Stopień pierwszy zabezpieczeń przypisuje się do niskiego poziomu ryzyka. Zakłada się, że osoby chcące przełamać system są na niskim poziomie umiejętności i wiedzy o technologii IT, identyfikatorach i ACS (czyli systemie kontroli dostępu), mogą się posługiwać jedynie łatwo dostępnymi narzędziami i mają mało środków finansowych na dokonanie ataku. Stopień pierwszy jest adekwatny dla zabezpieczania aktyw o małej wartości. Taki stopień ryzyka przewiduje się przykładowo dla hoteli.

Drugi stopień to poziom ryzyka określany jako niski do średniego. Poziom umiejętności i wiedzy atakujących o ACS szacuje się jako średni, natomiast ich zasób wiedzy o systemach IT i identyfikatorach jako niski. Zakłada się, że cele zabezpieczenia fizycznego są takie same jak w przypadku stopnia pierwszego. Typowymi przykładami, dla których stosuje się drugi stopień, są biura oraz małe przedsiębiorstwa.

Stopień trzeci przypisuje się dla ryzyka od średniego do wysokiego, zabezpieczając zasoby handlowe od średniej do wysokiej wartości. Zakłada się, że intruzi chcący obejść system mają wysoki poziom wiedzy i umiejętności o ACS oraz średni poziom wiedzy na temat identyfikatorów i technologii IT, a na dokonanie ataków mogą przeznaczyć średnią sumę pieniędzy. Stopień trzeci stosuje się głównie w przemyśle, administracji oraz obiektach finansowych.

Czwarty stopień jest odpowiedni dla wysokiego ryzyka. Stosuje się go na obszarach wysoce wrażliwych, takich jak obiekty rządowe, jednostki wojskowe czy obszary produkcji krytycznej. Intruzi chcący wtargnąć do takiego obiektu cechują się wysokim poziomem wiedzy o identyfikatorach i IT oraz wysoko rozwiniętymi umiejętnościami i wiedzą o ACS.