Non esiste uno standard fisso, ma ci sono molte pratiche consigliate ("migliori"). Il principio fondamentale di ISO 27001 o framework simili, incluso COBIT, è che la tua organizzazione implementa, monitora e migliora la tua politica organizzativa. Se il tuo capo può impostare la politica di sicurezza e dichiara che gli uffici aperti sono inappropriati per lo spazio di lavoro del team di sicurezza delle informazioni, allora ciò potrebbe essere sufficiente. Questo è il tuo percorso più breve da "qui" a "lì".
In realtà, ciò dipenderà dal profilo di rischio della tua organizzazione e dalla natura del lavoro del tuo team. Ho lavorato su alcuni team in cui un piano di uffici aperti era assolutamente fuori questione e altri in cui non solo non era un problema, ma quasi un requisito per il funzionamento di tale team nell'organizzazione. YMWV.