Dokumenty jsou statickými nosiči informací a skutečností platných v nějakém čase. Ať už se jedná o formální úřední dokumenty, které jsou evidovány v rámci výkonu spisové služby, a nebo o pracovní či provozní dokumenty, které jsou evidovány a spravovány mimo elektronické systémy spisové služby. U všech dokumentů musí být zajištěna jejich základní bezpečnostní klasifikace, protože právě v dokumentech jsou obsaženy mnohdy citlivé a zásadní informace a skutečnosti, které by se neměly dostat mimo okruh určených osob, natož pak mimo organizaci.

U organizací, jež jsou v roli Veřejnoprávní původce musíme rozlišovat dokumenty třech druhů podle místa jejich správy a evidence, které má také řídit jejich bezpečnost.

1. Dokumenty vedené v elektronickém systému spisové služeb: ESSL má mít implementovány mechanismy bezpečnostní kategorie (klasifikace) a má splňovat související technické požadavky na zajištění řízeného přístupu jen oprávněných uživatelů.
2. Dokumenty vedené v agendovém informačním systému v rámci výkonu veřejné správy a nebo v obdobném systému (ISSD): Zde platí to samé, co u ESSL s tím, že pro klasifikaci dokumentů se má využít Klasifikace údajů ve veřejné správě, neboť dokument je defacto jen statickým nosičem údaje a jeho zdrojem.
3. Ostatní dokumenty vedené a ukládané v nějakém systématickém systému či evidenci (třeba DMS): Je třeba vybrat takový nástroj, který klasifikaci a technické řízení přístupu umožňuje

Dokumenty obecně můžeme dělit na:

• Veřejné (a zveřejněné) tedy přístupné všem
• Neveřejné - tedy přístupné jen někomu

Pro klasifikaci dokumentů ve veřejné správě se využije standard Traffic Light Protocol a jeho úrovně přístupu. V daném nástroji se pak TLP implementuje jednotlivými úrovni bezpečnostní kategorie (jako u ESSL) a nebo přímo omezením bezpečnostní třídy a přístupu podle složek nebo částí, v nichž je dokument uložen (jako u DMS nebo AIS).