Здравствуйте, уважаемые автор темы и участники форума.
Тема интересная, но, как справедливо заметили предыдущие участники, отвечать, не имея практической информации об организации, затруднительно. Но мне хотелось бы выделить наиболее важные пункты по этой теме.
1. На мой взгляд, в общем, для разработки концепции ИБ важно сначала иметь достоверную, адекватную информацию о проблемах в области рисков и угроз организации, а не только субъективное мнение о положение дел. Для этого не худо бы провести исследование, которое диагносцирует ситуацию и покажет наиболее острые проблемы. Данные проблемы учитываются при разработке задач концепции.
2. Основные элементы системы ИБ:
организационные,
программные,
технические
и криптографические средств и меры по защите информации
3. Как минимум должны быть следующие внутренние нормативные документов:
положение о защите коммерческой тайны;
инструкция по работе с документами, содержащими коммерческую тайну;
положение о конфиденциальной информации
правила предоставления доступа к информационным ресурсам;
правила работы пользователей в корпоративной сети;
правила работы в Интернете;
правила выбора, хранения и использования паролей;
инструкция по защите от компьютерных аттак, вирусов;
иные документы.
Я понимаю, что это уже много раз повторялось в разных обсуждениях, но может такое резюме будет полезным.