Valamely rendszer megkövetelt funkcionalitását meghatározzák a környezetében meglévô fenyegetô tényezôk fajtái. Biztonsági funkciók formáját öltô intézkedésekkel kell szembeszállni velük. Mivel a különbözô alkalmazási környezetekben eltérô fenyegetô tényezôk hatnak, a védelemhez a biztonsági funkciók különbözô kombinációi szükségesek.
A biztonsági funkciók megkövetelt minôsége abból a kockázatból adódik, amely a fenyegetô tényezôkbôl kiindul. A minôsítési követelményeket úgy kell rögzíteni, hogy ez a kockázat a megtett intézkedések megfelelô hatékonysága által elviselhetô szintre csökkenjen. A biztonsági funkciók hatékonysága megbízhatóságuktól függ, amely minôsítési fokozatukban fejezôdik ki. Ha egy biztonsági funkciót egy magasabb minôsítési fokozatban valósítunk meg, a megbízhatóságnak is magasabb foka áll fenn arra nézve, hogy a biztonsági funkció pontosan azt nyújtja, amit nyújtania kell. Alacsonyabb minôsítési fokozat csekélyebb hatékonyságot és ezáltal magasabb maradványkockázatot jelent.
Arra vonatkozóan, hogy valamely biztonsági funkció minôsítésével szemben támasztott eltérô követelmények mit eredményezhetnek különbözô felhasználói területeken, láásuk az alábbi példát: Egy rendszerben általánosan ismert adatok vannak tárolva. A felhasználó azonosítása csak abban az esetben szükséges, ha statisztikákat akarnak összeállítani, amelyekkel feltérképezhetô, mely felhasználók, milyen gyakran hívnak le adatokat. Az azonosítási funkciónak ebben az esetben nem kell magas minôsítési fokozatúnak lennie. Ezzel szemben, ha a rendszer jogosulatlan használatát informatika intézkedés révén feltétlenül meg kell akadályozni, akkor az azonosítás és hitelesítés alapfunkcióját magas minôségben kell megvalósítani.