Entrambe le risposte di cui sopra sono bang sul denaro, ma vorrei solo aggiungere il seguente avvertimento. Gestisco un'azienda di servizi di regolamentazione e ci ottengo certificati ISO 27001. L'unica cosa che vorrei comunicare a chiunque stia pensando di diventare certificata è di ricordare che essere certificati a uno standard non è come acquistare un talismano magico che scongiura il male (e cause legali). Poiché questi standard non sono obbligatori e la certificazione è volontaria, la tua protezione in tribunale contro i risarcimenti legali si riduce sempre alla dovuta diligenza.
In altre parole, se un magistrato pensa di aver fornito informazioni riservate a un'esposizione indebita, allora sarai avvitato, indipendentemente dal fatto che tu abbia o meno la ISO 27001. Tuttavia il punto di certificazione, e questo è davvero importante da ricordare, è che per ottenerlo devi essere totalmente metodologico e attento e elencare tutte le tue responsabilità, valutarle e affrontarle con azioni correttive. Ciò significa che alla fine del processo di certificazione la tua azienda sarà molto più vigile e "indurita" a prendere in prestito un termine per il sysadmin.
Sono prevenuto verso ISO 27001 rispetto a SOX ecc. perché è generalmente accettato che la ISO copra i requisiti per praticamente tutti gli altri standard. Il PCI ha alcune stranezze, come la separazione delle strutture di elaborazione e altri standard possono essere prescrittivi su particolari cose, ma è comunque possibile imporle all'interno di un framework ISO, e probabilmente lo farai meglio nello stesso momento.
Un ultimo punto che è stato anche menzionato tangenzialmente, è che un buon sistema basato sulla valutazione del rischio ti farà risparmiare denaro. Prima che iniziassi a farlo, volevo il firewall più costoso, il lettore di schede più intelligente, il failover perfetto per più siti e non potevo fare a meno delle specifiche. Ma quando hai fatto una valutazione del rischio adeguata, inizi a capire che in realtà non eliminerai completamente il rischio, quindi dalla legge dei rendimenti decrescenti è meglio spendere i tuoi soldi con saggezza piuttosto che puntare alla massima protezione. Alla fine della giornata, una delle maggiori vulnerabilità sono i tuoi dipendenti. Quindi salva i soldi della tua azienda e organizza alcune sessioni di formazione del personale.