Informationssicherheit ist Teamsache. Aber wer trägt die Verantwortung? Genau hier setzt die TISAX®-Kontrolle 1.2.2 an.
Sie prüft, ob Zuständigkeiten rund um das Informationssicherheitsmanagementsystem (ISMS) klar definiert, dokumentiert und umgesetzt sind – intern wie extern.
In diesem Beitrag zeigen wir, was die Anforderungen im Detail bedeuten, welche Rollen relevant sind und worauf Auditor:innen in der Praxis besonders achten.
Warum klare Zuständigkeiten essenziell sind
Ein ISMS kann nur dann funktionieren, wenn Verantwortung nicht ins Leere läuft. In der Realität sehen wir jedoch häufig unklare Rollenzuordnungen, fehlende Vertretungsregelungen oder unzureichend qualifizierte Beauftragte.
Dabei gilt:
- Informationssicherheit ist Führungssache – und braucht klare Verantwortungsstrukturen, die im Alltag auch gelebt werden.
- Das betrifft nicht nur IT, sondern auch Datenschutz, Compliance, Einkauf oder Produktion – über alle Ebenen hinweg.
Was TISAX®-Kontrolle 1.2.2 konkret fordert
Die ENX verlangt, dass Unternehmen folgende Punkte klar geregelt und nachweisbar umgesetzt haben:
- Verantwortlichkeiten sind dokumentiert, zugewiesen und kommuniziert.
- Beauftragte sind qualifiziert und erhalten ausreichend Ressourcen.
- Zuständigkeiten sind auch gegenüber Geschäftspartnern nachvollziehbar – z. B. über Organigramme, Rollenbeschreibungen oder Vertragswerke.
- Funktionstrennung (Separation of Duties): Kritische Rollen wie IT-Betrieb und ISMS-Kontrolle sollten organisatorisch getrennt sein, um Interessenkonflikte zu vermeiden.
Das Ziel: ein ISMS, das nicht auf Papier existiert – sondern von klaren Verantwortlichen getragen und gesteuert wird.
Typische Rollen im ISMS – wer macht was?
In der Praxis bewähren sich klare Rollenzuordnungen, z. B.:
📌 Wichtig: Ein ISB sollte nicht derjenige sein, der seine eigenen Systeme prüft – das widerspricht der Funktionstrennung.
Was Auditor:innen sehen wollen
Die Prüfung der Kontrolle 1.2.2 zielt darauf ab, ob die Organisation Verantwortlichkeit auch lebt.
Typische Nachweise sind:
- Freigegebene Rollendokumente oder Verantwortungsmatrix (z. B. RACI)
- Organigramm mit ISMS-Zuständigkeiten
- Benennung & Bestellung des ISB durch Geschäftsführung
- Nachweise über Qualifikation, Schulung und Ressourcen
- Hinweise auf Funktionstrennung (z. B. ISB ≠ IT-Leiter)
- Interne und externe Kommunikationskanäle (z. B. Infoseite im Intranet)
Ein kurzer Satz wie „FrauX ist für IT-Sicherheit zuständig“ reicht nicht aus. Es geht um nachvollziehbare Strukturen, die transparent und belastbar sind.
Häufige Fehler – und wie du sie vermeidest
🚫 Fehlende Trennung von ISB und IT-Leitung – klassische Interessenskollision
🚫 Keine klar dokumentierte Vertretung bei Abwesenheit
🚫 Rollen nur formal benannt – aber nicht operativ befugt
🚫 Kommunikation nur intern – externe Partner bleiben im Dunkeln
✅ Unser Tipp: Prüfe nicht nur, ob Rollen existieren – sondern ob sie gelebt werden.
Fazit: Verantwortlichkeit ist mehr als ein Name auf dem Papier
TISAX®-Kontrolle 1.2.2 prüft, ob dein Unternehmen sicherheitsrelevante Aufgaben klar geregelt hat.
Das betrifft nicht nur Rollen und Organigramme, sondern auch Kompetenz, Kommunikation und Ressourcenzuweisung.
Ein funktionierendes ISMS braucht klare Zuständigkeiten und gelebte Verantwortung – auf allen Ebenen.
Nächste Schritte
🔍 Weitere Kontrollen aus dem Bereich Führung & Steuerung:
- Informationssicherheitsrichtlinie im Fokus – TISAX®-Kontrolle 1.1.1
- Informationssicherheit managen – TISAX®-Kontrolle 1.2.1
FAQ: Verantwortlichkeiten im ISMS richtig regeln
1. Wer darf als Informationssicherheitsbeauftragter (ISB) benannt werden?
Grundsätzlich jede fachlich geeignete Person, die über ausreichendes Know-how verfügt, unabhängig agieren kann und von der Geschäftsführung offiziell beauftragt wurde. Wichtig: Der ISB sollte nicht zugleich für den IT-Betrieb zuständig sein – Stichwort Funktionstrennung.
2. Was versteht man unter „Funktionstrennung“ in TISAX®?
Funktionstrennung bedeutet, dass sicherheitskritische Rollen nicht in Personalunion vergeben werden dürfen. Wer z. B. ein System betreibt, sollte nicht gleichzeitig für dessen Überwachung oder Bewertung im ISMS zuständig sein – um Interessenkonflikte zu vermeiden.
3. Müssen Verantwortlichkeiten schriftlich dokumentiert sein?
Ja, zwingend. Die Zuordnung von Rollen, Aufgaben und Befugnissen muss klar dokumentiert, freigegeben und kommuniziert sein – intern und ggf. auch gegenüber Geschäftspartnern oder externen Auditor:innen.
4. Welche Rollen sind im Kontext von TISAX® besonders relevant?
Neben dem ISB und der IT-Leitung sollten auch Rollen wie CISO, Datenschutzbeauftragter, Risikomanager und Notfallbeauftragter definiert sein – idealerweise mit einem Organigramm und einer Verantwortlichkeitsmatrix.
5. Was prüfen Auditor:innen konkret zur Kontrolle 1.2.2?
Auditor:innen erwarten konkrete Nachweise wie z. B. Benennungsdokumente, Organigramme, RACI-Matrizen, Nachweise zur Qualifikation und Vertretungsregelungen sowie Hinweise zur gelebten Funktionstrennung.
📞 Du brauchst Unterstützung bei der Rollenverteilung oder Auditvorbereitung?
👉 Jetzt unverbindlich Beratung anfragen