2021年10月21日
ISMS(ISO27001)の取得・運用はアウトソースできるのでしょうか。
ISMSの取得・運用で発生する作業をアウトソースすることは認められており、規格要求でもすべてを社内で実施しなければならないという決まりはありません。
1.ISMS(ISO27001)のアウトソースとは
ISMSのアウトソースとは、取得・運用・更新で発生するタスクを外注することです。
「忙しくてISMSに割ける時間がない」「人手が足りない」「知識がない」といった場合は、
コンサル会社のサポートを利用してアウトソースしている組織も多くあります。
ただし、全てを丸投げしてしまって業者まかせ、という事態は避けましょう。
では、どのようなアウトソース方法があるのかをご紹介します。
①マニュアル作成・修正をアウトソースする
マニュアル作成・修正作業についてはアウトソースしても問題ありません。
ただ、出来上がったマニュアルが自社ルールと食い違っていないかチェックする必要はあります。
②内部監査をアウトソースする
内部監査もアウトソース可能です。
内部監査員としての力量があれば外部コンサルタントが内部監査員として内部監査を実施できます。
客観的、かつ中立な立場で第三者としてISMS運用が出来ているかを見てもらえます。
また、自社のメンバーだけではわからない事をアウトソースすることで、他社事例やよりよくするためのアドバイスを聞ける良い機会です。
外部の意見を取り入れてみてはどうでしょうか。
③規格要求事項で必要な文書や記録の作成をアウトソースする
文書や記録の作成もアウトソース可能です。
どんなルールにするか、どんなフォーマットにするかなどの意思決定は自社で行い、作成をアウトソースすることは作業工数を削減する有効な手段です。
2.アウトソースするコンサル会社にも種類がある
一口にコンサル会社と言っても、大きく2種類に分かれます。
①アドバイス型 コンサル会社
②運用サポート型 コンサル会社
おすすめは②の運用サポート型です。それぞれの特徴を紹介します。
①アドバイス型 コンサル会社
・個人事業主が多く、自身の経験や知識だけでアドバイスを行うことが多い
・雛型があれば提供して、お客様に作成を実施してもらう
・個人で行っているため当人が体調不良などの際に連絡がつかないケースもある
②運用サポート型 コンサル会社
・雛型の提供や作業など、余計な作業を発生させないように事務局全体をフォローと年間計画を一緒に作成して全体をコーディネートする
・病気や不慮の事故があった際は、他メンバーのフォローが可能
こちらの記事でコンサルタントについて説明しておりますのでよろしければご覧ください。
ISMS(ISO27001)のコンサルって何をやる人?
3.運用サポートと丸投げの違い
次に、「運用サポートと丸投げってどう違うの?」と質問をいただくこともあるので、その違いについてご説明します。
運用サポートとは…
コンサルタントが事務局の一員となり、お客様が意思決定した内容を元に文書や記録を作ります。
ISMSを取得・運用しようとなると、日々の業務以外にISMSのための作業が発生しますが、その作業を請け負うので、日常業務に専念しやすくなります。
丸投げとは…
方向性の決定から運用まですべてを業者にまかせてしまうことで、依頼する側の意図が反映されていない状態のことです。
「取得さえできたらいい、丸投げでお願いしたい」というお客様もいらっしゃるのですが、丸投げをすると実態にそぐわない構築・運用になってしまいます。
セキュリティリスクが低減せず、インシデントの発生につながりやすくなってしまうので、丸投げは避けましょう。
4.自社にあったコンサル会社の選び方
「自社に合ったコンサル会社ってどうやって選べばいいの?」と迷われるご担当者様も多いでしょう。
コンサル会社選定の際は下記7つのポイントに注目してみてください。
①サービスの範囲
②価格
③スピード感
④対応できる企業規模
⑤どんなコンサルタントが在籍しているか
⑥サービスの専門性
⑦サービス提供の体制
詳しくはこちらの記事で解説しておりますので是非ご覧ください。
ISMS(ISO27001)サポ―トのアウトソースを考えた時に見るべき7つのポイント
まとめ
ISMSのアウトソースとは、取得・運用・更新で発生するタスクを外注することです。
「忙しくてISMSに割ける時間がない」「人手が足りない」「知識がない」といった場合は、コンサル会社のサポート利用を検討してみるとよいでしょう。
ただし、全てを丸投げしてしまって業者まかせ、という事態は避けましょう。
ISMS新規認証取得・運用について詳しく知りたい方はコチラ
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ