すべての要件(基本と派生の両方)は個別に満たされなければなりません。NIST SP 800-171のセクション2.2で説明されているように、基本要件はFIPS 200「連邦政府情報と情報システムの最小セキュリティ要件」に、および派生要件はNIST SP 800-53「連邦政府の組織および情報システムのセキュリティおよびプライバシー管理策」に由来しています。FIPS 200の要件は最も基本的な要件であるため、NISTはそれらを基本要件として参照しています。しかしながら、FIPS 200は「最小要件」のセットであるため、CDIの「中位(Moderate)」影響レベルで保護するには不十分であることが多い。したがって、基本要件が「中位」の要件を完全には満たしていない場合、NIST SP 800-53の「中位」ベースラインから関連する管理策が特定され、NIST SP 800-171で派生要件として識別されます
