2.9 信息分类

各种类型的数据赋予价值的基本原因在于：它可以帮助公司调整用于保护各种数据的资金和资源数量，并非所有数据对公司都具有同等的价值。确定所有重要信息之后，就应当进行适当的分类。公司建立并维护大量的信息。信息分类是为了根据信息的损失、泄漏或无效的敏感程度来组织信息。一旦根据敏感程度对信息分类，公司就能够决定保护各种信息所需要的安全控制。

数据分类的主要目的是说明需要为每种数据集设定的机密性、完整性和可用性保护级别。

数据分类有助于保证以成本最为低廉的方式保护数据。保护和维护数据会耗费资金，因此必须将这笔资金用在确实需要保护的信息上。

每种分类都应当具有单独的处理要求和措施，以便说明如何访问、使用和销毁数据。

2.9.1 分类级别

信息敏感级别：
机密
隐私
敏感
公开

上图所列出的分类级别是业界常用的方法，但也有很多变体。每个组织都必须开发最符合自己业务和安全需要的信息分类方案。 确定分类方案后，公司或政府机构必须开发出一套使用准则来说明如何对信息进行分类。下面列出了组织机构可能用于决定信息敏感度的一些准则参数：

数据并非唯一需要分类的事物，有时应用程序和整个系统也需要分类。应当对保存和处理分类信息的应用程序进行评估，从而决定它们的保护级别。

2.9.2 分类控制