Questão correta. Essa realidade decorre do processo de avaliação dos riscos. Abaixo vemos que o nível de criticidade da informação é critério relevante para para a determinação da importância de um determinado risco. Quanto maior a importância/impacto do risco, mais teremos que buscar tratamentos e proteções diferenciados. Referência pag. 9 da Norma ISO/IEC 27005, abaixo:
"Critérios para a avaliação de riscos
Convém que os critérios para a avaliação de riscos sejam desenvolvidos para avaliar os riscos de segurança da informação na organização, considerando os seguintes itens:
- O valor estratégico do processo que trata as informações de negócio
- A criticidade dos ativos de informação envolvidos
- Requisitos legais e regulatórios, bem como as obrigações contratuais
- Importância do ponto de vista operacional e dos negócios, da disponibilidade, da confidencialidade e da integridade
- Expectativas e percepções das partes interessadas e conseqü.ncias negativas para o valor de mercado (em especial, no que se refere aos fatores intangíveis desse valor), a imagem e a reputação.
Além disso, critérios para avaliação de riscos podem ser usados para especificar as prioridades para o tratamento do risco."
Espero ter ajudado!
CERTO.
Segundo a ISO/IEC 27002,"7.2 Classificação da informação
A informação possui vários níveis de sensibilidade e criticidade. Alguns itens podem necessitar um nível adicional de proteção ou tratamento especial. Convém que um sistema de classificação da informação seja usado para definir um conjunto apropriado de níveis de proteção e determinar a necessidade de medidas especiais de tratamento.
7.2.1 Recomendações para classificação
Controle
Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização."