Я бы еще посоветовал вам смотреть не только на то, что от вас требуют, но и на то, что вам нужно самим.
Без понимания задач бизнеса вы вряд ли удачно примените рекомендации стандартов.
Следует помнить, что ИБ это не только обеспечение конфиденциальности. ИБ обеспечивает конфиденциальность, целостность и доступность информации.
Прежде всего необходимо идентифицировать информационные системы, которые у вас есть. Например: Active Directory, корпоративная почта, 1С, файлопомойка и т.п.
Затем необходимо сформировать требования конфиденциальности, целостности и доступности для данных систем. То есть:
1) конфиденциальность - что вы готовы отдать конкурентам сразу, что можете отдать но не хочется, и что вы ну никак не можете отдать; сюда же входят требования законодательства (за что на вас не наедут, за что вас по головке не погладят, за что вас засудят);
2) целостность - для каких данных точность и актуальность не важны/желательны/крайне важны;
3) доступность - что вам сделают по каждой системе за простои минута/день/месяц (соответственно, жизненно необходимо/необходимо/неважно); сюда входят не только файловеры, но и планы восстановления.
И от этого плясать. Желательно все проведенные процессы документировать, правила их проведения оформлять в виде внутренних документов компании.
В результате вы поймете, что вам нужно защищать и как. Для кого-то более важна доступность, для кого-то целостность, для кого-то конфиденциальность. Для закрытия требований выбираете меры (антивирус, пароли, резервные сервера и т.п.) и смотрите, насколько они закрывают требования, и насколько минимизируют убытки/простои.