Normy, czy to ISOwskie, czy PNki nie mają nic wspólnego z prawem i nie są obowiązkowe (do dobrowolnego stosowania o ile odpowiednia ustawa nie stanowi inaczej). Jeżeli infrastruktura przechowuje informacje niejawne, warto by było się zapoznać ze stosowną ustawą (Internetowy System Aktów Prawnych oraz Internetowy System Aktów Prawnych) i rozważyć stworzenie kancelarii akredytowanej przez ABW/SKW. Wtedy już SWBSy (szczególne wymagania bezpieczeństwa systemu) i pilnowanie procedur. Jeśli cię same normy (niekoniecznie) interesują, rzuć jeszcze okiem na IN - Zarządzanie ryzykiem bezpieczeństwa informacji niejawnych
A może zamiast czytać norm (które kosztują) spróbuj skombinować sobie książkę „Szacowanie ryzyka oraz zarządzanie ryzykiem w świetle nowej ustawy z dnia 5 sierpnia
2010 r. o ochronie informacji niejawnych - przykład metody analizy ryzyka opartej na gotowych macierzach”? W bibliotekach majo.
Jeśli nie będziesz mieć pod górke, nigdy nie dojdziesz na szczyt.