ISMS業務、担当者交代を簡素化

手続きに関わる人が減り、ヒューマンエラーも解消!

1. 課題: 煩雑な変更手続き

ISMS(情報セキュリティ管理システム)を運用する企業では、情報セキュリティの維持・改善のため、年間を通じて様々な取り組みが行われます。

従業員200名の◯◯出版社では、ISMS の一環として、年に2度、社内システムの “アカウント状況確認業務” が行われています。グループウェアや顧客管理システムなどの各情報システムの管理者が、以下のようなアカウントに関する問題を早期に発見することを目的として行われます。

  • 退職者のアカウントが削除されずに残っている
  • 異動者のアカウントに前部署での権限が付与されたままになっている

ISMS 事務局からシステム管理者への依頼業務が自動化される仕組みが導入され、本業務は漏れなく確実に行われています。

しかし、”各情報システムの管理者” が変更された場合、”前任の管理者” と ISMS 事務局の間で煩雑な変更手続きが発生し、”アカウント状況確認業務” が遅れる原因となっています。

2. 解決策: Loop-Back フロー

プロセスオーナーは、ループバックするフローを追加します。これにより、“前任の管理者” は “後任の管理者” に仕事をバトンタッチできるようになります。

具体的には、”前任の管理者” の[マイタスク]に「2.アカウント状況の確認」というタスクが表示された際、”前任の管理者” は “後任の管理者” を指名するだけで[マイタスク]を完了できるようになります。

Before:

詳細

“アカウント状況確認業務” は、前回確認を行った人(”前任の管理者”)に依頼されます。このため、管理者が変更された場合、”後任の管理者” には依頼されません。

  • “前任の管理者” は「2.アカウント状況の確認」タスクが割り当てられます。

本ワークフローではこれ以上の手続きができず、以下のような手続きが発生しています。

  1. “前任の管理者” は、ISMS 事務局に “後任の管理者” のメールアドレスを連絡する(メールまたはチャットツールで)
  2. 連絡を受けた ISMS 事務局は、Google カレンダーに対象システムと “後任の管理者” のメールアドレスを数時間後の予定として登録する(※)
  3. ISMS 事務局は、”前任の管理者” への依頼を取り消す

※Google カレンダーに予定を登録するのは、”アカウント状況確認業務” がカレンダーの予定に応じて自動依頼されるようになっているため。

After:

詳細
  1. “前任の管理者” は「2.アカウント状況の確認」タスクで、「システム管理者」 に “後任の管理者” をセットし、「管理者変更」ボタンを押下します。
  2. “後任の管理者” に “アカウント状況確認業務” の依頼メールが送信されます。
  3. “後任の管理者” は対象システムに登録されているアカウントの状況を確認します。
  4. “後任の管理者” は[マイタスク]の「2.アカウント状況の確認」タスク画面で、アカウント状況の確認結果を入力し「報告」ボタンを押下します。
  5. ISMS事務局が「3.報告内容の確認」を処理すると、「y.次回確認日カレンダー登録」で、次回(半年後)の “アカウント状況確認業務” の予定が Google カレンダーに自動登録されます。
    • カレンダーの予定タイトルに、対象システム名と現在のシステム管理者のメールアドレスが入力されます。

3. 効果

  • 業務全体の迅速化
    • “前任の管理者” が ISMS 事務局に連絡する必要がなくなります。
    • ISMS 事務局は、”後任の管理者” に依頼するためのカレンダー登録作業が不要になります。
    • 迅速に “後任の管理者” にアカウント状況確認業務が依頼されるようになります。
  • ヒューマンエラーの削減
    • 手間がかかることで発生していた、”前任の管理者” が ISMS 事務局への連絡を放置する、という問題が解消されます。
    • ISMS 事務局のカレンダーへの登録ミスが解消されます。
  • リソースの最適化
    • “前任の管理者” とISMS 事務局の業務負担が軽減されます。
    • 両者とも本来の業務に集中できるようになります。

4. 他業務での応用

ISMS に関する業務では、”アカウント登録状況確認業務” のように、担当者の変更が発生する業務が他にも存在します。以下のような業務でも応用できます。

  • 委託先評価業務
    • 委託先が情報資産を適切に取り扱える体制であることを確認する業務
  • システム設定確認業務
    • 基幹システム等の保護すべきデータについて、閲覧範囲の設定等が適切であることを確認する業務
  • 情報資産業務の特定(見直し)業務
    • 各部署における情報資産を洗い出す業務

この情報は役に立ちましたか?

   

Questetra BPM Suiteをもっと見る

今すぐ購読し、続きを読んで、すべてのアーカイブにアクセスしましょう。

続きを読む