附錄A（規范性附錄）關于安全通用要求和安全擴展要求的選擇和使用

由于等級保護對象承載的業務不同，對其的安全關注點會有所不同，有的更關注信息的安全性，即更關注對搭線竊聽、假冒用戶等可能導致信息泄密、非法篡改等；有的更關注業務的連續性，即更關注保證系統連續正常的運行，免受對系統未授權的修改、破壞而導致系統不可用引起業務中斷。

不同級別的等級保護對象，其對業務信息的安全性要求和系統服務的連續性要求是有差異的，即使相同級別的等級保護對象，其對業務信息的安全性要求和系統服務的連續性要求也有差異。

等級保護對象定級后，可能形成的定級結果組合見表A.1。

安全保護措施的選擇應依據上述定級結果，本標準中的技術安全要求進一步細分為：保護數據在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權的修改的信息安全類要求（簡記為S）；保護系統連續正常的運行，免受對系統的未授權修改、破壞而導致系統不可用的服務保證類要求（簡記為A）；其他安全保護類要求（簡記為G）。本標準中所有安全管理要求和安全擴展要求均標注為G，安全要求及屬性表示見表A.2。

對于確定了級別的等級保護對象，應依據表A.1的定級結果，結合表A.2使用安全要求，應按照以下過程進行安全要求的選擇：

a) 根據等級保護對象的級別選擇安全要求。方法是根據本標準，第一級選擇第一級安全要求，第二級選擇第二級安全要求，第三級選擇第三級安全要求，第四級選擇第四級安全要求，以此作為出發點。

b) 根據定級結果，基于表A.1和表A.2對安全要求進行調整。根據系統服務保證性等級選擇相應級別的系統服務保證類（A類）安全要求；根據業務信息安全性等級選擇相應級別的業務信息安全類（S類）安全要求；根據系統安全等級選擇相應級別的安全通用要求（G類）和安全擴展要求（G類）。

c) 根據等級保護對象采用新技術和新應用的情況，選用相應級別的安全擴展要求作為補充。采用云計算技術的選用云計算安全擴展要求，采用移動互聯技術的選用移動互聯安全擴展要求，物聯網選用物聯網安全擴展要求，工業控制系統選用工業控制系統安全擴展要求。

d) 針對不同行業或不同對象的特點，分析可能在某些方面的特殊安全保護能力要求，選擇較高級別的安全要求或其他標準的補充安全要求。對于本標準中提出的安全要求無法實現或有更加有效的安全措施可以替代的，可以對安全要求進行調整，調整的原則是保證不降低整體安全保護能力。

總之，保證不同安全保護等級的對象具有相應級別的安全保護能力，是安全等級保護的核心。選用本標準中提供的安全通用要求和安全擴展要求是保證等級保護對象具備一定安全保護能力的一種途徑和出發點，在此出發點的基礎上，可以參考等級保護的其它相關標準和安全方面的其它相關標準，調整和補充安全要求，從而實現等級保護對象在滿足等級保護安全要求基礎上，又具有自身特點的保護。