Eine Kompensationsmaßnahme (Compensating Control) ist eine alternative Sicherheitsmaßnahme, die anstelle einer Standardkontrolle eingesetzt wird, wenn diese aus technischen, wirtschaftlichen oder organisatorischen Gründen nicht umsetzbar ist. Sie muss dasselbe Risiko adressieren und einen vergleichbaren Schutz bieten. In deinem ISMS dokumentierst du Kompensationsmaßnahmen im Statement of Applicability (SoA) mit einer Begründung, warum die Standardkontrolle nicht anwendbar ist und wie die Alternative das Risiko auf ein akzeptables Niveau senkt. Auditorinnen und Auditoren prüfen besonders genau, ob Kompensationsmaßnahmen tatsächlich gleichwertig wirken. Überprüfe sie regelmäßig — technologische Entwicklungen können die ursprüngliche Standardkontrolle nachträglich umsetzbar machen.