"我们对信息资产做了分类分级。" 这句话我相信大部分企业都在制度里写过。但问题是：分类分级这件事，是企业信息安全体系里最能看出"是做了"还是"走过场"的分水岭。 为什么？因为它直接决定了你后面所有的控制措施——访问控制、加密、备份、事件响应——到底把钱和人花在哪里。如果分级糊弄了，整个体系…