A ISO 27002 é uma espécie de código de conduta para um todo o conjunto abrangente de controles que apoiam a aplicação dos sistemas de gerenciamento de segurança da informação trazidos na ISO 27001, sendo que as normas não determinam níveis, mas apenas aduzem que eles devem fazer sentido no contexto da organização. No entanto, as empresas costumam utilizar uma classificação da informação em níveis, baseada nos conceitos da segurança da informação. Nesse contexto, um nível é considerado o mais alto, no qual as informações se divulgadas, interna ou externamente, têm potencial para trazer grandes prejuízos financeiros ou à imagem da empresa. Por característica, essas informações são protegidas por criptografia. Esse nível é conhecido como de informações: