請參閱內控準則第 9 條:
公開發行公司建立內部控制制度處理準則

內稽內控制度和規範, 是根據每家公司的實際狀況來自行設計, 沒有所謂的標準, 因為各行業的情境不同; 例如: 處理金流的公司可能需要通過 PCI DSS 認證; 處理醫療的公司可能要通過 HIPPA 認證; 即使同一個產業內, 有些公司覺得需要導入 ISO 27000 才足夠, 有的公司覺得它們不需要....

以上怎知夠不夠? 合格標準在貴公司內控單位的主管, 以及外稽單位如會計師的手裡, 只要他們說可以, 就是可以了....(但通常讓他們點頭都是非常高難度的...)

為什麼要會計師點頭?

所有公司活動都是從財務觀點出發, 不管設計甚麼稽核內控制度, 最終目的是要避免公司發生財損(短期或長期), 所以你要從這個最終目標去看資安規劃, 通常就不會偏離太遠...

所以上市公司的資安, 通常不是 IT 部門在規劃決策, 因為 IT 不懂得計算公司的風險和財損; 充其量 IT 只能「協助使用適當的工具來執行」而已, 規劃和策略的源頭是來自財務, 或更明確的說, 應該要來自董事會...

這篇可以看看, 但不是人家講的, 你就一定照著做, 還是要自訂:
MIS部門要如何準備上市上櫃前的前置規劃呢?

另外也有專門的職業: IT人新選擇：電腦稽核師
不過, 要考上 CISA 稽核證照也不是一件容易的事情:
After Passed CISA 考上 CISA 後

標準:ISO27001
簡單的講就是花錢,買最新的設備。

建議樓主，如果公司不是很重視資安
同時如果如果職位不是資安長
最好 MIS 要少說話，免得惹禍上身

如果您任職資安長，且公司真的重視
(要小心，有些老闆只是嘴上說說)
可以花點心思在以下項目上

1. 安全暨風險管理：ISO27005
2. 資產安全
3. 安全架構與工程
4. 通訊及網路安全
5. 識別暨存取控制
6. 安全性作業
7. 安全性評估與測試
8. 軟體開發安全性