次のステップでは、次の問題を解決します。
格付けとコンパートメントを使用してラベルと認可上限をエンコーディングする
プリンタ出力上に印刷する取り扱い指示
セキュリティー管理者は、大きなボードを使用しました。図 6–5 に示すように、ラベルにする語句が紙片に記されました。これによって関係を視覚化することができ、満足のいくまで各部分を入れ替えたりして検討を加えることができます。
セキュリティー管理者は次の事実を発見しました。
4 つのラベルは階層構造になっていて、最上位が REGISTERED で、最下位が PUBLIC である。
グループ名を関連付けられるラベルは 1 つだけである
登録された情報を受け取れるように認可される者のリストは、それぞれの場合によって制限されます。そのため、REGISTERED にはグループ名は不要です。INTERNAL_USE_ONLY は全従業員と機密保持契約に署名した人を対象とし、PUBLIC ラベルは全員を対象としているため、これらのラベルはそれ以外の資格を必要としていません。 NEED_TO_KNOW ラベルは、NEED_TO_KNOW MARKETING や NEED_TO_KNOW ENGINEERING のように非階層的な語句と関連付ける必要があります。グループや部門を表す語句をそのユーザーの認可上限に含めることこともできます。 これは、そのユーザーの need to know (知る必要性) を確定するためです。
PUBLIC 以外の各ラベルでは、その情報にアクセスするには機密保持契約に署名する必要があります。
NON-DISCLOSURE AGREEMENT REQUIRED などのテキストがあれば、その必要性を気づかせる意味で有効です。
バナーページやトレーラページに示す取り扱い指示は、情報の取り扱い方を明確な表現で示します。情報の取り扱い方は、格付けと、ラベル内のグループ名に基づきます。
プリンタ出力の機密に関する情報に加えて、取り扱い指示には、ラベルが機密保持契約を必要とする場合にその条件を出力します。