[Coutty]

Это не политика ИБ, а просто мануалы для пользователей.

В рамках ИБ вам следует начать с составления перечня конфиденциальной информации, нанесения меток на носители информации (на жёсткие диски, дискеты, компашки, бумажные носители). Потом пользователи должны подписать документ, что они ознакомлены со списком и обязуются не разглашать информацию в такие-то сроки (скажем, в течение года после увольнения).
Доступ к ком.тайне ограничить, разумеется. Вести журналы доступа (передал в пользование, получил обратно).
Системники запломбировать (хотя бы для того, чтобы внутрь не лазили под угрозой штрафов). Назначить ответственных (каждый отвечает за своё рабочее место. Если пломба уже сорвана - обратиться к админу ИБ, чтоб разобрался).
Инструкции на такие "ЧП локального масштаба" написать и где-нибудь в открытом доступе разместить. Принтер поставить возле секретаря или кого-нибудь другого, кто будет вести учёт печатных документов под роспись в журнале. Секретаря, вообще-то, легко купить на "шоколадку" (или что-то другое малоценное), т.ч. сами решайте.
Интернет на компах, обрабатывающих что-то ценное - отрубить.

Обязательно надо делать инструкции по "логин-паролям". Чтобы нигде не записывали на видном месте. Можно подарить даже ручки с надписями "не для записи паролей". Составить какой-нибудь документ, где описывается система штрафов за простые пароли (админ проверяет брут-форсом), записи на видном месте, за передачу пароля коллеге, оставление рабочего места без блокировки (за такое можно наказать делом - удалив, скажем, отчёт, над которым вторые сутки работают. Но это жестоко). На случай увольнения - свои процедуры должны быть описаны (блокировка учётной записи и снятие прав).

А вот "какими программами пользоваться можно" и всё такое - это забота администратора. Неужели нельзя организовать замкнутую программную среду, отключить порты?
Насчёт корректного выключения компов - да примотайте эти вилки к упсам, чтоб не выдёргивали. Пусть выключают кнопкой на системнике. Или ярлык на рабочем столе сделайте.