Toutes les informations sensibles de l'entreprise ne peuvent être protégées de la même façon, au risque de paralyser l'activité de l'entreprise. Un recensement des informations sensibles (stratégiques, DCP...) et de leurs traitements ainsi qu'une une analyse des risques associés sont des préalables indispensables pour les caractériser (stratégiques, vitales, DCP ou autres ; flux...), et mieux définir les conditions adéquates des protection à mettre en place.