组织应制定信息安全管理制度,组织信息应按照其法律要求、价值、对泄露或篡改的敏感性和关键性予以分类(例如定义为可对外公开、内部公开、内部某部门公开、内部特点人员公开等类别)。信息资产的所有者应对其分类负责。分类的结果表明了该资产的价值,该价值取决于其对组织业务目标的敏感性和关键性如保密性、完整性和有效性。
信息要进行标记并体现其分类,标记的规程需要涵盖物理和电子格式的信息资产。分类信息的标记和安全处理是信息共享的一个关键要求。物理标签和元数据标签是常见的形式。 标记应易于辨认且不易篡改,规程应对标记附着的位置和方式给出指导,并考虑到信息被访问的方式和介质类型的处理方式。
组织要建立与信息分类一致的资产处理、加工、存储和交换规程。
对于可移动介质,应建立与信息分类方案相对应的管理规程。根据相应规程确定可移动介质可以存储哪类信息。
对于不再需要的介质,要建立安全处置介质的正式规程,以使敏感信息泄露给未授权人员的风险减至最小。安全处置包含敏感信息介质的规程宜与信息的敏感性相一致。组织还要注意,当处置堆积的介质时要考虑集合效应,它可能使大量不敏感信息变成敏感信息。所有介质的处置应该留存处置记录。
存储信息的介质在物理传输期间易受未授权访问、不当使用或破坏。组织要保护包含信息的介质在传输中的安全,这里的介质包括纸质文档和电子信息。当介质的保密信息未加密时,宜考虑额外的物理防护,例如保密文件箱。