ガイドラインがあれば教えて下さい。ちなみにほとんどウイルス対策と性善説で奇跡的にうまく行ってます。

6拠点端末50台で、販売管理ソフトを使うためのサーバーを3台使用している中小企業でシステム全般の管理を担当しています。

どういった書き方が良いか、わからないので、とりあえず現状を説明します。

・各端末にウイルス対策ソフト（SaaS型)を導入。
・迷惑メール対策は、ホスティングのサービスを利用。
・クラアント/サーバーの接続は、VPN回線を利用。
・サーバーを設置している部屋には施錠を実施。

情報漏えいまで含めたセキュリティという意味では、かなり手薄な感じが
しています。担当者としては必要性は感じていますが、経営陣がどこまで
感じているかはわかりません。

うち位の規模の場合、セキュリティ関連の投資意欲よりも、販売管理システム関連の投資意欲の方が強いのかなといった感じがします。

自己レスですが、
IPAからガイドラインが3/18に出ましたので、ご参考にしてください。もったいないですよね、こういう情報をもっと告知しなくては、と思います。 http://www.ipa.go.jp/security/fy20/reports/sme-guide/index.html

「セキュリティをやれ」という話は経営層から有りましたが、
実際に案を持っていくと「高額すぎる」「投資する余裕はない」と言われて、
実現出来ていません。

・サーバ・クライアント全数にアンチウィルスソフトを導入。（いにしえの昔からやっています）
・メールおよびインターネットアクセスにはウィルススキャンがかかります。
・インターネットへのアクセスは全部ログが残ります。（数万件／日）
・蟻の穴状態の建物の割には入退出管理、監視カメラはそろっています。
・情シスの部屋は囲って部外者が入りにくくなっています。今後はカードキーがないと入れないようになる予定です。

もっといろいろやるべきですが不況で金がないのが悩みです。

私の会社では何百万円も掛けて入退室管理システムが導入されました。
会社に入る時にもカードを入れないとドアが開きません。
一部の部屋にも装置があってカードを入れないとドアが開きません。
でも誰かが開けると何人かが一緒に通っていきます。
本当にそんな装置が役に立っているのかしらと思います。

当社の建物のなかには別の会社が間借りしています。
当社の重役でその別会社に転籍（言ってみれば天下り）したものが居るのです。
その重役が「今までのアカウントをそのまま使わせて欲しい」「（間借りしている別会社のフロアに）ＬＡＮを引いて欲しい」などと言い出しました。
私は「２つとも却下」を言い渡したのですがその重役は「おまえなんかに聞いていない　おまえの上司と相談する」などと言い出しました。
たしかに私にも私の上司にとってもその重役は上の人ではありますが、それは当社の社員だった時の事で今は「そんなの関係ねぇ」。
なのに上司は「どうしよう」「どうしよう」と迷っています。