Für jeden einzelnen der insgesamt weit über 100 Sicherheitsaspekte enthält das im Portable Document Format (PDF) vorliegende Benchmark-Dokument die der jeweiligen Sicherheitsstufe entsprechenden Einstellungen und gibt zudem an, wo eine Einstellung vorzunehmen ist. Für das dazugehörige Testprogramm "Scoring Tool" sind diese Werte in .inf-Dateien hinterlegt. Zu jedem einzelnen Punkt enthält das Benchmark-Dokument detaillierte Beschreibungen.

Die CIS-Benchmarks decken eine Reihe von Anwendungen, Systemen und Netzkomponenten ab. Dazu zählen SQL Server, Internet Information Services, Apache Web Server, Sendmail, Exchange Server 2003, AIX, FreeBSD, Windows 2003 Server, Solaris, Linux, HP-UX, Oracle-Datenbanken sowie IOS-basierende Router von Cisco. Die jeweiligen Tools wurden mit dem Ziel erstellt, von jedem Administrator ohne Spezialkenntnisse verwendet werden zu können und den laufenden Betrieb eines Systems oder der darauf aufsetzenden Anwendungen nicht zu stören.

Als Bestandteil seiner Benchmark-Pakete bietet das CIS die Software "Cis-Scan", mit der sich die Konfiguration der jeweiligen IT-Systeme mit den in den Benchmarks vorgegebenen Einstellungen vergleichen lässt. Jeder einzelne Unterpunkt wird dabei untersucht und bewertet. Das sieht so aus, dass die Software in Abhängigkeit von dem festgestellten Grad der Übereinstimmung jeweils eine Punktezahl auf einer Skala von eins bis zehn vergibt: Je höher der Wert, desto sicherer das System. Die detaillierten Ergebnisse der Tests können mit Hilfe der ebenfalls zu den Benchmarks gehörenden "Scoring-Tools" automatisch als Reports im XML-Format ausgegeben werden.

Zusätzlich bietet CIS mit seinen Tools eine Version des frei verfügbaren Netzscanners "Sara". Die Software enthält ein spezielles Plug-in, über das sich IT-Systeme im Unternehmen von einem zentralen Punkt aus auf die Übereinstimmung mit den Benchmark-Einstellungen überwachen lassen. Der Scanner ist laut CIS zwar nicht geeignet, um einen kompletten Audit des Netzes vorzunehmen, sei jedoch nützlich, um sich einen Überblick über die Gesamtsituation zu verschaffen und die Bereiche zu identifizieren, die genauer untersucht werden müssen.

Das CIS betont, dass sich durch die Benchmarks weder alle Schwachstellen eines Systems beseitigen noch alle Angriffe verhindern lassen. Vielmehr stellten sie einen von vielen unterschiedlichen Organisationen und Security-Experten gefundenen "kleinsten gemeinsamen Nenner der Systemsicherheit" dar.