上面的两个答案都很划算，但我只想添加以下警告。我经营着一家监管服务公司，我让我们获得了 ISO 27001 认证。我要与任何想要获得认证的人沟通的一件事是记住，获得标准认证并不像获得一个可以抵御所有邪恶的魔法护身符（和诉讼）。由于这些标准不是强制性的并且认证是自愿的，因此您在法庭上免受法律补救的保护始终归结为尽职调查。

换句话说，如果地方法官认为您过度暴露了机密信息，那么无论您是否拥有 ISO 27001，您都会被搞砸。然而，认证的重点是，要记住这一点非常重要，要获得认证，您必须完全有方法和谨慎，列出您所有的责任，评估它们，并通过补救措施解决这些问题。这意味着在认证过程结束时，您的公司将更加警惕和“强化”借用系统管理员术语。

我偏向于 ISO 27001 而不是 SOX 等，因为人们普遍认为 ISO 涵盖了几乎所有其他标准的要求。PCI 有一些怪癖，例如处理设施的分离和其他标准可能是对特定事物的规定，但您仍然可以在 ISO 框架内实现这些，同时您可能会做得更好。

最后一点也已经切题地提到过，一个好的基于风险评估的系统将为您节省资金。在我开始做之前，我想要最昂贵的防火墙、最智能的读卡器、完美的多站点故障转移，并且会为规范而苦恼。但是，当您进行了适当的风险评估后，您开始意识到实际上您永远不会完全消除风险，因此根据收益递减规律，您最好明智地花钱而不是寻求最终保护。归根结底，您最大的弱点之一就是您的员工。因此，为您的公司节省资金并组织一些员工培训课程。

您需要查看《数据保护法》（或您所在司法管辖区的同等法律），因为它制定了保护敏感个人数据（包括医疗数据）的指导方针。它和类似文件中的措辞非常模糊——使用“适当保护”之类的短语——这没有帮助，但基本上它旨在促使组织不得不评估他们应该如何处理这些数据。

此外，ISO27000 系列现在是一套非常有用的行业标准。ISO27002 几乎适用于每个组织，因此虽然您可能无法让您的组织通过 27002 认证，但您可以将其用作关键构建块。

查看ISF，特别是他们的良好实践标准。引用 ISF：

该标准代表了 ISF 信息风险管理产品套件的一部分，它基于丰富的材料、深入的研究以及全球 ISF 成员的广泛知识和实践经验。

该标准至少每两年更新一次，以便：

响应领先国际组织的需求 完善信息安全最佳实践领域 反映信息安全的最新思想 与其他信息安全相关标准保持一致，例如 ISO 27002 (17799)、COBIT v4.1和 PCI/DSS • 包括有关最新“热门话题”的信息。

另一种方法是让律师事务所的合伙人评估他们的风险/责任/声誉损失，如果客户记录被损坏、丢失或公布。这可以使您更容易接受以定义您的安全要求。

扩展@Rory 回答中的最后一个小短语，您可能需要重新考虑您的方法——与其寻找可以使用的适当法规，不如让您的专家顾问进行基于业务风险、以资产为中心的安全分析。

也就是说，不要担心通用标准，而是关注对您的业务重要的事情——这可能包括窃取敏感的客户信息、记录不可用（这可能会阻止持续计费时间）、声誉受损等。然后，审查可以集中在这些问题上，并根据它们的价值估计，检查这些问题容易受到损害的方式。

（当然，安全审查还应确定任何适用的法规或法律，如果有的话 - 这当然可能是企业面临的最大风险。）

这将为您的安全降价/交换提供最大的回报（或缺乏回报）。

我们发现我们的一些法律客户正在向 ISO 27001 迈进。因此，我们制定了路线图（或指南）。如果您正在考虑朝这个方向发展，请随时下载并使用它作为参考。

ISO 27002（以前称为 ISO 17799）是安全控制（通常称为最佳实践）的“集合”，通常用作“安全标准”。

ISO 27001 是一个信息安全管理系统 (ISMS) - 一个逻辑和结构化的过程，公司可以通过该过程确定应该实施哪些安全控制（主要来自 ISO 27002 集合），以将信息安全风险保持在可接受的水平. 这种方法通过定义正式且可审计的过程来确定哪些控制是相关的以及这些控制的必要程度/严格性，从而发展了 ISO 27002。