Der Bus-Faktor-Test prüft, ob kritisches Wissen oder Fähigkeiten innerhalb einer Organisation von einer einzigen Person abhängen. Der Name fragt provokant: Was passiert, wenn diese Person von einem Bus überfahren wird — also ausfällt?
Im ISMS ist der Bus-Faktor relevant für ISO 27001 Annex A Controls A.5.2 (Rollen und Verantwortlichkeiten), A.5.3 (Funktionstrennung) und den übergeordneten Aspekt der Verfügbarkeit (Clause 6.1.2). Wenn nur eine Person bestimmte Systeme administrieren, Passwörter kennen oder Prozesse durchführen kann, entsteht ein erhebliches Verfügbarkeitsrisiko. Gegenmaßnahmen sind Wissensverteilung (Dokumentation, Cross-Training), Stellvertretungsregelungen, gemeinsame Passwort-Manager und Break-Glass-Verfahren für Notfallzugänge.