NIST SP800-26中将一个组织主要的控制活动分为三类:管理控制、运行控制和技术控制。
管理控制包括:风险控制、检查安全控制、生命周期、授权管理(认证和认可)、系统安全计划;运行控制包括:人员安全、物理安全、“结果、输入/输出控制”、应急规划、硬件和系统软件的维护、数据完整性、文档、安全意识、培训和教育、事件响应能力;技术控制包括:标识和鉴别、逻辑访问控制、设计跟踪。
由于控制措施的不同,至少导致两个方面的差异:
首先是导致脆弱性的不同。由于采取的控制措施不同,所以措施少的组织会存在更多的“安全控制措施不足类”的脆弱性。另一方面导致威胁利用脆弱性的可能性及影响的不同。从安全控制措施的目的可以看明显的得到此结论。如果安全措施是非常到位的,很多威胁和脆弱性的结合就变得无足轻重了。