מנהלים רבים בארגונים עיסקיים נוטים לטעות בהבנה הבסיסת של ההגדרה "מהו מידע רגיש?", לרוב ייבחרו במידע הרגיש הנוגע למרכז עיסוקם ו/או בהתאם לדרישות שאותם מכתיבה השכבה הניהולית, דרישות אלו מגיעות הן "כהנחתה" לעמידה בדרישות תקינה (רגולציה) או כהמלצה בלבד לצורך הקשחת ההגנה על המידע.
כל יישות עיסקית באשר היא, צריכה באמצעות מנהליה (מנכ"ל / מנהלים / דירקטורים ) להגדיר בצורה ברורה וגלויה באמצעות נהלים כתובים , ביצוע סקרים , תשאולים וכתיבת מסמך ברור (לרוב מנוהל על ידי מחלקת ארגון ושיטות) המפרט מהם נכסי המידע של הארגון, לרוב המידע הרגיש הינם התוצרים של התהליכים העיסקים הרלוונטים של אותה יישות עיסקית. לדוגמא : ארגון בריאות המעניק שרותי בריאות שוטפים וחירום , חיייב להגן על המידע במספר רבדים וכן להגדיר את הגישה של המשתמשים לכל רובד מידע , רופאים יכולים לראות את תיק הפציינט אולם לא יכולים לראות את פרטי כרטיס האשראי של הפציינט או פרטי חשבון הבנק וכדומה. מידע רגיש בהגדרתו הינו מידע אשר בעת חשיפתו לרבים או לגופים צד שלישי (גורם עוין מכל סוג) יגרום לנזק בהיבט הכלכלי, התדמיתי והמשפטי לאותה יישות העיסקית.
