Die Wirkungsrichtung einer Sicherheitskontrolle beschreibt, an welcher Stelle im Vorfallszyklus sie greift. Präventive Kontrollen verhindern Vorfälle (z. B. Firewalls, Schulungen), detektive Kontrollen erkennen sie (z. B. SIEM, Monitoring), korrektive Kontrollen stellen den Normalzustand wieder her (z. B. Backups, Incident Response). Im ISMS hilft die Klassifizierung nach Wirkungsrichtung, Kontrolllücken zu erkennen. Ein ausgewogener Mix aus allen drei Richtungen sorgt für robuste Sicherheitsarchitektur.