Вам нужно посмотреть на ISO 27001/27002 и Cobit. Может быть немножко NIST SP800-144 (и другие SP).
Или на курсы по обеспечению комплексной ИБ/мастер-класс консультанта какого-нибудь. Фреймворки и стандарты всё таки тяжело читать. Еще сложнее успешно адаптировать (или хоть как-то эффективно применить) под себя.
Документация текущего положения дел - это хорошо, но оно не даёт полной картины.
А грамотность защиты сервиса - это миф :) Особенно, если информация о ней сакральна и зависит от пары сотрудников.
Начните паралелльно работу на высоком уровне - установите цели, составьте политику безопасности, какие-нибудь базовые общие регламенты. Определите и улучшайте сам процесс управления/обеспечения безопасности вашего сервиса.
Сотрудника необходимо знакомить в первую очередь не с используемыми технологиями и конкретными мерами контроля - а с самим процессом.