ISMS(ISO27001)を取得する企業は年々増えており、ほとんどの企業がコンサルを利用しています。
コンサルを利用する方の傾向としては、「取得までのスピードを早くしたい」「審査に落ちたくない」「日常業務を作業で圧迫したくない」「自社に合う知見を教えてほしい」などがあります。
INDEX
ISMS(ISO27001)コンサルとは、ISMSの規格要求事項を把握し、構築・運用のノウハウを活かして、新規取得・更新企業をサポートしていく専門家のことを言います。
このノウハウを使って、企業にアドバイスの実施や文書・記録作成のお手伝いを行っていきます。
企業がISMSを導入・運用する際には、さまざまな課題やニーズが生じます。コンサルサポートが特に必要とされる状況は、以下のとおりです。
初めてISMSを導入・取得する場合、ISOやセキュリティなどの専門知識を持ったコンサルタントが必要になる場合があります。
企業は、情報セキュリティに関する規制や法律を遵守する必要があります。コンサルタントは、これらの規制に基づいたISMSの最適な構築方法を提案し、企業が必要な認証を取得するための支援を行います。
内部監査などでコンサルタントのような外部視点やアドバイスを得ることが可能になります。例えば、自社でのみ内部監査を続けていくと、視点が同じになってしまうことや惰性で実施してしまうこともあります。そんな状態のカンフル剤になってくれることでしょう。
ISMSコンサルは、企業が導入・運用を円滑に進めるための専門的な支援を提供します。コンサルタントの目的と役割について詳しく見ていきましょう。
ISMSコンサルの目的は、クライアントの組織が情報セキュリティのリスクを管理し、保護体制を強化するためのサポートおよびISMS認証や維持を行うためのサポートをすることです。
コンサルタントは以下のような役割を担っています。順番に見ていきましょう。
ISMSコンサルタントは、クライアントの情報資産に対するリスクを評価し、適切なリスク管理策を提案します。これによって、情報漏洩やサイバー攻撃などのリスクを抑え、データを保護する体制を整えることを目指していきます。
クライアントがISMSを導入する際に、最適な構築方法・運用方法を提案し、導入から運用までをサポートし、ISMSの認証を取得するための支援を行います。
ISMSは、一度導入すれば終わりではなく、継続的な改善が求められる仕組みです。ISMSコンサルタントは、定期的なリスク評価、監査、レビューの支援を通じて、改善活動を促進します。
ISMSの運用方法や仕組みには多種多様な選択肢があり、企業はその中から適切なものを選択しています。しかし、導入された仕組みが企業の実情に合っていない場合もあります。そのような場合には、無理のない運用が可能な仕組みへと改善を図るサポートを提供します。
ISMSの取得には規格要求事項などの専門知識が必要になります。その知識がある従業員がいればよいですが、ほとんどの企業ではそういった従業員はいない場合が多いです。
そのリソースを確保するためには、コンサルティングサービスを利用することが早いです。これによりISMSの効率的な構築と取得が可能になります。
自社でシステムを構築しようとすると、参考書や参考となるテンプレートを利用することになりますが、それらに沿って構築するため、自社に合っていないシステムが構築されてしまうことがあります。
コンサルタントを利用すれば組織にあった提案をしてもらえるので重いシステムから解放され、自社の規模にあったシステムを構築することができます。
自社で取得を行うと、規格の知識をつけなければならなく、取得までに、1年半~2年ほど時間が掛かってしまうことがあります。
コンサルタントを利用すれば規格の知識をつけなくても的確なアドバイスを行ってくれるため、効率的な準備ができ、取得まで半年くらいに短縮することが可能となってきます。
コンサルタント会社には大きく分けて3つのタイプがあります。
それぞれのメリット・デメリットがあるので、見ていきましょう。
アドバイスのみでなく必要事項をヒアリングし、それを文書や記録に落とし込んでくれます。専門家が作業を行ってくれるので構築の時間が一番かからないものとなります。
しかし、自分たちで手を動かさない分、帳票類の使い方がわからない状態になってしまいます。
コンサルタントは専門知識を生かし、どこをどうすればよいかというアドバイスをしっかりと行ってくれます。そのアドバイスをもとに組織が自分たちで文書と記録を作っていきます。
専門知識がなくても構築ができますが、知識がない中での構築になるので時間がかかるものとなります。ただし、自分たちで作成を行うので帳票類の使い方をしっかりと学べます。
必要項目をツールの指示通りに入力すれば簡単に構築ができるタイプです。プランにより、コンサルタントのアドバイスを求めることもできます。
専門知識がなくても記入指示通りに行えば構築ができるので、多くの時間は必要なく、記入指示事項が分かれば短期間での取得も可能なものとなります。
ただ、ツールによる構築なので決まったものしかできず、応用を効かせる場合は自分たちで調整をする必要があるので注意が必要です。
価格に関しては、コンサル会社やプランによって変わってきます。
コンサルタイプ別におおよその価格を記載いたします。(従業員2~150名程度の場合)
年間50万円から100万円
年間20万円から数百万円
月々2万円から5万円+初期費用10万円~30万円
コンサルティング会社を選定する際の重要な判断基準の一つは、「会社の信用度」「実績の豊富さ」です。現在では、インターネット検索で上位に表示されるコンサルティング会社の多くは、豊富な実績を持っています。
これらの会社は競合関係にあるため、問い合わせに対しては迅速に対応する傾向があり、遅くともその日中にはレスポンスが返ってくることが一般的です。このような対応のスピードの速さも、コンサルティング会社を選ぶ際の重要な基準の一つと言えるでしょう。
サポート体制は、これもコンサル会社の方針やプランによって変わってきます。
メイン担当者のみで1人体制の場合から、サブ担当者もいる2人体制、記録作成等の作業サポート人員を含めて5~6人体制でサポートを行っていることがあります。構築ツール提供型の場合は、プランによって担当者がつかないことがあります。
サポート体制が厚い会社を選ぶか、サポート体制は厚くなくてもよいので価格を抑えていきたいかは会社の判断になってきます。
審査費用については、審査機関(審査会社)によって料金設定が異なるため、一概に「この金額程度」と記載することは難しい場合があります。
料金の決定に影響を与える主な要素としては、認証の対象となる従業員数、拠点数、適用業務数などが挙げられます。これらの条件により、費用は大きく変動します。
例えば、従業員数30名以下、拠点数1、新規取得の場合、60万~120万円程度が目安となることが多いようです。
プランによって料金設定が異なるため、一概に「これくらいの料金」と断言することはできません。
文書や記録作成のサポートを含むコンサルタントの場合、スポットサポートでは約10万円、年間契約では約50万円といった料金設定が一般的です。
一方、アドバイスのみを提供するコンサルタントの場合、20万円から数百万円まで幅広い料金が設定されています。
どのようなサポートを求めているかに応じて、適切なプランを選ぶことをお勧めします。
例えば、知識が乏しく早期取得を目指している場合や、取得に必要なリソースが不足している場合には、文書や記録作成のサポートを含むコンサルタントが適しています。
一方で、自社内で知識を深めながら構築を進めたい場合には、アドバイスのみを提供するコンサルタントの利用が良い選択となるでしょう。
ISMSの構築や運用を成功させるためには、専門知識を持つことが大事になります。その専門知識はコンサルタントを利用すればすぐに解決します。
その他でも、組織の状況に応じたアドバイスをしてくれるので、ISMSの構築や運用の手助けに一役買います。自社のみで構築や運用を行うこともよいですが、最短で成功をさせるためにはコンサルタントの利用が一番良いでしょう。
ISMSコンサルになるには、必要な認証資格は特にありません。ISMSに必要な規格要求やセキュリティの知識をつけ、組織をけん引できる力量がついていれば誰でもなることは可能です。
しかし、専門知識をつけなければならないので、簡単にはできるものではないということに注意が必要です。
ISMSを早く効率よく構築・運用、認証取得を行うためには、専門的な知識を持っているコンサルタントの助けが必要になります。
構築・運用、認証取得だけでなく、組織に合ったシステムを提案してくれたり、足りない部分を発見し、提案してくれるので、組織にとても有益なものを残してくれるからです。
費用を抑えるためにコンサルタントを使わず、自社で構築・運用を行う組織もあるかもしれませんが、1年半~2年ほどかかるならば、コンサル費用を支払うよりも費用がかさむことになる可能性が高いです。
最終的に、「自社でじっくりとやるべきだ」「外部サービスを利用して素早く取得するべきだ」などの会社の方針や考え方がありますので、それらの会社の方針に従ってコンサルタントを利用する・しないを決めていただくことが良いでしょう。
コンサルタントを利用する場合は、「比較する際に見るべきポイント」で述べたように、
どのタイプのコンサルタントが自社に合っているかを検討していきましょう。
このナレッジの監修者
結石 一樹 KEISHI KAZUKI
株式会社スリーエーコンサルティング 執行役員。
ISO・ISMS・Pマークに関するコンサルティング歴10年、担当企業数380社以上。
大手企業や上場企業のサポート経験が豊富。
効率的で効果的な認証取得はもちろん、運用のマンネリ化や形骸化、ダブルスタンダード化などの問題解決に日々取り組んでいる。