Ein Blameless Post-Mortem ist eine strukturierte Nachbereitung eines Sicherheitsvorfalls oder einer Störung, bei der bewusst auf Schuldzuweisungen an Einzelpersonen verzichtet wird. Der Fokus liegt auf systemischen Ursachen und Verbesserungen.
ISO 27001 Annex A Control A.5.27 (Erkenntnisse aus Informationssicherheitsvorfällen) und Clause 10.1 (Fortlaufende Verbesserung) bilden die normative Grundlage. Ein Blameless Post-Mortem analysiert die Kausalkette: Was ist passiert, warum konnte es passieren, welche Faktoren haben zur Eskalation beigetragen und welche Maßnahmen verhindern eine Wiederholung? Der Verzicht auf persönliche Schuldzuweisungen fördert offene Kommunikation und führt zu ehrlicheren Analysen. Dokumentiere die Ergebnisse und verfolge die abgeleiteten Maßnahmen als Aufgaben.