Возьмите OWASP Development Guide, это что касается именно web. А касательно веб окружения (сервер, субд, прочий софт) воспользуйтесь любым другим стандартом более общего назначения.

Если интересно, посмотрите в сторону PCI DSS, понятно что он совсем не про вас, но интересные идеи там есть.