ISMS（ISO27001）のコンサルって何をやってくれるの？

１．ISMS（ISO27001）コンサルとは

ISMS（ISO27001）コンサルタントとは、ISMS（ISO27001）の認証取得・運用・更新をサポートする専門家のことです。

ISMSに関する専門知識を持ち、その取得、運用、更新をより良い状態に導く役割を果たします。
自社の担当者がISMS業務を進めた場合、どうしても分からないことが出てきたり、忙しくて書類作成などの時間がとれなかったりします。

そんなときにコンサルタントによるサポートを利用すると、知識不足・ノウハウ不足・人手不足・時間不足を補ってもらうことができます。

そもそも「ISMSとは？」を再確認したい方はこちらの記事もご覧ください。

あわせて読みたい記事

ISMSとは？ISO27001との違い・認証取得すべきかなど解説

「ISMSとは何？ISO27001とどう違うのかよく分からない！」 「ISMSって、結局何をどうしたら良いのだろう？」 ISMSという言葉を聞いて、「なんとなく分かりそうだけど、あんまり良く分からない…

２．ISMS（ISO27001）コンサルの目的と役割

(1)コンサルタントの目的

コンサルタントにサポートをお願いする目的はいくつかありますが、多くは３つのパターンにわかれます。

1. 専門的な知識や経験や事例をもとに、情報セキュリティ管理の最適方法を提案してほしい
2. マネジメントシステムの適切な構築・運用・改善をサポートしてほしい
3. 文書作成もサポートしてもらい、ISMS運用に関わるムダな工数を減らしたい

特に文書の作成も請け負ってもらえると、ISMSを勉強する工数と文書作成する工数を省けるのでスムーズに認証・運用が進みます。多くの企業がこの点を基準にコンサル会社を選んでいます。

具体的に言及すると、私たちがサポートする企業の多くは、
「情報資産の洗い出しに時間がかかる」
「洗い出した情報資産を台帳にまとめるのが手間だ」という問題に直面していました。
また、これらの問題を解決したとしても、内容に自信が持てず審査に進むことができない状況になっていました。
す。

むやみに情報資産を洗い出すのではなく、まずはルール（情報資産の定義）を決めるところから始める。

その後、情報資産を洗い出すという流れでサポートを行います。

これにより、「これほどスムーズに進行したことはない」「これまで無駄な時間を使っていた」といったお声をいただいております。

(2)コンサルタントの役割

続いて、コンサルタントの役割についてです。

コンサルタントの役割には以下２つの要素があります。

(1)理想のISMS運用に近づける役割

ISMSにどのように取り組みたいかをヒアリングし、最適な運用に近づけるようサポートします。
具体的には、セキュリティ体制の整備、セキュリティリスクの軽減、課題の解決、ISMS運用に関する負担の軽減、ノウハウや他社事例の提供などを行います。

(2)ISO27001の要求事項を満たし、審査に合格する状態へ導く

情報セキュリティマネジメントシステム（ISMS）が適切に構築、運用、監視、維持、改善されている状態へ導きます。また、ISOの内容は5年から10年ごとにアップデートされます。その変更にも対応できるよう、コンサルタントは最新の情報を常に収集しています。

つまり、企業の理想の状態を把握し、そのうえで要求事項を満たしている状態にすることが、コンサルタントの役割といえるでしょう。

３．ISMS取得の費用相場

(1)審査費用の相場

審査費用は一概にいくらと記載することは難しく、会社の規模・拠点・適用業務によって大きく変動します。

従業員が100名以下であると、50万～100万円程度必要になると言われています。

また、審査機関によっても算出方法が異なるため、ISMS取得を検討する際には、正式に見積もりを依頼をする事をおすすめしております。
ご相談いただければ、当社から審査機関に見積りを依頼することも可能です。

(2)コンサル会社によるサポート料金の相場

コンサル会社によるサポート費用の相場も一概には言えません。数十万円から数百万円と幅広いです。

アドバイス中心のサポートの場合、年間30万円以下でサービスが提供されることもあります。
当社のように、アドバイスだけでなく書類の作成まで支援するタイプのサービスを行う会社では、金額には幅がありますが、年間50万円～300万円程度が相場となります。

どのようなサポートを求めているか、それに対して費用が妥当かという点で判断すると良いでしょう。
審査費用と同様、見積もりを依頼をすることをおすすめします。

単純に金額だけを比較するのではなく、求めるサポートを受けられるかまで確認しましょう。

４．コンサルサポートの必要性

ISMSの取得経験があり、その要求事項を把握している従業員がいる場合や、文書作成などの事前準備に習熟している場合、コンサル会社のサポートは必ずしも必要ではありません。

また、ISMSの業務を専門的に担当する従業員がいて、その人がISMSの要求事項を理解していれば、コンサル会社のサポートを必要としないこともあります。

しかし、ISMSの要求事項を理解している従業員がいない場合や、理解はしているが日々の業務が忙しくてISMSの業務に専念できない場合は、コンサル会社のサポートを利用することをお勧めします。

５．ISMS（ISO27001）の取得にコンサルティングサービスを利用するメリット

ISMSの認証取得において、コンサルティングサービスを活用することで、確実に認証を取得できるだけでなく、自社内のリソースの確保や取得までの時間を短縮できるといったメリットがあります。

(1)確実な認証取得

ISMSの認証取得において、コンサルティングサービスを利用すると、その専門的な知識により認証取得のプロセスがスムーズに進むというメリットがあります。コンサルタントは企業の課題を詳細に把握し、ISMSの認証取得までの道のりを導いてくれます。

さらに、要件を満たすマネジメントシステムを構築することで、導入後もそのシステムを維持しやすい環境を作ることができます。特に大規模な組織では、導入から運用までのプロセスが複雑になりがちなので、全体を見渡すことができるコンサルティングサービスを活用することをおすすめします。

(2)自社の負担が減る

ISMSの認証取得において、自社だけで全てを手掛けるのと比べ、コンサルティングサービスを利用することで、時間、人材、費用といったリソースを確保することができます。

自社だけで認証・運用に取り組む場合、多くの人材や時間、費用を必要とし、通常業務に影響を及ぼす可能性があります。しかし、ISMSの認証取得を専門家に依頼することで、必要な時間や人材の削減が可能となり、本業への影響を最小限に抑えることができます。

コンサルティングサービスの利用には費用がかかりますが、リソースの有効活用を考慮すると、コストパフォーマンスは高いと評価できます。

(3)取得にかかる時間の短縮

ISMSの認証取得に際して、コンサルティングサービスを活用すると、取得までの期間を大幅に短縮できます。自社だけで取得を目指す場合、体制構築から従業員教育まで全てを自分たちで行う必要があり、専門的な知識がなければ体制構築に時間がかかり、運用まで手が回らない可能性もあります。

しかし、専門的な知識を持つコンサルタントがアドバイスを提供するコンサルティングサービスを利用すれば、自社の課題に応じた適切な指導を受けられ、効率的に認証取得が可能になります。そのため、専門的な知識がない企業でも、安心して認証取得から運用までを進めることができます。

また、専門的な知識がなく、体制も整っていない状態からISMSの認証取得を自社だけで進めると、1年以上かかることも珍しくありません。しかし、コンサルティングサービスを利用すれば、効率的に進めることができ、早ければ半年程度で認証取得が可能になります。

６．コンサル会社を比較する際に見るべきのポイント

コンサル会社を比較する際には、以下の5つのポイントをチェックすると良いでしょう。

⑴ サービス内容

コンサル会社が多岐にわたるサービスを提供することにより、組織はISMSの導入に必要なあらゆるサポートを受けることができます。

評価や文書作成、従業員の教育、監査など、幅広いサービスが提供されているかどうかを確認しましょう。

また、ISO認証には、ISMSだけでなく、環境保護のISO14001や品質のISO9001など、多種多様な国際規格が存在します。

そのため、ISMS以外にも取得を検討しているISO認証がある場合、その認証の取得支援が可能かどうかを確認しておくと良いでしょう。

⑵ 価格

コンサル会社の利用を検討する際には、料金体系をしっかりと理解しておく必要があります。

各社から見積もりを取得し、それぞれの料金を比較して、最もコストパフォーマンスが良い会社を選ぶことをおすすめします。

また、料金を確認する際には、契約期間、出張費用、支援人数、支援内容など、いくつかのポイントに注目すると良いでしょう。

契約期間は通常半年から1年が一般的で、契約に制約がないかどうかを確認することが重要です。

遠方からの依頼の場合、出張費用が発生し、コンサルティングサービスを利用するたびに追加の費用がかかる可能性があるため、トータルのコストが増える可能性があります。

自社の担当者が対応した場合の手間や人件費を考慮に入れ、それよりもコンサル会社の料金が安いかどうかも考えてみましょう。これらを踏まえた上で、費用対効果を感じられる価格であるかを判断すると良いでしょう。

⑶ 対応の早さ

アドバイスのみを提供するタイプのコンサル会社は、クライアントに対して提案を行い、その後の実行はクライアントに任せるスタイルです。

そのため、認証取得までのスケジュールや対応速度は比較的遅く、プロジェクトが長期化する傾向があります。

また、複数の会社から見積もりを取る際には、サービスを依頼したときの対応を想定して、各社の対応方法を確認しましょう。

質問への返答速度をチェックすることで、通常時の迅速な対応がどの程度行われているのかを把握することができます。

⑷会社の信用度

ISMSの取得に際して、コンサル会社の専門知識と経験が非常に重要となります。コンサル会社は、過去の成功例や実績を踏まえ、情報セキュリティ領域における幅広い知識を持っています。

その専門性と経験は、戦略の策定から具体的な手順の実行、そして導入後の維持管理までの全過程において、大きな役割を果たします。

また、コンサルティング会社の信頼性については、提供するサービスの種類によって特徴があるわけではありませんが、実績の数が信頼性に直結すると考えることもできます。

個人や少数のコンサルタントがいる会社では、仕事が個人に依存し、個々の実績に基づいた提案が行われることが多いと言われています。

一方、規模の大きな会社では、多様な実績に基づいた事例が存在し、それが信頼性を高める要素となります。

コンサル会社を比較する際には、会社の規模や実績なども考慮するとよいでしょう。

⑸ サポート体制

個人や小規模のコンサル会社では、案件が特定の人に集中し、その人だけが案件の詳細を把握しているリスクがあります。しかし、規模が大きい会社では、チームでコンサルティングを行うため、複数の人が案件の状況を把握することができます。

コンサル会社を選ぶ際には、サポート体制もチェックすることをお勧めします。

なお、当社のコンサルティングサポートの内容につきましては、こちらをご覧ください。
ISMS（ISO27001） | 認証パートナー

７．ISMS（ISO27001）の構築や運用を成功させるためのポイント

ISMSとは、組織全体で情報セキュリティを管理するためのシステムを指します。

このシステムが適切に機能していると認められた場合、国際的な基準であるISOの認証を取得することができます。
ISMSには主にISO27001とISO27017の2つの認証制度が存在し、これらを取得することで、自社の情報セキュリティ体制が万全であることを外部に示すことができます。

多くのコンサル会社では、これらの認証審査に向けたサポートを行っています。

ISMS（ISO27001）の重要な要素は、情報の漏洩や改ざんを防ぐだけでなく、必要な時に迅速に情報を利用できる体制を整えることです。

リスクを避けるためのシステムを構築することはもちろん、それをスムーズに運用するための従業員教育など、組織内での浸透に向けた取り組みも重要な要素となります。

8．ISMS（ISO27001）コンサルに必要な資格ってあるの？

コンサルタントになるために必須の資格があるわけではありません。
この資格がないとISMS（ISO27001）のコンサルタントになれないということはないのです。

ただし、コンサルタントをする人の中には、ISMS（ISO27001）の審査員の資格や中小企業診断士、IPAのセキュリティに関わる資格などをもっている人もいます。

しかし、資格よりも経験や実績のほうが重要であり、資格があるから信頼できるということではありません。

現在サポートしている企業（お客様数）が多いコンサルタント会社に依頼することをおすすめします。

まとめ

ISMSのコンサルとは、ISMSに関する課題を解決する専門家を指します。

コンサル会社にサポートしてもらうと、ISMS（ISO27001）取得・運用・更新がスムーズに進みます。

自分達だけでは取得・更新・維持運用が難しいかも…という方は、一度コンサル会社に無料相談を申し込んだり、資料を取り寄せてみるといいでしょう。

ISO・Pマーク認証更新でお悩みの方へ

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。 アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。 認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

• 無料相談はこちら
• 見積もり依頼はこちら