Una vez identificados los procesos críticos de la organización y los sistemas informáticos que los soportan, cada uno de éstos últimos contiene activos de información que a su vez dependen de otros componentes críticos como software, hardware e  infraestructura diversa diseñados para sostener de forma eficiente dichos procesos críticos. La identificación de los activos y componentes críticos es esencial para conocer qué debe protegerse para clasificarlos mediante criterios basados en su confidencialidad, integridad y disponibilidad.

Los activos pueden agruparse en las siguientes categorías:

· Activos de información: ficheros y bases de datos, documentación del sistema, manuales de usuarios, material de formación, procedimientos operativos o de soporte, planes de continuidad, configuración del soporte de recuperación, información archivada

· Activos de software: software de aplicación, software del sistema, herramientas y programas de desarrollo

· Archivos físicos: equipo de tratamiento (procesadores, monitores, portátiles, módems), equipo de comunicaciones (routers, centrales digitales, máquinas de fax), medios magnéticos (discos y cintas), otro equipo técnico(suministro de energía, unidades de aire acondicionado), muebles, etc.

· Servicios: servicios de tratamiento y comunicaciones, servicios generales (calefacción, alumbrado, energía, aire acondicionado).

· Otros activos (imagen, objetivos, servicios producidos, credibilidad ...).

La responsabilidad de cada activo debería estar asignada sobre cada propietario por lo que se procederá a designar un responsable para cada recurso o grupos de recursos el cual asumirá en un futuro la tarea de mantener los controles apropiados y vigentes.

La información tiene varios grados de criticidad y sensibilidad y debería utilizarse un sistema de clasificación para garantizar una gestión del riesgo adecuada. Una serie de procedimientos organizativos avalarán que en primer lugar, la información se encuentre efectivamente clasificada y que cualquier cambio o creación de un activo de información reciba la tipificación adecuada y la destrucción de cualquier recurso de información sea gestionado de forma acorde al nivel definido.

Siguiendo los criterios definidos en la mayoría de modelos como MAGERIT e ISO17799 se crearán los criterios de clasificación de la información y recursos en función de:

· Nivel de confidencialidad asociada a la información derivados del marco regulador externo o criterios internos.

· Necesidad de disponibilidad del recurso en función del numero de personas afectadas por indisponibilidad, funcionamiento irregular, pérdida de imagen y tiempo de recuperación

· Inversión económica de reposición ante la pérdida.

· Nivel de pérdida de integridad del activo (cuanto más alto se el nivel más probable será que éste pierda su integridad)

Se elaborará una Guía de Clasificación de la Información que contendrá todos los procedimientos necesarios para gestionar el ciclo de vida de la información especialmente en lo relativo a la denominada sobre-clasificación o clasificación por exceso de información que con el tiempo o por cambios legales pasó a tener niveles inferiores. Igualmente se considerarán el número de categorías de clasificación adecuadas en función de la problemática legal, organizativa y técnica de la compañía. Normalmente se contemplarán los siguientes niveles:

· Desclasificado, considerado público y sin requisitos de control de acceso y confidencialidad
· Compartido, recursos que son compartidos entre grupos o personas no pertenecientes a la organización
· Sólo compañía, acceso restringido a los empleados de la organización
· Confidencial, acceso restringido a una lista específica de personas

Si el proyecto lo requiere procederá a desarrollarse las Listas de Control de Acceso de información que especificará quién puede acceder a qué.

La Guía de Clasificación contendrá los procedimientos de marcado y tratado de la información de acuerdo con el esquema definido durante el proyecto y adoptado por la Organización. Los procedimientos cubrirán actividades como copia, almacenamiento, transmisión electrónica de documentos, transmisión oral (telefonía móvil, transmisión de voz, máquinas de respuesta automática) y destrucción. El marcado reflejará la clasificación de acuerdo con las reglas establecidas en elementos como informes impresos, pantallas, medios de almacenamiento, mensajes electrónicos y transferencias de ficheros.