Какую практику выбрать?
Что можно взять за основу что бы аудит был действительно эффективным и результативным?
Возможно есть хороший детальный Checklist или конкретный инструмент?

Цель – оценить уровень защищенности ИТ инфраструктуры и разработать список изменений для повышения уровня защищенности.

Только уровень защищенности инфраструктуры и приложений, без операционной деятельности, процедур и физической безопасности.

С одной стороны, есть много практик и инструментов, которые описывают как нужно оценивать уровень защищенности систем.
В них много вопросов, ответив на которые, можно получить общую оценку с примитивной детализацией по разделам и пунктам.
А с другой стороны, есть конкретные действия которые позволяют повысить уровень защищенности.

Как мне от уровня оценки перейти на уровень конкретных действий?

Наша организация использует сетевое оборудование Cisco, серверное оборудовании HP и инфраструктуру Microsoft со множеством служб.
Есть такие службы, как Active Directory, Exchange, Hyper-V, FileServer, SharePoint, SQL, DNS, DHCP, NAP, VPN и другие.

Например, Microsoft Security Assessment Tool 4.0 – инструмент (методика) верхнего уровня.
Он определяет общие рекомендации по 200 параметрам (инфраструктура, приложения, операции, персонал).
Windows Server 2008 R2 Domain Controller Security Complince (Microsoft Security Compliance Manager) - инструмент нижнего уровня.
Он определяет 393 значения групповой политики, и это только уровень приложений (1 служба Windows).

В GPO есть много параметров безопасности, о которых никогда не говорится в рекомендациях и методиках.
А эти параметры прямым образом влияют на уровень защищенности систем, их нельзя игнорировать в оценке.

Посоветуйте инструмент (методику) которую я могу взять за основу, что бы выполнить аудит безопасности, только информационных систем Microsoft и Сisco.
Что бы на основе результатов аудита я мог разработать список конкретных изменений для повышения уровня защищенности.

Буду очень благодарен за помощь! Спасибо.