Não, você não precisa proteger * todas * informações não classificadas com o mesmo nível de rigor. Embora todas as informações devam ser tratadas com responsabilidade, o nível de proteção necessário depende da sensibilidade das informações, mesmo que não seja classificada.  
 Por exemplo: 
 * 
 Informações disponíveis publicamente: O preço das ações de capital aberto de uma empresa não requer proteção especial. 
 * Memorandos internos: Um memorando interno sobre os próximos almoços de equipe provavelmente precisa de proteção mínima. 
 * 
 Dados pessoais dos funcionários: Números de segurança social dos funcionários ou informações sobre saúde, embora não classificadas, requer proteção significativa sob regulamentos como HIPAA ou GDPR. 
 * 
 Propriedade intelectual: Mesmo se não for classificado, os segredos comerciais de uma empresa ou projetos proprietários precisam de uma forte proteção para evitar roubo ou concorrência injusta.  
 Portanto, o nível apropriado de proteção para informações não classificadas armazenadas nos sistemas de TI depende de sua sensibilidade e do impacto potencial de uma violação. As organizações devem ter políticas e procedimentos para classificar as informações com base em sua sensibilidade e aplicar controles de segurança apropriados. Isso pode envolver controles de acesso, criptografia, medidas de prevenção de perda de dados etc.