Eskalationsmatrix ist eine Tabelle, die festlegt, wer bei welchem Schweregrad eines Sicherheitsvorfalls informiert und einbezogen werden muss. Eskalationsstufen definieren die Hierarchie der Benachrichtigungen — von der IT-Abteilung über den ISB bis zur Geschäftsführung und externen Stellen.
Eine klare Eskalationsmatrix verhindert, dass kritische Vorfälle zu lange auf der falschen Ebene bearbeitet werden. Sie enthält typischerweise: Schweregrad-Kategorien, zuständige Ansprechpartner mit Kontaktdaten, Reaktionszeiten und Kommunikationswege. ISO 27001 fordert dokumentierte Verfahren für das Management von Informationssicherheitsvorfällen (A.5.24–A.5.28). Die Eskalationsmatrix ist das zentrale Werkzeug, um diese Anforderung operativ umzusetzen.