【リスク対策】１．業務フロー図の書き方

2月上旬に情報セキュリティ対策のプチ勉強会をやるので、その情報をまとめていきます。
今回は業務フロー図の書き方について整理しました

【勉強会テーマ】リスクって何？対策ってどこまでする？
【ケース】寄付関連業務
【対象】 NPOの情シス・NPOの経営者・寄付したことがある人
【ゴール】
・セキュリティ対策のやり方の感覚を掴む。
・自法人に戻って半日～1日で対策案まで立てられるようになる。
【時間】2時間(うち15分の休憩はさむ)
【アジェンダ】
１．業務フローを書く
２．ステークホルダーを洗い出す
３．情報資産を洗い出す
４．リスクを想定する
５．脅威の大きさを見積もる
６．脆弱性の大きさを見積もる
７．リスク値を計算する
８．対策を考える
９．todoと期日を決める
【前提】
・特定のNPOの事例ではありません。HPを通して寄付を集めて、領収書発行するまでの汎用的な業務フローを想定しています。

１．業務フローを書く

まず最初にやることは業務フローを記載することでした。
これが最も大切なフェーズだと思います。

細かくやればキリないので、時間を決めてやりましょう。

手順１）業務の終了を定義する

NPO法人で切っても切り離せない業務、支援の獲得と、その管理。要するに寄付管理と言われるものです。
寄付管理の終了は「領収書の発送まで」とします。
コミュニケーションをとって継続的に支援いただく施策などありますが今回はそこは考えません。

手順２）領収書発行までの流れをちょーざっくり書く

次に、領収書発行までの過程を記載します。
こんなレベルで良いです。
考え方としては、「領収書を発行するのに必要なデータは？」、「そのデータってどうやって作成される？」みたいに帰納的に考えていきます。

ぶっちゃけマジな話、この後清書していくので全体像がつかめれば何でもいいです。

手順３）登場する人物、ツール、データを洗い出す

先ほどの図を見ながら、登場人物、使うシステム、使うデータを書きだします。

整理するとこんな感じです。（さっきの図に郵送を書き忘れていたので追記）

手順４）業務フロー図の枠を作成する

さて、ここからは以下を参考に作っていきます。

【業務フローの書き方】業務フローを書く為に必要な図形（記号）とは？

ちなみに、縦書き、横書き好みがあると思うのですが、今回は横書きで行きます。（ホワイトボード使うことが多いため）
まず参考リンクのスイムレーンを作っていきます。

登場人物を整理したものをスイムレーンにしますが、そこに使うシステムを書き加えます。

手順５）業務フローを埋めていく

枠に、業務フローを埋めていきます。

手順６）業務フロー上でデータのやり取りや、書類のやり取りを追記

次に業務フロー上に、データのやり取りや、書類のやり取りを記載していきます。
途中足りないスイムレーンを加筆したり、業務フローを追加して、最終的に出来上がったのはこんな感じ。

少し長くなりましたが、今回はここまで！

次回はステークホルダーの洗い出し方です。