組織應(yīng)制定信息安全管理制度，組織信息應(yīng)按照其法律要求、價(jià)值、對(duì)泄露或篡改的敏感性和關(guān)鍵性予以分類(lèi)（例如定義為可對(duì)外公開(kāi)、內(nèi)部公開(kāi)、內(nèi)部某部門(mén)公開(kāi)、內(nèi)部特點(diǎn)人員公開(kāi)等類(lèi)別）。信息資產(chǎn)的所有者應(yīng)對(duì)其分類(lèi)負(fù)責(zé)。分類(lèi)的結(jié)果表明了該資產(chǎn)的價(jià)值，該價(jià)值取決于其對(duì)組織業(yè)務(wù)目標(biāo)的敏感性和關(guān)鍵性如保密性、完整性和有效性。

信息要進(jìn)行標(biāo)記并體現(xiàn)其分類(lèi)，標(biāo)記的規(guī)程需要涵蓋物理和電子格式的信息資產(chǎn)。分類(lèi)信息的標(biāo)記和安全處理是信息共享的一個(gè)關(guān)鍵要求。物理標(biāo)簽和元數(shù)據(jù)標(biāo)簽是常見(jiàn)的形式。 標(biāo)記應(yīng)易于辨認(rèn)且不易篡改，規(guī)程應(yīng)對(duì)標(biāo)記附著的位置和方式給出指導(dǎo)，并考慮到信息被訪(fǎng)問(wèn)的方式和介質(zhì)類(lèi)型的處理方式。

組織要建立與信息分類(lèi)一致的資產(chǎn)處理、加工、存儲(chǔ)和交換規(guī)程。

　　對(duì)于可移動(dòng)介質(zhì)，應(yīng)建立與信息分類(lèi)方案相對(duì)應(yīng)的管理規(guī)程。根據(jù)相應(yīng)規(guī)程確定可移動(dòng)介質(zhì)可以存儲(chǔ)哪類(lèi)信息。

對(duì)于不再需要的介質(zhì)，要建立安全處置介質(zhì)的正式規(guī)程，以使敏感信息泄露給未授權(quán)人員的風(fēng)險(xiǎn)減至最小。安全處置包含敏感信息介質(zhì)的規(guī)程宜與信息的敏感性相一致。組織還要注意，當(dāng)處置堆積的介質(zhì)時(shí)要考慮集合效應(yīng)，它可能使大量不敏感信息變成敏感信息。所有介質(zhì)的處置應(yīng)該留存處置記錄。

存儲(chǔ)信息的介質(zhì)在物理傳輸期間易受未授權(quán)訪(fǎng)問(wèn)、不當(dāng)使用或破壞。組織要保護(hù)包含信息的介質(zhì)在傳輸中的安全，這里的介質(zhì)包括紙質(zhì)文檔和電子信息。當(dāng)介質(zhì)的保密信息未加密時(shí)，宜考慮額外的物理防護(hù)，例如保密文件箱。