Для Вас наверно будет интересным почитать журнал "Компьютер-Пресс". В особенности номер за март этого года.Именно в этом номере статей пять, посвященных проблеме утечки информации. В частности, есть статья с названием "Служба защиты информации- первые шаги". Может быть стоить начать с этого? Так же есть аналитика на данную тему (политики IT-безопасности),в которых отражены общие моменты и возможные ошибки при введении такой политики.

Вопрос ни о чём. Если речь идёт о AD политиках, то мануал от Microsoft или книжки издательства Osborne вам в руки, так хорошо это освещено

«Если Вы думаете, что технологии могут решить Ваши проблемы безопасности, то Вы не понимаете ни проблем безопасности, ни технологий».
Б. Шнайер
http://www.citforum.ru/security/internet/security_pol/ - хороший ресурс для начала бесконечного процесса.
PS Современный толковый словарь русского языка Ефремовой: «Политика - ... 3. перен. разг. Образ действий, направленных на достижение чего-л., поведение, определяющее отношения с людьми».
Тогда политику можно выработать или описать, проводить п., придерживаться п., но не написать.