何の事前情報も無く、一般的な方法としてリスクアセスメントの方法論を検討することが出来るかと言えば、一般論の範囲では充分可能だ。組織の特性、事業と業務の特性、情報の特性、管理の特性が事前情報として入ることで一般論は修正されることはあるか。充分にあり得ることだ。
しかし、リスクアセスメントの手順なんて何処でも同じはず。前提の何が変わるとリスクアセスメントの何が変わるのだろう?
.*.
適用範囲がどうなっていようが手順の妥当性には変更が生じるわけではないから、リス汗面と手順の検討はいつ始めてもいいはず。手順の妥当性は不変的な価値である。
.*.
トップダウン手順を考えてみよう!
- 事業ミッション。株主との約束。ビジョン。
- 事業の構造。外部構造と内部構造と。長期計画。
- 組織と役割責任と方針展開と年度計画。
- 具体的な業務と業務プロセス。
どの↑↑↑業務↑↑↑を適用範囲としたか? または適用範囲の↑↑↑業務↑↑↑をどのように表現したか?
.*.
リスクアセスメントが妥当かどうかは対象となる業務に対するアセスメントかどうかだけであって、手順そのものは殆ど影響を受けない。特に詳細リスクアセスメントの手順は方法論(少なくとも見かけ上の方法論)が確立している。規格はその確立した方法論に沿って策定されている。
簡略化するときに、組織、業務、資産などの特性を踏まえて何処まで可能かの議論を続けることは可能。その場合は、適用範囲の特性を踏まえることになる。
従って、リスクアセスメントの妥当性を見る場合は、組織が何らかの工夫をしている(標準的な詳細リスクアセスメントを採用しない)場合は、適用範囲の特性を抑える必要がある。と言うことになるようだ。
.*.
業務プロセス。対外的に示す業務が基幹プロセス。それを支えるプロセスが支援プロセス。
基幹系は:企画、開発、製造、物流、販売など。
支援系は:管理業務、人事・総務・経理など。
情報は機関化支援か? 支援入れるケースが多い。これが経営上の難しいところです。品質を基幹系に入れるなら、情報も基幹系に入れておかないと間違えます。ISMSは余った人材で間に合わされるだけの、余計な仕事にされてしまう。機能別管理に上手く収める工夫も必要ですね。
.*.
