Die Ursachenanalyse (Root Cause Analysis) ist eine systematische Methode, um die eigentliche Grundursache eines Vorfalls oder Problems zu ermitteln. Verbreitete Techniken sind die 5-Why-Methode und das Ishikawa-Diagramm. Im ISMS ist die Ursachenanalyse ein Pflichtbestandteil des Korrekturmaßnahmenprozesses nach ISO 27001 Clause 10.1. Sie stellt sicher, dass Korrekturmaßnahmen an der Wurzel des Problems ansetzen. Ohne Ursachenanalyse besteht die Gefahr, nur Symptome zu behandeln und dieselben Vorfälle wiederholt zu erleben.