この会社では、「外部に影響があるか否か」「被害者が不特定多数に及ぶか」といったことを考慮した結果、このような分類になったようです。
もちろん、これはあくまで一例ですから、この通りでなければならないわけではありません。ただ、「情報漏えいがどこまで影響を与えるのか?」を軸に情報を分類するのは、比較的、常識的な分け方だと言えます。
自社の経営情報や営業情報よりも「取引先の秘密情報」が重い分類となっていることに違和感があるかもしれませんが、外への影響を重視すれば、自ずとこうなります。
そして、このように分類したら、今度は各分類ごとのセキュリティポリシーを考えていきます。
これも、同じ例で見てみましょう。
次ページをご覧ください。