Прочитал давече прикольный док на сайте ISACA —  Principles for Information Security Practitioners .

Весьма прикольный док. Является совместным плодом ISACA, ISF и ISC2.

Изложены простые принципы, следуя которым можно выстроить в компании отличную СУИБ. Ну или улучшить существующую:) Порадовало, что имеются «морально-этичные» принципы и принципы о культуре компании. Вообще то, думаю это самые важные моменты, проходящие красной нитью через все остальные.

Вот краткий список, детали см по ссылке:

A Support the business

A1 Focus on the business

A2 Deliver quality and value to stakeholders

A3 Comply with relevant legal and regulatory requirements

A4 Provide timely and accurate information on security performance

A5 Evaluate current and future information threats

A6 Promote continuous improvement in information security

B Defend the business

B1 Adopt a risk-based approach To ensure that risks are treated in a consistent and effective manner.

B2 Protect classified information To prevent classified information (eg confidential or sensitive) being disclosed to unauthorised individuals.

B3 Concentrate on critical business applications

B4 Develop systems securely To build quality, cost-effective systems upon which business people can rely (eg that are consistently robust, accurate and reliable).

C Promote responsible security behaviour

C1 Act in a professional and ethical manner

C2 Foster a security-positive culture