Подскажите, пожалуйста, с чего вообще начать?

Всем добрый вечер. Подскажите, пожалуйста, с чего вообще начать, если нужно провести аудит информационной безопасности в компании среднего размера? Понимаю, что нужно проверять ИТ-инфраструктуру, документацию и сотрудников, но боюсь упустить важные моменты. Может, кто-то проходил через это и подскажет, как грамотно всё организовать?

Приветствую! Буквально недавно сам проходил через похожую историю. Мы тоже решили провести аудит информационной безопасности, потому что появились сомнения в защищённости внутренних систем. Я обратился к ребятам из компании DatSecurity https://datsecurity.ru/kompleksnyy-audit-informacionnoy-bezopasnosti — у них этот процесс поставлен профессионально. Сначала они провели обследование инфраструктуры: проверили серверы, внешние подключения, бэкапы, даже посмотрели, нет ли доступа к ним извне. Потом изучили, как у нас хранятся персональные данные и насколько корректно оформлена документация по 152-ФЗ. Отдельно проверяли, как сотрудники обращаются с конфиденциальной информацией — оказалось, что некоторые пароли вообще не менялись больше года. После аудита выдали отчёт с конкретными шагами: где нужно обновить политику безопасности, где поставить дополнительные фильтры, какие сервисы требуют обновлений.