Информационная безопасность предприятия начинается с принятия единой политики или методики обеспечения защиты данных. Политика должна содержать следующие разделы:

общие принципы защиты информации, угрозы и цели обеспечения безопасности;
градация информации по степени значимости для компании;
условия доступа к данным, принципы разграничения доступа;
правила работы с компьютерной техникой и съемными носителями;
ответственность за нарушение требований документа.
Документ принимается на уровне высшего руководства и сопровождается политиками и методиками, определяющими более узкие задачи информационной безопасности на предприятии.

Вопрос информационной безопасности в последнее время постоянно находится в центре внимания бизнеса, органов государственной власти и контролирующих ведомств. Не остается в стороне и бизнес-сообщество, заинтересованное в повышении эффективности своей информационной системы в целях экономической и информационной безопасности бизнеса. Полный справочник специалиста по Комплексной информационной безопасности, который составил А. Баланов является подспорьем для тех кто работает в данной области. Кому интересно - вот ссылка https://www.bookvoed.ru/book?id=13648481

Материал на этом сайте https://www.bookvoed.ru/product/kompleksnaya-informatsionnaya-bezopasnost-polnyy-spravochnik-spetsialista-6818091 в целом мне подходит так что спасибо за совет.