Her er en kort forklaring af felterne i en anbefaling:

Anbefaling

Anbefalingen udgør selve det råd, som CFCS anbefaler, man følger. Anbefalingen består af én sætning, der fortæller, hvad organisationen bør gøre. I anbefalingen anvendes altid ordet bør, da det netop er en anbefaling. Organisationer kan vælge at løfte anbefalingerne til krav og dermed pege på, at bør er et skal i egen organisation.

Anvisning

En uddybende beskrivelse af, hvad organisationen skal gøre, hvis anbefalingen skal implementeres. 

I anvisningsfeltet anvendes altid skal, fordi en anbefaling kun er fulgt, hvis alle anvisningerne er fulgt.

Formål - risici anbefalingen imødegår

Formål beskriver nogle af de trusler og sårbarheder, som anbefalingen imødegår.

Bemærkninger

Til nogle anbefalinger er der yderligere bemærkninger.

Sikkerhedskoncept

En anbefaling kan knytte sig til følgende sikkerhedskoncepter: Identify, Protect, Detect, Respond, Recover. Det enkelte koncept udtrykker, hvilke sikkerhedsforanstaltninger anbefalingen retter sig mod.

Beskyttelsesformål

En anbefaling kan beskytte informationer og systemer i forhold til Fortrolighed, Integritet og/eller Tilgængelighed.

Forudsætning

i nogle situationer kan en anbefaling kun efterleves, hvis andre anbefalinger i forvejen er implementeret. I disse tilfælde, vil en henvisning til relevante anbefalinger fremgå af dette felt

Organisatorisk niveau

Anbefalingerne er udformet, så de henvender sig til de organisatoriske niveauer, der er i stand til at handle på baggrund af anbefalingen.
Anbefalingerne er målrettet (dog ikke udelukkende) følgende organisatoriske niveauer: topledelse, forretnings- og it-ledelse, implementering- og driftsniveau.

Referencer: I overensstemmelse med

Her angives, hvilke standarder eller rammeværk anbefalingen er i overensstemmelse med.