Patch-Management umfasst den gesamten Prozess von der Identifikation verfügbarer Sicherheitsupdates über deren Test bis zum Einspielen auf allen betroffenen Systemen. Ein strukturiertes Patch-Management gehört zu den wirksamsten Maßnahmen gegen Cyberangriffe, da ein Großteil erfolgreicher Angriffe bekannte, bereits gepatchte Schwachstellen ausnutzt. ISO 27001 Annex A.8.8 fordert das Management technischer Schwachstellen. Dein Patch-Prozess sollte Fristen definieren (z. B. kritische Patches innerhalb von 72 Stunden), Testverfahren beschreiben und eine Ausnahmeregelung für Systeme vorsehen, die nicht sofort gepatcht werden können. Führe eine aktuelle Übersicht über den Patchstand aller Systeme.