A implantação de uma política de segurança da informação deve definir, entre outras coisas, as regras de acesso aos ativos informacionais com base na sensibilidade da informação. É fator determinante da classificação da sensibilidade