Построение системы защиты информации организации не будет считаться завершенным, если в ней не предусмотрено:

Разработка концепции безопасности информации.
Определение оргструктуры службы защиты информации.
Выявление всех возможных каналов утечки информации.
Направление обучения и повышения квалификации по безопасности информации.

К сожалению, у нас пока нет статистики ответов на данный вопрос, но мы работаем над этим.