Devem estar claramente definidos na política de segurança da informação os níveis de classificação da informação e o tratamento mais adequado para cada nível de classificação. Geralmente a informação é classificada de acordo com a necessidade do negócio. Dois níveis são detalhados a seguir.

• a informação deve ser classificada neste nível quando sua exposição fora do ambiente da organização possa acarretar perdas financeiras, de imagem, de competitividade. Neste caso, se faz necessário além de controles de acesso outros que garantam sua integridade, pois são informações importantíssimas para as atividades do negócio; informações neste nível jamais podem ser transmitidas via internet sem o uso de criptografia e, quando descartadas, devem ser tomadas as providências cabíveis para que a informação seja de fato destruída, sem chance de recuperação;

• a informação deve ser classificada neste nível quando ela puder ser divulgada a todos, isto é, funcionários, terceirizados , clientes, fornecedores e público em geral, sem que isso provoque impactos no negócio ; apesar de uma informação desse nível não precisar de nenhum tipo de proteção quanto à questão do sigilo, é conveniente que usuário nenhum tenha acesso a ela, a menos que precise de tal informação para o desempenho de suas atividades.

A informação classificada em cada um desses níveis denomina-se, respectivamente: