ISMSやISO27001で検索を掛けると分かりやすい説明のあるサイトが沢山出てきます。

ただ、基準に従って構築できても社員にセキュリティに関する意識を持って貰い続けるのが結構大変だったりします。当社では定期的な教育の受講や誓約書の提出を義務付けていますが、それだけで足りている自信はありません。