Первый шаг на пути построения системы защиты информации:

Определение состава защищаемой информации.
Определение состава средств защиты информации.
Определение состава подразделений защиты информации.
Определение состава нормативно-правового обеспечения защиты информации.

К сожалению, у нас пока нет статистики ответов на данный вопрос, но мы работаем над этим.