Provavelmente não existe um padrão oficial. No entanto, desde que eu estou envolvido em segurança e auditoria de TI, posso dizer-lhe que o "Se não está quebrado, não conserte" nem sempre é uma boa abordagem.
Agora, não direi que você deve atualizar todo o seu hardware instantaneamente, a menos que o fabricante também recomende você. Agora, obviamente, você não pode simplesmente atualizar os controladores RAID ou o BIOS nas máquinas de produção a qualquer momento.
Primeiro de tudo, e isso vale para qualquer atualização de software / hardware, é verificar o que a atualização realmente faz. Às vezes, as atualizações nos controladores corrigem uma certa incompatibilidade com uma determinada placa-mãe ou disco rígido. Agora, se você não estiver tendo problemas e recon não houver nada na atualização que possa beneficiá-lo, não faça a atualização, a menos que você realmente precise desligar a máquina para manutenção.
No entanto, se a atualização especificar que ela soluciona um problema em que você pode encontrar aleatoriamente falhas, eu agendaria uma janela de manutenção o mais rápido possível.
Se a atualização se destina a corrigir uma vulnerabilidade crítica, você deve empurrá-la instantaneamente por meio do gerenciamento de alterações e tentar lançar a atualização em produção o mais rápido possível.
Isso não se aplica imediatamente ao RAID, até onde eu sei, eu não vi muitos exploits para cartões RAID, mas é uma boa idéia atualizar suas máquinas. Você não deve fazê-lo instantaneamente, se você não tem ou não há nenhum benefício, mas por outro lado, por todos os meios atualizar seu firmware.
Como os drivers também são uma forma de software, eles devem passar pelo gerenciamento de patches normal. Aqui estão alguns recursos que você pode ler: