Vulnerability Disclosure ist ein strukturierter Prozess, über den Sicherheitslücken verantwortungsvoll gemeldet werden. Eine Vulnerability-Disclosure-Richtlinie beschreibt, wie externe Sicherheitsforscher Schwachstellen melden können, welche Kommunikationskanäle genutzt werden und welche Reaktionszeiten gelten. Im ISMS ist eine solche Richtlinie empfehlenswert, um einen klaren Meldeweg zu schaffen. ISO 27001 Annex A.8.8 fordert das Management technischer Schwachstellen. Eine veröffentlichte Disclosure-Richtlinie signalisiert Reife und Offenheit gegenüber der Sicherheits-Community.