ISMS（ISO27001）取得支援を考えた時にコンサル会社を選ぶ5つのポイント 

ISMS(ISO27001)の認証取得は大変？

ISMS（ISO27001）認証取得は、情報セキュリティ体制の強化に不可欠ですが、決して簡単ではありません。以下に、その難しさを示すポイントをいくつか挙げます。

費用面の負担

ISMS認証取得には、審査費用やコンサルティング費用など、多額の費用がかかる場合があります。

少なくても数十万円から、場合によっては数百万円の費用がかかることを見込んでおくべきです。
特に中小企業にとっては、これらの費用が大きな負担となる可能性があります。

また、ISMSを維持・運用していくための費用も考慮する必要があります。

膨大な文書作成と管理

膨大な文書作成と管理: ISMSでは、情報セキュリティポリシー、リスクアセスメント結果、各種手順書など、多岐にわたる文書の作成と管理が求められます。

これらの文書は、ISO27001の要求事項に準拠している必要があり、作成・管理には専門知識と多大な労力を要します。

複雑なリスクアセスメント

 リスクアセスメントは、ISMS構築の根幹をなすプロセスですが、情報資産の洗い出し、脅威と脆弱性の特定、リスク評価など、複雑な作業が伴います。

適切なリスクアセスメントの実施には、セキュリティに関する深い知識と経験が必要です。

継続的な改善活動

ISMS認証は、一度取得すれば終わりではありません。認証取得後も、内部監査やマネジメントレビューを通じて、ISMSの運用状況を定期的に評価し、継続的な改善活動に取り組む必要があります。

この継続的な努力が、情報セキュリティ体制の維持・向上には欠かせません。

その他

ISMS運用ではマネジメントレビューの作成も重視されています。
現場での運用やリスク分析などをまとめて、経営陣に報告するためです。

そして、経営陣はisms運用について把握すると共に、是正処置の確認や監督をすることになります。

ISO27001認証審査においてはトップへのヒアリングがあり、経営陣がリスクマネジメントに積極的に携わっているかもチェックされますので、日頃経営業に忙しいトップの人たちも、このために労力を割く必要があるのです。

ISMSの認証取得コンサル会社の選定基準

ISMS認証取得や維持のハードルは決して低くありません。

少なくとも過去にISO取得の経験がないのであれば、スムーズに取得するためには取得支援をしてくれるコンサルタントと契約するのがおすすめです。

そこで、たくさん存在する認証取得コンサル会社の中からどうやって選定したら良いか、選び方のポイントを解説します。

1.専門性と経験

ISMS(ISO27001)認証取得には、かなり専門的な知識とノウハウが求められます。

企業の中でどのように情報管理を行うか、実際に使用されている業務システムなどを見て、技術的な改善点や対応できるルールを策定しなければなりません。

また、一口に情報セキュリティマネジメントと言っても、業務システムやクラウドシステム、サーバーなど、さまざまなジャンルにおける専門知識が求められます。

認証取得に必要な書類の作り方やヒアリングの際の対応など、スムーズに取得が出来るように事例に基づいた現実的なアドバイスを与えてくれるコンサル会社を選ぶことが重要です。

審査パスのコツを知っている実績豊富なところかどうかもコンサル会社を選ぶ1つの基準としてもよいでしょう。

2.認証取得に関するサポート体制

ISMS認証に当たっては、セキュリティポリシーの策定やリスクアセスメント、現場での運用、社員への研修など、さまざまな作業が必要となってきます。
その為、サポート体制の充実度、もしくは柔軟な対応をしてくれるかという点も重要です。

コンサル会社によって、どこまでサポートしてくれるかは異なります。
たとえば、認証機関に提出する書類の作成だけを行うところもあれば、ルール作りや研修のための講師派遣、業務システムの紹介などまでフルサポートを提供するところもあります。

また、認証取得を目的とするあまり、過剰な対策を導入してしまうと、セキュリティレベルは上がるが情報の可用性が下がってしまいます。
企業規模や社内リソース、事業内容、リスクの度合いなどを考慮し、自社にとって最適なセキュリティ対策を導入することが重要です。

ISMS認証取得コンサル会社を選ぶ際には、以下の点に注意して検討しましょう。

• 自社の状況を理解してくれるか
• 柔軟な対応が可能か
• 運用負荷を考慮してくれるか
• コミュニケーションが円滑に取れるか

3.企業の取得目的に即した選定

ISMS(ISO27001)取得の目的は、企業によって異なるものです。
それによって、コンサル会社との相性も決まってきます。

たとえば、ISMS認証を取得することで企業としての信頼度を増し、入札の条件をクリアしたり、マーケティングの向上を図るのが目的だとします。その場合、「できるだけ早く認証取得ができるようにサポートしてくれる」「効果的なマーケティングについてのアドバイスを与えてくれる」といった条件での選び方ができるでしょう。

一方で、業務システムの利用がうまくできていない現状を改善し、業務効率を図ることを一つの目的として認証取得する場合もあります。
このケースでは、現場におけるシステムの利用法や社員教育などのサポートを提供してくれるコンサルが良いでしょう。

中には、デジタル化があまり進んでいない企業を対象として、実務に合った業務システムの紹介や導入サポートまでしてくれるところもあります。

企業の実情に合ったコンサルを選ぶことで、大きなメリットを得られるはずです。

また、国内における事業だけでなく、海外展開を意識して、国際規格であるISO27001の取得を目指す企業も少なくありません。そのような場合では、やはり海外拠点を持つ企業へのサポート実績が豊富なコンサルを選ぶほうが良いでしょう。

海外人材が同じ基準でルールを適用するためのポイントや海外におけるISMS認証の活用法などをアドバイスしてくれるからです。

4.費用対効果

一般的に、ISMS(ISO27001)の新規取得にかかるコンサル費用は100万円前後とされています。

もちろん、それ以外にも認証機関に支払う手数料や社内で発生する運用コストなどがあります。トータルで見て決して安くないコストとなりますので、費用対効果をしっかりと検討すべきです。

まずはいくつかの候補となっているコンサル会社に見積もりを出してもらい、比較することが重要です。

見積を依頼する際、isms認証を全社で適用するのか、一部の部署だけにするのかなどによって、コンサル費用は変わってきます。

また、フルサポートを依頼するのか、自分たちでクリアできる部分はカットするのかによっても、最終的な費用負担は変化します。
そのため、同じ条件で見積もりを出してもらい、各社どのくらいの価格差が出るのかをチェックしましょう。

なお、予算が決まっている場合にはコンサル会社によって、サポート範囲を限定したプランを用意している事もあるので上手に費用を抑える事も必要です。

書類作成やルール策定、リスクアセスメントなどをメインとした場合と、最初から最後まですべて取得支援してもらうケースでは、どのくらいコンサル費用の違いが出るのかを確認するのです。こうすることで、より自社に合った費用対効果の高い依頼ができるでしょう。

ISO認証取得のために必要なコンサル費用には、ある程度の相場感は存在します。

複数のコンサル、複数のサポート内容の見積もりを比較すれば、その相場が見えてくるでしょう。
相場を確認した上で、提供してくれるサポートに見合った金額かどうかを考えて選びましょう。

5.アフターサポートと継続的な改善

ISMS(ISO27001)は取得した後も、1年に1回維持審査を受け、3年に1度の更新審査をパスしなければなりません。

通常の業務を行いながら、規格の変更に対応するとなると大変な労力となります。
その為、多くの場合コンサル会社からは長期間にわたってサポートを受け続けることになります。

したがって、アフターサポートのプランがあるかどうかや、長く付き合えるビジネスパートナーかどうかを考えることがコンサル会社選びのポイントの１つといえるでしょう。