Poin yang terlewatkan oleh orang-orang di atas adalah sekitar mengidentifikasi dengan tepat apa yang Anda lindungi - jika itu adalah data kartu kredit, maka mudah untuk menyadari bahwa Anda memerlukan PCI-DSS, tetapi dalam skema yang lebih luas, PCI-DSS tidak terlalu berguna kecuali sebagai dasar minimum. Anda perlu mengidentifikasi apa yang bernilai bagi perusahaan Anda, apakah untuk alasan komersial atau karena regulator atau pemegang saham mengatakan demikian, dan memastikan audit Anda memperhitungkannya.
Saya juga menyarankan untuk melihat security.stackexchange.com , yang khusus melayani keamanan dan risiko profesional, dan ada banyak dari kita yang telah melakukan audit keamanan, dibantu dengan persiapan audit, memimpin peningkatan keamanan skala besar dan program pengujian dll.