Responsible Disclosure (koordinierte Offenlegung) ist ein Verfahren, bei dem eine entdeckte Schwachstelle zunächst vertraulich an den betroffenen Hersteller oder Betreiber gemeldet wird. Erst nach Ablauf einer vereinbarten Frist — üblicherweise 90 Tage — wird die Schwachstelle öffentlich gemacht. Damit erhält der Hersteller Zeit für einen Patch, während die Öffentlichkeit später von der Transparenz profitiert. In Deinem ISMS solltest Du eine eigene Vulnerability-Disclosure-Policy veröffentlichen, die beschreibt, wie externe Sicherheitsforscher Schwachstellen an Dein Unternehmen melden können. Das schafft Vertrauen und strukturiert den Eingangsprozess.