組織應制定信息安全管理制度，組織信息應按照其法律要求、價值、對泄露或篡改的敏感性和關(guān)鍵性予以分類（例如定義為可對外公開、內(nèi)部公開、內(nèi)部某部門公開、內(nèi)部特點人員公開等類別）。信息資產(chǎn)的所有者應對其分類負責。分類的結(jié)果表明了該資產(chǎn)的價值，該價值取決于其對組織業(yè)務目標的敏感性和關(guān)鍵性如保密性、完整性和有效性。

信息要進行標記并體現(xiàn)其分類，標記的規(guī)程需要涵蓋物理和電子格式的信息資產(chǎn)。分類信息的標記和安全處理是信息共享的一個關(guān)鍵要求。物理標簽和元數(shù)據(jù)標簽是常見的形式。 標記應易于辨認且不易篡改，規(guī)程應對標記附著的位置和方式給出指導，并考慮到信息被訪問的方式和介質(zhì)類型的處理方式。

組織要建立與信息分類一致的資產(chǎn)處理、加工、存儲和交換規(guī)程。

　　對于可移動介質(zhì)，應建立與信息分類方案相對應的管理規(guī)程。根據(jù)相應規(guī)程確定可移動介質(zhì)可以存儲哪類信息。

對于不再需要的介質(zhì)，要建立安全處置介質(zhì)的正式規(guī)程，以使敏感信息泄露給未授權(quán)人員的風險減至最小。安全處置包含敏感信息介質(zhì)的規(guī)程宜與信息的敏感性相一致。組織還要注意，當處置堆積的介質(zhì)時要考慮集合效應，它可能使大量不敏感信息變成敏感信息。所有介質(zhì)的處置應該留存處置記錄。

存儲信息的介質(zhì)在物理傳輸期間易受未授權(quán)訪問、不當使用或破壞。組織要保護包含信息的介質(zhì)在傳輸中的安全，這里的介質(zhì)包括紙質(zhì)文檔和電子信息。當介質(zhì)的保密信息未加密時，宜考慮額外的物理防護，例如保密文件箱。