De 18 kontrolfamilier er grupperet i tre brede kategorier, der følger en logisk sikkerhedsprogression. De første kontroller (1-6) fokuserer på grundlæggende inventar og konfiguration: at vide, hvilke aktiver du har, styre software, beskytte data og kontrollere administrative rettigheder. Kontrollerne 7-16 adresserer mere operationelle sikkerhedskompetencer, herunder forsvar mod e-mail og webbrowsere, malwareforsvar, netværksinfrastruktur, styring af revisionslogge, penetrationstest og sikkerhed for applikationssoftware. Kontrollerne 17-18 dækker styring af hændelsesrespons og sikkerhedsbevidsthedsundervisning. Tilsammen udgør de et lagdelt forsvar — du kan ikke effektivt styre det, du ikke først har inventariseret, og det er grunden til, at kontrollerne 1 og 2 altid er startpunktet.