組織應制定信息安全管理制度，組織信息應按照其法律要求、價值、對泄露或篡改的敏感性和關鍵性予以分類（例如定義為可對外公開、內部公開、內部某部門公開、內部特點人員公開等類別）。信息資產的所有者應對其分類負責。分類的結果表明了該資產的價值，該價值取決于其對組織業務目標的敏感性和關鍵性如保密性、完整性和有效性。

信息要進行標記并體現其分類，標記的規程需要涵蓋物理和電子格式的信息資產。分類信息的標記和安全處理是信息共享的一個關鍵要求。物理標簽和元數據標簽是常見的形式。 標記應易于辨認且不易篡改，規程應對標記附著的位置和方式給出指導，并考慮到信息被訪問的方式和介質類型的處理方式。

組織要建立與信息分類一致的資產處理、加工、存儲和交換規程。

　　對于可移動介質，應建立與信息分類方案相對應的管理規程。根據相應規程確定可移動介質可以存儲哪類信息。

對于不再需要的介質，要建立安全處置介質的正式規程，以使敏感信息泄露給未授權人員的風險減至最小。安全處置包含敏感信息介質的規程宜與信息的敏感性相一致。組織還要注意，當處置堆積的介質時要考慮集合效應，它可能使大量不敏感信息變成敏感信息。所有介質的處置應該留存處置記錄。

存儲信息的介質在物理傳輸期間易受未授權訪問、不當使用或破壞。組織要保護包含信息的介質在傳輸中的安全，這里的介質包括紙質文檔和電子信息。當介質的保密信息未加密時，宜考慮額外的物理防護，例如保密文件箱。