т.к. по закону вы обязаны ПДн прежде всего вдимо защищать, наверное нужно на этой базе все строить, прикручивая КТ уже к тому что по направлению ПДн сделали. Вот толковая статья https://kontur.ru/articles/1763. Еще можно взять типовой состав (список) документов обычно который делает и пройтись по нему чтобы устранить пробелы
еще можно посмотреть тут
https://fstec21.blogspot.com/p/calculator-basic-set-of-measures.html
https://fstec21.blogspot.com/p/calculator-information-protection.html
еще такое есть https://fsb378.blogspot.com/

в бумажках по ПДн они зароются при риске документальной проверки от РКН, стремящейся к 0

Из условно-бытового одна печаль разгрести файлопомойки и матрицу доступа родить. Но для плана надо еще пунктов

Спасибо

вы бы еще описали какую безопаность хотите получить - техническую или бумажную, или обе

в идеале обе конечно

ну то что я пока вижу как "программа минимум" допилить КТ с учетом матрицы доступа . Что-то прикупить для маркировки КТ в эл виде...возможно ДЛп. Подучить юзеров...повышение осведомленности и прочая...ну и по кругу (аудит, что-то допилить/внедрить, обучить, )

я бы начал с Политики ИБ для всей компании)

Имхо это в корне не верный подход. Регулятор мотивирует принимать не только технические меры и средства защиты , но и организационные. И именно они первичны. Можно со всех сторон огородится файрволами и криптошлюзами , но это не спасёт от легкомысленного пользователя или свежей уязвимости. А ОРД в частности очень хорошо позволяет навести порядок в голове и защищаемой инфраструктуре.

комплект ОРД в студию

по ПДн полный комплект, положение КТ - условное. Политика ИБ - условная есть

Там про ЭДО звучало - насколько оно серьезное?

более 150 пользователей и порядка 10-12 ЭЦП  систем ЭДО несколько но суть одна. Логин под собой без права подписи, подпись руководителя подразделения. Первичка/акты/закрывающие док-ты с контрагентами + сканы доверок и прочее

Если ЭП - на сертификатах от аккредитованного УЦ - здравствуй, 63-ФЗ и 152я ФАПСИ

а применимо к организации - пара документов? все ж честно куплено и настроено кем-то типа контур

)))
А вы читали договор  с контуром? И видели как обычно это устроено?

что именно? как их ЭДо работает видела... договор почитаю...

Тут столько букв надо бы написать...
- соответствие процессов ЭДО различным документам различных уровней и обязательности
- соответствие процессов работы с ЭП и требований ФСБ России (+судебная практика);
- ценность активов и невыполнения различных требований, лучших практик по шифре, ЭП и прочего по ИБ;
- понимание теми, кто всё это делает, смысла, идеи того, что требуется и того что надо сделать.
- соответствия договора с Контуром требованиям ФСБ России
....
....

Вот вы им всё сделаете, доки принесёте, научите почуть. А уходя увидете, что у какого-нибудь условного гендира, финдира или главбуха пароль написан на стикере, приклеенного к монитору и его видно из здания напротив. Это я к чему. Первое и единственное - им надо кому-нибудь довериться, кто будет у них сам изнутри всё делать (ну и который знает, что надо делать). А иначе это широкими мазками заплатки наклеивать. Прав  @Anarius61

надо на берегу определиться- надо ли всему этому соответствовать

вот честно - не очень поняла этот момент. Этот кусок давно и хорошо работает. Засомневаться в Контуре? юзают его = почту россии, только бумагу экономят...