А именно:
1. Первичные документы предприятия
2. Приём работника (или формирование режима КТ с уже работающим сотрудником)
3. Факт нарушения режима

Отвечает иб-законник. За орфографию и пунктуацию извините заранее.
Короче. Отвечаю не совсем в логике поставленных вопросов, тема больно широка.
1.1. Основа режима КТ - перечень сведений составляющих коммерческую тайну. Именно так. Перечень может быть принят в констексте "положения о кт %компанинейм%(см след. пункты), может существовать просто сам по себе. Но он реально основа. В нём д.б. перечисленны документы и иные типы информационных активов компании(максимально подробно).
1.2. Маркировка документов. Вся коммерческая тайна д.б . промаркирована. В случае документа это д.б. гриф, содержащий надпись КОММЕРЧЕСКАЯ ТАЙНА %КОМПАНИНЕЙМ% АДРЕС РЕКВИЗИТЫ и прочее, смотри ФЗ
С информационными системами сложнее. Тут я безпруфно изложу, на основании своего опыта ибешника, судебных дел на эту тему не изучал особо.
Короче, по ИС:
1.2.1.в перечне КТ д.б. написано максимально правильное описание типов данных размещённых там, вместе с наименованием ИС.
1.2.2.надо душить разрабов, но максимально везде должна быть грифовка: при отображении на экранах и скриншотах, соответственно; при печати форм и отчётов; дописываться в буфер обмена при копировании (он естественно должен логироваться средством защиты информации).
1.2.3.в идеале, ИС д.б. аттестована и снабжена СЗИ в соответствии с техзаданием)
1.2.4.у ИС д.б. описание ролей и ролевые инструкции, юзеры, до вступления в права д.б. быть проинструктированы в журнал под роспись.
1.3. Д.Б. Первичка по КТ. Д.б. подписана лицом имеющим право на это. Обязательно. Т.е. вот прям на 110 процентов нужно быть уверенным, что лицо устанавливающее режим КТ имеет на то право. Если подписывает начальник СБ, то должно быть законно принятое положение о том, что он могёт по этим вопросам указывать всем сотрудникам. Если первичка многоуровневая, то конечный работник с КТ д.б. ознакомлен как минимум с перечнем, положением, правилами работы и с карами. Под подпись.
1.4. Положение о КТ. Берётся рыба из консультанта. Внимательно адаптируется. Оно реально толковое. К нему добавляются отсылки на перечень, правила работы. Ну и дальше на сколько фантазии хватит. Минимум перечислен выше.
1.5. В трудовой договор сотрудников работающих с КТ должны быть внесены обязательства работников по соблюдению режима КТ. И не именно про КТ, а не так абы как.

2. При приёме или появлении новых редакций правил:
Сотрудник ознакомляется максимально доходчиво с:
перечнем сведений;
правилами работы с КТ;
мерами ответственности за нарушение режима.
Ещё раз, в трудовой д.б. внесены обязательства по обеспечению режима КТ

3. Факт нарушения. - честно, я чёт заебался писать. С бумажками всё просто, если проёбана бумажка с грифом: СБ ищут виновных, если серьёзная бумажка с ограниченным доступом - пытаются подключить полицию и прочие ведомства, по возможности. Если всё будет сделано правильно, можно посудиться с нарушителем или уволить его, полность законно.
По поводу информационных систем: если начнёшь 1.2.3 обдумывать, сам всё поймёшь. Факт разглашения из ИС очень сложно обосновать, реально.

Удачи!