Нормы по классификации информации являются основными в защите информационных активов компании. Документ предоставляет схему для защиты, путем информирования всех рабочих об уровне важности каждого кусочка информации.
Нормальная ситуация в большинстве нынешних компаний - отсутствие классификации. Обычно работники принимают решения на основе субъективных факторов, а не на важности или ценности информации. Люди не отдают себе отчет в том, что могут дать нужную атакующему информацию прямо ему в руки.
Классификация позволяет разделить всю информацию на несколько уровней, в зависимости от ее ценности. Таким образом, зная, к какой группе принадлежит информация, работник может воспользоваться уже существующими процедурами, которые обеспечивают должную безопасность.
Каждый работник должен пройти специальную тренировку, даже тот, кто обычно не пользуется компьютерами или корпоративными средствами коммуникаций. Потому что каждый член рабочей команды, включая уборщиков и охранников, имеет доступ к различной информации, которая может стать целью атаки.
Управляющая верхушка должна учредить должность Информационного владельца, который будет ответственен за любую информацию, используемую в текущий момент в компании. Среди остальных вещей, такой человек ответственен и за ее защиту. Обычно он определяет, какой уровень классификации необходимо присвоить для защиты, периодически пересматривает уже существующие и меняет, в случае надобности.