Das Information Security Office der renommierten US-Uni Berkeley bietet wichtige Teile der Richtlinien aus seinem ISMS öffentlich im Internet an. Diese sind durchaus einen Blick wert, wenn man an der Ausgestaltung des eigenen sitzt.

https://security.berkeley.edu/policy