【リスク対策】９．todoと期日を決める

いよいよ最後です。
Todoと、期日を決めていきます。
これが終わればあとは粛々とやっていくだけ！

【勉強会テーマ】リスクって何？対策ってどこまでする？
【ケース】寄付関連業務
【対象】 NPOの情シス・NPOの経営者・寄付したことがある人
【ゴール】
・セキュリティ対策のやり方の感覚を掴む。
・自法人に戻って半日～1日で対策案まで立てられるようになる。
【時間】2時間(うち15分の休憩はさむ)
【アジェンダ】
１．業務フローを書く
２．ステークホルダーを洗い出す
３．情報資産を洗い出す
４．リスクを想定する
５．脅威の大きさを見積もる
６．脆弱性の大きさを見積もる
７．リスク値を計算する
８．対策を考える
９．todoと期日を決める
【前提】
・特定のNPOの事例ではありません。HPを通して寄付を集めて、領収書発行するまでの汎用的な業務フローを想定しています。

前回のおさらい

リスク値の高いものから、対策を考えていきました。
対策は0から考えるとしんどいので、IPAの「リスク分析シート」を参考に加筆する形で整理していきました。

手順１）対策で実際にやるものを洗い出す

現実的に今期やれそうなものをピックアップします。
シートに、「実施予定」列を追記して、実施するものには「True」をつけていきます。

手順２）期日を追記

次に期日をつけていきます。
これやらないと次進まない…みたいなのも出てくるので、やる順番を考えながら、期日を決めていきます。
具体的には方針がないのに、ルール作れないみたいな感じですね。

手順３）担当者を決める

あとは、担当者入れて完了です！

手順４）対策をやり切る

これで満足しちゃいそうですが、対策をやり切らないと何の意味もないです。
あとは情報セキュリティ関連の組織で月次でモニタリングなどしながら遂行していきます。

最後に

これでリスク対策の準備は終了です。
前述した通り、対策を完了するまでがリスク対策ですし、そこから定期的にPDCAを回していく必要があります。

ひとりでやろうとしたらたぶんしんどいです。
でもこの記事を読まれて実施する人は、社内で遂行するのは結局ひとりになる気がします。
出来れば社外で一緒にやる人を見つけ、みんなで安心安全に本業が遂行できる基盤を作っていければ最高だなと思います。

こんなことしなくても良いような世の中になればいいのですが、ニュースを見ていると全然その気配もないので、一緒に頑張って対策していきましょうー！