ISO/IEC 17961 ("C Secure Coding Rules"), ISO/IEC 24772-1 ("Guidance to avoiding vulnerabilities in programming languages"), 2477-3 ("Vulnerability descriptions for the programming language C") на который ссылаются в аттаче. Ещё 24772-2 есть, но это при язык Ада, мало кому интересно.