Упущенное выше рассмотренным моментом заключается в том, чтобы точно определить, что вы защищаете - если это данные кредитной карты, тогда легко понять, что вам нужен PCI-DSS, но в более широком плане PCI-DSS не очень полезен. кроме как минимальный базовый уровень. Вам необходимо определить, что представляет ценность для вашей компании, будь то по коммерческим причинам или потому, что регулятор или акционеры так говорят, и убедитесь, что ваш аудит учитывает их.
Я бы также посоветовал взглянуть на security.stackexchange.com , который специально предназначен для профессионалов по безопасности и рискам, и многие из нас там проводили аудиты безопасности, помогали в подготовке аудита, руководили крупномасштабными программами улучшения безопасности и тестирования и т.п.