Éppígy igaz, hogy nem a legmagasabb, hanem egy elfogadható minôsítési fokozatot kell választani, amellyel a rendszer kielégítô mértékû biztonsággal rendelkezhet. Akkor elfogadható egy minôsítési fokozat, ha a fennmaradó maradványkockázat a felhasználó számára elviselhetô mértékûre csökken. A megfelelô minôsítési osztály kiválasztásához nem lehet egyszerû szabályokat megadni. A kiválasztás során sok eltérô tényezô hat, amelyeket általában csak maga az alkalmazó tud megítélni. Ilyen tényezôk például a kockázat és a ráfordítások, mindkettônek az a mértéke, amelyet a felhasználó elviselhetônek tart. Kizárólag a felhasználó felelôssége dönteni arról, mekkora maradványkockázatot tud elviselni és milyen anyagi ráfordításokat tart elfogadhatónak az informatika biztonság érdekében. Az informatika szakértôi csak tanácsadó szerepet tölthetnek be a kiválasztás során.
Egyetlen minôsítési fokozathoz sem lehet közvetlenül valamiféle hatékonysági mértéket, nagyságot hozzárendelni, mondjuk egy százalékos számot, vagy hasonlót. A minôsítési fokozat kiválasztásánál azonban a minôsítési fokozatok jellemzése, mint orientációs és döntést elôsegítô eszköz, figyelembe vehetô.
Egy hasonló lehetôségre kell még utalnunk: a megfelelô minôsítési fokozat kiválasztásánál orientációs segítségként figyelembe vehetô a védelmi mechanizmus erôssége, amelyet ugyancsak az ITSEC-ben írnak le, és amellyel a biztonsági funkció megvalósul. Csak olyan minôsítési fokozat jöhet szóba, amely a szükségesnek tartott védelmi mechanizmus-erôsséget feltételezi.
A minôsítéssel szemben támasztott igények annál kisebbek lehetnek, minél komplexebb a megkívánt biztonsági funkcionalitás. Még ha a Q7 minôsítési fokozat is a kívánatos, csak kivételes esetekben kell azt megvalósítani. A választás általában a Q1-Q4-ig terjedô minôsítési fokozatokra esik. A piacon hozzáférhetô rendszerek jelenleg általában a Q3, vagy annál alacsonyabb minôsítési fokozatba tartoznak. A minôsítési tanúsítvánnyal ellátott magas minôsítésû rendszerek jelenleg nem túl nagy számban állnak rendelkezésre.
Hogy a félreértéseket a minôsítési fokozatok interpretációja során elkerüljük, ismét meg kell jegyeznünk, hogy a definiált minôsítési fokozatok, amelyek alapján a szoftvert értékelni kell, csak a megbízhatóság egy mértékét jelentik, nevezetesen, hogy a megvizsgált szoftver pontosan azt nyújtja, amit kell nyújtania. Valamely minôsítési fokozat értékelése azt mondja ki, hogy
Mindez nem vonja maga után azt a következtetést, hogy az a szoftver, amelyet egy alacsonyabb minôsítési fokozatra minôsítettek, feltétlenül hibás kell hogy legyen, míg az amely egy nagyon magas minôsítési fokozatra lett minôsítve, feltétlenül hibátlan.