12.3 信息和資產的分類（MAS_IAC）

12.3.1　安全保障管理目的

確保信息得到相應級別的保護。
信息應被分類來確認保護的需求、優先及程度。信息有不同程度的敏感度及重要性。有些需要額外的保護或特別處理。所以，應使用信息分類系統來定義適當的保護級別，并看看是否需要特別處理。

12.3.2　MAS_IAC.1分類指南

12.3.2.1　管理保障控制組件控制

應根據信息對組織機構的價值、法律要求、敏感性和關鍵性對信息進行分類。

12.3.2.2　管理保障控制組件注解

信息的分類及相關保護控制的制定，應結合業務共享及限制信息的需求，和這些需求所關聯的業務沖擊。
定義某信息的每個項目的責任，并定期檢查這些分類的責任，應該是由信息的持有者，或原作者負責。所指信息是指，例如文件、數據記錄、數據文件或磁盤等。
分類的指導方針應包括最初的分類協定，隨著時間重新分配等級，并與預先的訪問控制策略相一致。
定義資產的類別是資產所有者的責任，定期的復審和確保更新并在合適的級別。這種分類應考慮10.7.2中所提到的聚合效應。
要考慮的有類別的數目，以及分類后有什么好處。過于復雜的方法日后可能變得繁瑣、使用不經濟或顯得不實際。應小心如何解釋其它組織機構的文件上的分類標簽，有可能同一種或類似的標簽有不同的定義。

12.3.3　MAS_IAC.2標記和處理

12.3.3.1　管理保障控制組件控制

應該制定并實施一組恰當的標注及處理信息流程，流程應符合組織機構所采用的分類方法。

12.3.3.2　管理保障控制組件注解

信息標識流程應覆蓋物理和電子形式的信息資產。
按組織機構所采用的分類方法，制定合適的程序來標注及處理信息是很重要的。這些程序應包括。
系統帶有被分類為敏感或重要信息的輸出，應（再輸出）有適當的分類標簽注明。標簽應按7.2.1的分類規定注明。要考慮分類標簽的物件有：打印報表、屏幕顯示、記錄介體（磁帶、磁盤、CD等）、電子消息及文件轉移。
物理標簽一般是適當的標簽形式，但是，某些信息資產，例如電子形式的文檔，不能物理標注，應使用電子標注。對每個分類級別來說，處理流程的定義應涉及到安全處理，存儲，傳輸，刪除和毀滅。這也同樣包括保管的流程和任何出入的安全相關事件。
同其它組織機構的共享信息的協議應確定信息的分類級別，并說明分類標簽。