Практика ИБ \\ Пишите документы по безопасности, которые люди смогут читать!

Все мы знакомы со стандартным набором требований, предъявляемых к разработке нормативных документов по ИБ, которые (теоретически) должны обеспечить успешность и эффективность этих документов: получение поддержки руководства , распределение ролей и назначение ответственных , учет специфики компании, ее потребностей в обеспечении безопасности, учет результатов оценки рисков , указание четких требований и обеспечение возможностей для их выполнения. И т.д. Безусловно, все это правильно, но...

Сколько в вашей компании сотрудников, которые знают где найти действующие нормативные документы по ИБ? А сколько из них потратили время на ознакомление с этими документами и поняли, что в них написано? Сколько из них помнят указанные в документах требования через месяц после прочтения? Сколько сотрудников стараются соблюдать эти требования и следят за тем, чтобы их коллеги также следовали им? К сожалению, часто в ответе уже на первый вопрос количество сотрудников весьма небольшое, и оно продолжает снижаться при ответе на каждый следующий вопрос...