【リスク対策】２．ステークホルダーを洗い出す

今回はサクッと行こうと思います。

【勉強会テーマ】リスクって何？対策ってどこまでする？
【ケース】寄付関連業務
【対象】 NPOの情シス・NPOの経営者・寄付したことがある人
【ゴール】
・セキュリティ対策のやり方の感覚を掴む。
・自法人に戻って半日～1日で対策案まで立てられるようになる。
【時間】2時間(うち15分の休憩はさむ)
【アジェンダ】
１．業務フローを書く
２．ステークホルダーを洗い出す
３．情報資産を洗い出す
４．リスクを想定する
５．脅威の大きさを見積もる
６．脆弱性の大きさを見積もる
７．リスク値を計算する
８．対策を考える
９．todoと期日を決める
【前提】
・特定のNPOの事例ではありません。HPを通して寄付を集めて、領収書発行するまでの汎用的な業務フローを想定しています。

前回のおさらい

前回は業務フロー図の洗い出しを行いました。
業務の終了を定義して、全体の流れをちょーざっくり書いて、登場する人物、ツール、データを整理が前準備。
そのあとに業務フロー図の枠を作って、粒度を細かくしていくことで作っていきました。

２．ステークホルダーを洗い出す

前回やった「スイムレーン」にリスク対策で関係する人たちを入れていきます。
総務省がよくある組織図を出しているので拝借しました。

組織幹部のための情報セキュリティ対策-実践編　情報セキュリティポリシー担当の組織化

手順１）業務フロー図、組織図から関係者をマッピングする

業務で関係する人（スイムレーン）とリスク対策の組織図をマッピングしていきます。

手順２）マッピングしたものにメモを追記

ぱっと見「へぇー」で終わるので、関係性や、役割をメモしていきます。

と、ここまでやったときに気づきました。
見にくい…醜い…

手順２修正）3x3の図式に変更…

3x3ってわかりやすいんですよね。
ビジネスモデルの図解化のコツを参考に、3x3に変更しました。

はい、ということでステークホルダーの洗い出しが完了しました。
次は情報資産の洗い出しをしていきます。