TTPs (Tactics, Techniques, Procedures) beschreiben die typischen Vorgehensweisen von Angreifern auf drei Abstraktionsebenen. Taktiken sind die übergeordneten Ziele (z. B. initialer Zugriff), Techniken die konkreten Methoden (z. B. Spear-Phishing) und Prozeduren die detaillierten Ausführungsschritte. Das MITRE ATT&CK-Framework ist die bekannteste Systematisierung von TTPs. Im ISMS helfen TTPs dabei, Bedrohungsszenarien realistisch zu modellieren und Sicherheitskontrollen gezielt auf bekannte Angriffsmuster auszurichten.