Die Rules of Engagement legen vor einem Penetrationstest verbindlich fest, welche Systeme getestet werden dürfen, welche Methoden erlaubt sind und welche Eskalationswege gelten. Sie schützen sowohl den Auftraggeber als auch das Testteam vor rechtlichen Risiken. Typische Inhalte sind Scope-Definition, Testzeitraum, erlaubte Angriffstechniken, Notfallkontakte und Vertraulichkeitsvereinbarungen. Du solltest die Rules of Engagement schriftlich vereinbaren und von beiden Seiten unterschreiben lassen. Im ISMS dokumentierst Du sie als Bestandteil des Audit- und Prüfprogramms.