В СТО БР ИББС-1.0-2010 есть пункт 8.9. "Требования к разработке и организации реализации программ по обучению и повышению осведомленности в области информационной безопасности.", который предписывает создание процессов в данном направлении. Вот что у меня получилось в качестве высокоуровневой политики.
Политика повышения осведомленности в вопросах информационной безопасности сотрудников
Политика повышения осведомленности в вопросах информационной безопасности сотрудников
