El gobierno utiliza C, S y TS como restricción general de nivel de material, pero pensar que eso es todo lo que usan sería una simplificación en exceso. Otras cosas en juego son las políticas de "Necesidad de saber". Básicamente, solo porque tenga la autorización de TS no significa que pueda acceder a todo lo marcado como TS. Hay demasiados para enumerarlos aquí, pero básicamente significa que terminas con un mayor nivel de complejidad que un simple sistema de tres marcas.
En cuanto a las pequeñas empresas, clasifique la información según el daño potencial si se divulga al público. ¿Se avergonzaría la empresa? ¿Podrían sus competidores entender cómo administran su compañía? ¿Es una fórmula secreta que está detrás de toda la empresa? También debe considerar las repercusiones legales de la divulgación de información protegida (registros médicos, etc.).
Entonces, responda a su pregunta: las empresas generalmente deben tener al menos un nivel confidencial para proteger la información de los empleados. No hay nada que impida que una compañía que siente que necesita categorías adicionales las cree. Sin embargo, en la vida cotidiana, la mayoría de las empresas renuncian a la idea "C / S / TS" y solo usan compartimentos de información.
Por ejemplo, es posible que Apple no clasifique a sus empleados en niveles de confianza (puede que no lo sepan), pero ciertamente compartimentan la información del proyecto solo para los departamentos necesarios.
Piense en el método del gobierno en un extremo del espectro y la "red de confianza" de una mafia en el otro. Hay más de una forma de despellejar a un gato. Una empresa va a elegir la que tenga el mejor riesgo de recompensa "con suerte".