5.3　安全通用要求和安全擴展要求

5.3　安全通用要求和安全擴展要求

由于業務目標的不同、使用技術的不同、應用場景的不同等因素，不同的等級保護對象會以不同的形態出現，表現形式可能稱之為基礎信息網絡、信息系統（包含采用移動互聯等技術的系統）、云計算平臺/系統、大數據平臺/系統、物聯網、工業控制系統等。形態不同的等級保護對象面臨的威脅有所不同，安全保護需求也會有所差異。為了便于實現對不同級別的和不同形態的等級保護對象的共性化和個性化保護，等級保護要求分為安全通用要求和安全擴展要求。

安全通用要求針對共性化保護需求提出，等級保護對象無論以何種形式出現，必須根據安全保護等級實現相應級別的安全通用要求；安全擴展要求針對個性化保護需求提出，需要根據安全保護等級和使用的特定技術或特定的應用場景選擇性實現安全擴展要求。安全通用要求和安全擴展要求共同構成了對等級保護對象的安全要求。安全要求的選擇見附錄A，整體安全保護能力的要求見附錄B和附錄C。

本標準針對云計算、移動互聯、物聯網、工業控制系統提出了安全擴展要求。云計算應用場景參見附錄D，移動互聯應用場景參見附錄E，物聯網應用場景參見附錄F，工業控制系統應用場景參見附錄G，大數據應用場景參見附錄H。對于采用其他特殊技術或處于特殊應用場景的等級保護對象，應在安全風險評估的基礎上，針對安全風險采取特殊的安全措施作為補充。