ISMS適用範囲の業務フロー図は、各部門ごとに作成する必要がありますか?
「情報資産からではなく、業務プロセスからのリスクアセスメントを行う方法」の質問を拝見し、業務フローより情報資産を洗い出すと書いています。
弊社は全社を適用範囲としてISMS構築を進んでいます。3つの部門があり、部門ごとの業務に関連性がなく、独立しています。こういう場合、業務フローは各部門のごとに書くことになるでしょうか。
結論から申し上げますと、業務に関連性がない独立した部門であれば、部門ごとに業務フローを作成するのが最も効率的かつ正確です。
「業務フロー」に関してですが、今回のご質問のように「部門ごとに業務に関連性がなく」のであれば、各部門でどのような情報資産があるかを把握するためにも、各部門ごとに業務フローが必要になります。
部門内で業務が完結している場合は、部門単位で業務フローを作成し、部門間で業務がまたがっている場合は、関連する部門共同で業務フローを作成することになります。
フロー図は、部門単位ではなく、業務プロセス単位で作成し、各工程での資産の利用、移動、管理、保管、廃棄や脅威、脆弱性などを可視化し資産の洗い出しやリスクアセスメントを行うことがポイントです。
以下に、実態に即したリスク管理を行うためのポイントを整理いたしました。ご参考ください。
1. 「部門単位」ではなく「プロセス単位」での整理
部門ごとに業務が独立している場合は、それぞれの部門内で完結する主要な業務プロセスごとにフロー図を作成します。
- 部門内完結型:
部門内の業務の流れを可視化し、そこで発生する情報を特定します。ご質問のように各部門の業務が独立している場合は、部門A、部門B、部門Cそれぞれで主要な業務フロー図を作成します。 - 部門横断型:
部門間をまたぐ業務がある場合のみ、関連部署が連携して一連の流れ(例:受注から納品まで)を記述します。受注(営業部)→製造(製造部)→出荷(物流部)のように部門をまたぐ業務がある場合は、関連部門が共同で一連のフローを作成します。
2. 業務フローから情報資産を洗い出す視点
フロー図の各工程(ステップ)において、情報の「ライフサイクル」に着目して資産を特定します。
- 入力・取得:
どのような形態(データ、紙、Webフォーム等)で情報が入るか。 - 利用・保管:
どのシステムで処理し、どこに保存(サーバー、施錠キャビネット等)するか。 - 移動・廃棄:
どのように受け渡し(USB、クラウド共有、郵送等)を行い、最終的にどう廃棄(シュレッダー、データ抹消等)するか。
3. リスクアセスメントへの活用
可視化したフローに対して、各工程で「どのような事故(脅威)が起きうるか」「守りの弱点(脆弱性)はないか」を検討します。
これにより、資産そのものの脆弱性だけでなく、業務の手順に潜むリスクを具体的に特定することが可能になります。
例: 「移動」の工程で「メール送信」がある場合
- 脅威: 宛先間違いによる誤送信
- 脆弱性: 送信前のダブルチェックルールがない、暗号化されていない
このように業務の流れに沿ってリスクを特定することで、単なる「資産リストの羅列」では見落としがちな、作業手順上のリスクを確実に拾い上げることができます。
4. まとめ:実務的な進め方
まずは各部門の実務担当者から「普段の仕事の流れ」を聞き取り、図式化することから着手されることをお勧めします。完璧な図を作ることよりも、情報の流れの全体像を漏れなく把握することがISMS構築において非常に重要です。
