Hier volgt een overzicht van de belangrijkste organisatorische elementen:

* Beveiligingscontroles: Dit zijn de specifieke acties, mechanismen en procedures die worden gebruikt om beveiligingsdoelstellingen te bereiken. Zij vormen de kern van het raamwerk. Deze controles zijn gegroepeerd in families op basis van hun functie (bijvoorbeeld toegangscontrole, auditing, cryptografie).

* Beveiligingsfuncties: Dit zijn groeperingen van beveiligingscontroles op een hoger niveau. Ze vertegenwoordigen de overkoepelende beveiligingsdoelstellingen en doelstellingen. Voorbeelden zijn onder meer:

* Identificatie en authenticatie: Het verifiëren van de identiteit van gebruikers en systemen.

* Toegangscontrole: Beheren wie toegang heeft tot welke bronnen.

* Controle: Beveiligingsrelevante gebeurtenissen volgen.

* Systeem- en informatie-integriteit: Het bewaken van de juistheid en volledigheid van gegevens.

* Training in beveiligingsbewustzijn: Gebruikers opleiden over best practices op het gebied van beveiliging.

* Incidentreactie: Het afhandelen van beveiligingsincidenten.

* Beveiligingsdomeinen: Deze worden niet expliciet gedefinieerd als strak gestructureerde niveaus, maar vertegenwoordigen eerder gebieden van een organisatie waar beveiligingscontroles moeten worden geïmplementeerd. Ze kunnen worden afgestemd op de structuur en behoeften van een specifieke organisatie. Voorbeelden zijn onder meer:

* Netwerkbeveiliging: Netwerkinfrastructuur beschermen.

* Applicatiebeveiliging: Softwareapplicaties beveiligen.

* Databasebeveiliging: Databases beschermen.

* Fysieke beveiliging: Bescherming van fysieke activa.

* Personeelsbeveiliging: Toegangs- en antecedentenonderzoek voor medewerkers beheren.

Hoe ze zich verhouden: Een beveiligingsdomein (bijvoorbeeld netwerkbeveiliging) vereist de implementatie van verschillende beveiligingscontroles die zijn gecategoriseerd onder verschillende beveiligingsfuncties (bijvoorbeeld toegangscontrole, inbraakdetectie, cryptografie). De specifieke geselecteerde controles zijn afhankelijk van de risicobeoordeling en beveiligingsdoelstellingen van de organisatie voor dat domein.

Samengevat: Het CNSS-model is geen eenvoudige hiërarchie, maar een alomvattend raamwerk dat beveiligingscontroles categoriseert op functie en maatwerk mogelijk maakt voor verschillende organisatiedomeinen. Het geeft prioriteit aan een alomvattende benadering van beveiliging in plaats van aan een enkele, lineaire structuur. De nadruk ligt op het selecteren van passende controles op basis van een risicogebaseerde aanpak.