このように、5段階のそれぞれで詳細な対策が定義されており、SP800-171やSP800-53では、5段階それぞれについて、「アクセスコントロール」や「インシデントレスポンス」など、技術的な項目のみならず非技術的な要件も含む多くの対策が定められています。