Начать надо традиционно: с Политики безопасности.
И хоть это скорее ИБ, а не ИТ, но там много параметров и есть с чего начать.
Туда входят например такие элементы: политика паролей, разрешенные и запрещенные приложения, регламентированный софт и т.д.
Попробовать создать такой документ с нуля самому можно, но сложно. Циска сделала такой ресурс, как помощник создания Политики безопасности. ВОт тут
http://www.ciscowebtools.com/designer/есть закладка Security Policy Builder
Попробуйте начать с неё.
СУВЖ,Сергей