정보는 질과 양 모두에서 측정 가능한 "가치"를 갖습니다. 정보의 가치가 결정되면 정보 보안 프로그램을 평가하여 해당 비용이 보호하는 정보의 가치에 상응하는지 확인할 수 있습니다.
정보에는 정확성, 적시성, 실용성, 개인 정보 보호 및 보안과 같은 속성이 있습니다. 정보 보안은 다시 기밀성, 무결성, 가용성으로 구분됩니다.
정보의 비용과 가치는 정보의 무결성, 기밀성 및 가용성과 밀접한 관련이 있습니다. 그 가치의 최종 결과는 정보가 소유자나 관심 있는 기관(또는 사람)에게 갖는 가치로 수렴됩니다. 다른 항목의 평가와 마찬가지로 정보의 평가도 내용과 관련이 있습니다. 평가 원칙은 정보 보안의 성숙도에 따라 달라집니다.
6가지 평가 기법이 있습니다. 이는 정책 및 규정, 체크리스트, 설문지, 집단 의견, 회계 데이터 및 정적 분석을 기반으로 합니다.
가치평가의 주요 원칙은 정보의 비용이나 가치에 기초합니다. 이는 소유자, 합법적인 사용자 및 불법적인 사용자에 대한 정보와 정보의 가치를 찾고, 개발하거나 유지하는 데 드는 비용입니다. 정보의 비용/가치는 비즈니스 거래에 기록됩니다.
정보에는 비용, 가치 또는 두 가지 모두가 있다고 말해야 합니다. 정보의 비용이 반드시 정보의 가치를 반영하는 것은 아닙니다. 실제로 일련의 요소들이 관련 당사자의 정보 가치 결정에 영향을 미치며, 정보의 가치는 결정 가능한 정보 비용보다 높은 경우가 많습니다. 때로는 거래가 발생할 때까지 정보의 가치를 결정할 수 없습니다.