ISO27k 是关于“安全管理”，而不是安全本身。审核员会关注您为应对已识别的风险所做的工作，如果您真的按照您所说的去做，当某些事情偏离指定的内容或出现新风险时您会怎么做，以及您如何评估措施的效率。

所以基本上，他们不在乎你在做什么来阻止 ddos​​ 攻击（如果这是你面临的风险之一），只要你在做某事，并且通过正确的指标认为它足够有效。

ISO27k 永远不会说“这个实体是安全的”，但“这个实体确实很好地管理了它的安全性”。

您并不是真的在寻找 ISO27k 的替代品，而是在寻找完全不同的东西。根据您的业务，您可以遵守许多标准。

PCI-DSS 更加注重实际措施。有关概述和一些链接，请参阅 https://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard 。

我将通过提到我认为 PCI-DSS 是一个很好的框架来限定该建议，将其用作您应该考虑实施的事情的清单。我没有 PCI-DSS 认证的经验，我不知道它是否适用于您的情况或是否可取。

如果认证是一项要求/愿望，我不完全确定我会专注于 PCI-DSS。

正如@Purefan所提到的，专注于漏洞管理也是一个很好的领域。

整个安全的一部分是组织安全（具有记录的策略、流程和程序可减少总线因素）和可审计性（能够显示安全措施按预期工作的证据）。只关注技术安全而忽略程序的安全不是完整的安全练习。

ISO 2700x 本身并没有告诉您必须采取哪些安全措施，因为每个组织都有独特的需求和要求，而缓解技术也在不断发展。ISO 2700x 框架旨在指导组织确定其安全要求和风险偏好，然后制定与所述安全要求和风险偏好一致的安全计划。

符合 ISO 2700x 并不意味着您已经采取了良好的安全措施。ISO 2700x 合规性告诉您的只是组织已就采取或不采取哪些措施来满足其自身要求做出了有意识和知情的决定。如果组织在自我评估中决定接受巨大的风险并决定不实施控制，那么符合 ISO 2700x 的组织仍然可能是最不安全的公司。

如果您正在寻找更具技术性的安全指南，您可能希望查看来自 OWASP 项目的出版物。如果您处理信用卡，则需要研究 PCI-DSS。您还需要评估当地法律以及您希望需要处理的任何外国法律或行业标准机构的安全要求。他们可能对您必须遵守的记录保存、处理 PII 等有要求，有时还需要您必须实施的特定缓解技术。您还想跟上安全博客和期刊的步伐。您还想使用自动渗透测试工具，并与渗透测试者交朋友。

请注意，这些安全指南并不是完整的组织安全评估。这些技术指南是对 ISO 2700x 的补充，而不是取代它。

BSI 有一部非常出色的作品，名为“BSI 100-1”，请看这里。

它由德国联邦信息安全办公室开发。