end0tknr's kipple - 新web写経開発

http://d.hatena.ne.jp/end0tknr/ から移転します

情報セキュリティ・リスクマネジメントに関する参考資料一覧

http://www.ipa.go.jp/security
http://www.meti.go.jp/policy/netsecurity
http://www.isms.jipdec.or.jp

この種の資料は経済産業省ipaismsが多く公開していますが、参考になるものをいくつか記載。

情報システム部門責任者のための情報セキュリティブックレット

http://www.ipa.go.jp/security/fy12/contents/bookletB.pdf

組織の情報セキュリティ対策自己診断テスト

http://www.ipa.go.jp/security/benchmark/index.html

ISMS認証取得に関する文書

http://www.isms.jipdec.or.jp/std/index.html

特に「ISMSユーザーズガイド-リスクマネジメント編-」の付録1は架空の会社を想定したリスク分析が例示されていてイメージしやすい。


まぁ、情報の棚卸しと、ドキュメントフロー(as is)の作成から始めるのが基本かと


以下は、2013/12/13追記

ipaによるウェブサイトにおける脆弱性検査手法の紹介

オープンソース脆弱性検査ツール(診断ツール 「OWASP ZAP(Zed Attack Proxy)」「Paros」、「Ratproxy」)が紹介されています。
http://www.ipa.go.jp/about/technicalwatch/20131212.html

ipaによる安全なウェブサイトの作り方

http://www.ipa.go.jp/security/vuln/websecurity.html

  • 安全なウェブサイトの作り方
  • セキュリティ実装 チェックリスト
  • 安全なSQLの呼び出し方
  • ウェブ健康診断仕様

がpdfでダウンロードできます