ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

ISMS-A02-D03適用範囲関連資料の業務フローは各部門のごとに書くことになるでしょうか。

2021/07/13 (2021/07/22)

情報資産からではなく、業務プロセスからのリスクアセスメントを行う方法」の質問を拝見し、業務フローより情報資産を洗い出すと書いています。

弊社は全社を適用範囲としてISMS構築を進んでいます。3つの部門があり、部門ごとの業務に関連性がなく、独立しています。こういう場合、業務フローは各部門のごとに書くことになるでしょうか。

「業務フロー」に関してですが、今回のご質問のように「部門ごとに業務に関連性がなく」のであれば、各部門でどのような情報資産があるかを把握するためにも、各部門ごとに業務フローが必要になるかと思います。

部門内で業務が完結している場合は、部門単位で業務フローを作成し、部門間で業務がまたがっている場合は、関連する部門共同で業務フローを作成することになります。

フロー図は、部門単位ではなく、業務プロセス単位で作成し、各工程での資産の利用、移動、管理、保管、廃棄や脅威、脆弱性などを可視化し資産の洗い出しやリスクアセスメントを行うことがポイントだと思います。