Code-Escrow ist die Hinterlegung von Quellcode bei einer unabhängigen Drittpartei. Tritt ein vertraglich definierter Auslöser ein — etwa die Insolvenz des Softwareanbieters — erhält der Kunde Zugriff auf den hinterlegten Quellcode.
Im ISMS-Kontext adressiert Code-Escrow die Anforderungen von ISO 27001 Annex A Controls A.5.19-A.5.22 (Lieferantenbeziehungen) und A.5.30 (ICT-Bereitschaft für Business Continuity). Wenn Deine Organisation geschäftskritische Software von Drittanbietern einsetzt und deren Quellcode nicht besitzt, kann der Ausfall des Anbieters den Geschäftsbetrieb gefährden. Code-Escrow sichert dieses Risiko ab. Die Escrow-Vereinbarung definiert Auslöseereignisse, Aktualität der hinterlegten Version und Verifizierungsprozesse (Build-Tests des hinterlegten Codes).