http://www.ipa.go.jp/security
http://www.meti.go.jp/policy/netsecurity
http://www.isms.jipdec.or.jp
この種の資料は経済産業省やipa、ismsが多く公開していますが、参考になるものをいくつか記載。
情報システム部門責任者のための情報セキュリティブックレット
組織の情報セキュリティ対策自己診断テスト
ISMS認証取得に関する文書
http://www.isms.jipdec.or.jp/std/index.html
特に「ISMSユーザーズガイド-リスクマネジメント編-」の付録1は架空の会社を想定したリスク分析が例示されていてイメージしやすい。
まぁ、情報の棚卸しと、ドキュメントフロー(as is)の作成から始めるのが基本かと
以下は、2013/12/13追記
ipaによるウェブサイトにおける脆弱性検査手法の紹介
オープンソースの脆弱性検査ツール(診断ツール 「OWASP ZAP(Zed Attack Proxy)」「Paros」、「Ratproxy」)が紹介されています。
http://www.ipa.go.jp/about/technicalwatch/20131212.html
ipaによる安全なウェブサイトの作り方
http://www.ipa.go.jp/security/vuln/websecurity.html
- 安全なウェブサイトの作り方
- セキュリティ実装 チェックリスト
- 安全なSQLの呼び出し方
- ウェブ健康診断仕様
がpdfでダウンロードできます