Die Durchführung von Projekten ist für viele Unternehmen Alltag – doch inmitten von Innovation, Veränderung und technischer Entwicklung darf eines nicht fehlen: die Informationssicherheit. Genau hier setzt die TISAX® Control 1.2.3 an. Sie fordert, dass Informationssicherheitsanforderungen strukturiert in alle relevanten Projekte eingebunden werden – unabhängig von Projektart oder -umfang.
Nur wenn Risiken frühzeitig erkannt und geeignete Maßnahmen eingeplant werden, lässt sich verhindern, dass Sicherheitsanforderungen übersehen werden.
Was fordert TISAX® Control 1.2.3 konkret?
Laut VDA ISA 6.0.2 verlangt die Control, dass:
- Projekte hinsichtlich Sicherheitsanforderungen klassifiziert werden
- Informationssicherheitsrisiken identifiziert, bewertet und dokumentiert werden
- Maßnahmen aus der Risikobewertung in das Projekt integriert werden
- Risiken und Maßnahmen regelmäßig überprüft und bei Bedarf aktualisiert werden
Der Fokus liegt dabei klar auf dem Frühstadium des Projekts: Sicherheitsüberlegungen sollen nicht nachträglich, sondern präventiv eingebracht werden – als integraler Bestandteil des Projektmanagements.
Warum das wichtig ist
Viele Unternehmen behandeln Sicherheit noch als „Begleitdisziplin“. Im Projektalltag wird sie oft vergessen – bis ein externer Auditor Fragen stellt. Dabei gilt:
- Neue Systeme oder Prozesse = neue Risiken
- Frühzeitige Integration spart Zeit, Geld und Nachbesserungen
- Gute Praxis = gelebtes ISMS = einfachere TISAX®-Auditierung
Sicherheitsrisiken, die im Projekt entstehen, betreffen oft sensible Daten, neue Schnittstellen oder Lieferantenintegration.
Best Practices: So setzt du die Anforderung in der Praxis um
Was Auditoren konkret sehen wollen
Für eine erfolgreiche Auditierung im Rahmen von TISAX® sollten folgende Nachweise vorliegen:
- Vorgehensweise zur Klassifizierung von Projekten
- Dokumentierte Risikobewertungen zu konkreten Projekten
- Maßnahmenlisten mit Verknüpfung zur Projektplanung
- Überprüfungsergebnisse, Reviews und Lessons Learned zur Nachweisführung
FAQ: Informationssicherheit in Projekten nach TISAX® Control 1.2.3
1. Müssen alle Projekte berücksichtigt werden?
Ja, grundsätzlich sind alle Projekte mit potenziellem Einfluss auf IT, Daten, Prozesse oder Lieferketten zu bewerten – auch interne oder rein technische Projekte.
2. Was bedeutet „Projektklassifizierung“ konkret?
Projekte werden nach vordefinierten Kriterien in Sicherheitsklassen eingeordnet. Daraus ergeben sich der Umfang der Risikobewertung und die Anforderungen an Dokumentation und Nachweispflicht.
3. Wer ist verantwortlich für die Integration von Sicherheitsanforderungen?
In der Regel liegt die Verantwortung beim Projektverantwortlichen in enger Zusammenarbeit mit dem Informationssicherheitsbeauftragten oder dem ISMS-Team.
4. Wie oft müssen Risiken überprüft werden?
Mindestens bei Änderungen des Projektscopes, bei Meilensteinen oder wenn neue Informationen zur Bedrohungslage vorliegen.
5. Gibt es Tools zur Unterstützung?
Ja, viele Unternehmen integrieren Sicherheits-Checklisten oder spezielle Risk Assessments in ihre PM-Tools (z. B. Jira, Confluence, MS Project), teilweise ergänzt durch ISMS-Plattformen.
Fazit
Die Einbindung von Informationssicherheitsanforderungen in Projekte ist nicht optional, sondern essenzieller Bestandteil eines funktionierenden ISMS. Die TISAX® Control 1.2.3 liefert klare Anforderungen, wie Projektmanagement und Sicherheitskultur verknüpft werden müssen – strukturiert, risikobasiert und nachweisbar.