La sécurisation est un processus

Elle commence au moment de définir l'architecture

Bien débuter  : installation minimale du serveur

Ne pas oublier : se prolonge jusqu'à ce que le serveur soit déconnecté de tout réseau
journalisation
application des correctifs de sécurité

Privilégier une approche pratique aux guides d'assurances (orange book, common criteria, ...) qui n'ont pas la même vocation :

Conçus pour l'armée en dehors des contraintes des entreprises