http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=32216&forum=12&1

大体ブログとか、技術系のニュースサイトのチェック等で情報を入手します。
別にセキュリティ情報を得るのが目的ではありませんが、
単純にWEBでニュースを読む感覚で、大体毎日チェックします。

以前関わっていたシステムの保守では、脆弱性についての情報が得られたときに、

１．脆弱性の確認
　　現行のシステムで再現するかを確認する

２．対応について協議
　　外部には出ないシステムであるため、
　　外部からの攻撃に対する脆弱性であるなら、
　　バージョンアップによる動作の影響範囲を考慮して、
　　保留にすることもあった

３．テスト環境での確認
　　バージョンアップによる影響がないかを検証したり、
　　脆弱性が修正されているかを検証する

４．リリース
　　脆弱性の内容によっては、定期リリースではなく、
　　緊急リリースにすることもあった

というように手順で対応していました。