung und Aktualisierung

Ein zentraler Erfolgsfaktor ist die regelmäßige Prüfung und Aktualisierung der Richtlinie. Dies sollte mindestens einmal jährlich erfolgen, um sicherzustellen, dass sie aktuellen gesetzlichen, technologischen und internen Anforderungen entspricht. Sicherheitsvorfälle oder Änderungen in der Gesetzgebung können wichtige Anlässe für Anpassungen sein. Ein gut organisierter Überprüfungsprozess sorgt dafür, dass die Richtlinie stets relevant und wirksam bleibt.

Kommunikation und Schulung priorisieren

Besondere Aufmerksamkeit sollte der Kommunikation der Richtlinie gewidmet werden. Es ist entscheidend, dass alle Mitarbeitenden die Inhalte verstehen und wissen, wie sie diese in ihrem Arbeitsalltag umsetzen können. Regelmäßige Schulungen und klare Ankündigungen bei Änderungen stellen sicher, dass die Richtlinie nicht nur ein formales Dokument bleibt, sondern ein aktives Instrument zur Förderung der Informationssicherheit wird. Auch externe Partner sollten über für sie relevante Teile der Richtlinie informiert werden, um eine reibungslose Zusammenarbeit zu gewährleisten.

Zugänglichkeit gewährleisten

Die Richtlinie sollte an einem zentralen Ort, beispielsweise im Intranet oder in einem Dokumentenmanagementsystem, für alle zugänglich sein. Eine gute Erreichbarkeit und klare Kommunikation fördern das Verständnis und die Akzeptanz der Vorgaben und stärken somit die Sicherheitskultur innerhalb der Organisation.

Unterstützung zu TISAX Controls

Philipp Jakubowski

Mit meiner Unterstützung bei den TISAX Controls kann ich Sie an allen Punkten im Prüfungsprozess unterstützen:

  • kostenloses Orientierungsgespräch
  • Durchführung einer Gap Analyse zur Identifizierung von Lücken
  • Koordination der Maßnahmenumsetzung
  • Registrierung und Anmeldung der Prüfung
  • Organisation des Prüfdienstleisters
  • Audit Vorbereitung (auch Follow-up-Prüfung)
  • Audit Begleitung

Wünschen Sie Unterstützung bei den TISAX Controls?

Buchen Sie gerne einen kostenlosen und unverbindlichen Termin!