[VladimirB]

Существует два подхода к построению политики безопасности:
1. Реализован в немецком стандарте по безопасности (в политику пишут все требования к безопасности. Получаем талмуд огромной толщины, который никто не читает)
2. Политика документ в 20 страниц максимум, который конкретизируется инструкциями по соответствующим направлениям. Мне ближе подход 2. Кроме того политику нужно актуализировать пересматривать 1 раз в год.