ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

ISMS(ISO27001)取得支援を考えた時にコンサル会社を選ぶ5つのポイント

2021年3月23日

ISMS(ISO27001)取得支援を考えた時にコンサル会社を選ぶ5つのポイント

ISMS(ISO27001)の取得支援をするコンサル会社はたくさんあります。「ISMS(ISO27001) コンサル」とWEBサイトで検索すると、多くの比較サイトで、膨大な数の業者がヒットします。どのコンサル会社を選べばよいのか、困るのではないでしょうか。本記事では、コンサル会社を選ぶ基準と見るべきポイントを紹介していきます。

1.ISMS(ISO27001)コンサルに支援を頼む目的とは?

ISMS(ISO27001)取得の目的は、「取引上の要件になっていることが多いから」です。
特にITシステム業界では、開発スタッフを常駐派遣する業態から、お客様データをお預かりして
自社内で受託開発をする業態へ受託内容が変化していく際に、大手ベンダーから、セキュリティへの取り組み体制を確認される上で、ISMS(ISO27001)取得が話題に上がります。

また、自社のクラウドサービスを開発、販売する上で、セキュリティ体制のPRからISMS(ISO27001)の取得を行う、スタートアップ企業も増加傾向にあります。

2.ISMS(ISO27001)コンサルを選ぶ際のポイント

今回のテーマの主題ですが、ISMS(ISO27001)コンサルを選ぶ際のポイントは、まずどういうスタンスで依頼したいかを明確にしておくことです。

例えば、
(1)新規構築から完全に自社内で行い、アドバイスだけほしい。取得後は自社で対応。
(2)新規構築は、作業含めサポートしてもらい、取得後の運用から、アドバイスをもとに自社運用できるようにしていきたい。
(3)新規構築、取得後の運用含め、無駄な作業はせずに、ISMS(ISO27001)を維持していきたい。

自社で必要としている支援はどんなものかをまず明確にしましょう。
コンサル会社を選ぶ基準ができたら、次のような項目でコンサル会社の比較をしていきます。

1)サービスについて

サービスについては、(A)~(D)の4パータンあります。
(A)新規取得支援タイプ ISMS(ISO27001)コンサル
アドバイスをメインに行うので、作業は自社内でしなければならず、負荷がかかります。
担当者の規格要求事項への理解と作業工数がかかるため、取得期間は長期化しやすいです。

(B)新規取得サポートタイプ ISMS(ISO27001)コンサル
取得に向けて、作業のサポートを行います。自社内の作業工数は少ないですが、取得後の運用フォローの仕組みがないと2年後の更新で運用が出来ておらず、苦労するケースが多いです。

(C)運用支援タイプ ISMS(ISO27001)コンサル
アドバイスをメインに行うので、作業は基本お客様に負荷がかかります。
また、提案が対価になるため、コンサルタントの提案内容を慎重に検討しないと無駄な活動が逆に増えていってしまうことにもなります。

(D)運用サポートタイプ ISMS(ISO27001)コンサル
作業工数がかからないメリットが大きいですが、完全丸投げで運用主体がお客様でなくなってしまうようなお手伝いの仕方をする業者もあり、注意が必要です。
お客様を運用主体に置き、意思決定してもらいように情報提供を行いつつ、誰がやってもよい作業負荷の低減をしてくれるタイプのコンサルを選ぶとよいです。

2)価格について

アドバイスの提供で支援するタイプのコンサル会社は、アドバイス、提案が対価になり、適正価格の設定が曖昧です。
70万~120万程度と幅があります。

アドバイスだけでなく、作業も手伝ってくれるタイプのコンサル会社は、お客様の工数削減が対価になります。
価格相場も45万~60万程度になります。
ISMS(ISO27001)を取得するためには3つの費用がかかります。詳しくはこちらの記事で詳しく説明しております。

3)対応の早さについて

アドバイスの提供で支援するタイプのコンサル会社は、お客様への提案を行い、宿題を残すタイプであるため、取得までのスケジュール含め、対応の早さは遅く、長期化しやすいです。

アドバイスだけでなく、作業も手伝ってくれるタイプのコンサル会社は、作業含めコンサルタントが行うため、対応は早いです。

4)会社の信用度にいて

会社の信用度については、支援のサービス内容のタイプ別に特徴があるわけではないですが、実績数がそのまま信用度につながると思います。
個人や数名のコンサルタント会社は、人に仕事がつき、個人の実績に傾いた提案がされるケースも多く聞きます。
ある程度の会社規模になると、さまざまな実績に応じた事例があり、信用度も増します。

5)サービスを提供する組織、体制について

個人や数名のコンサルタント会社は、人に仕事がつき、案件がその人しかわからないといったリスクが常に付きまといます。
ある程度の会社規模になれば、チーム体制でコンサルタントを行い、案件状況の把握が行われることになります。

3.まとめ

ISO27001(ISMS)コンサルには支援のタイプがあります。イメージはつきましたでしょうか。
コンサル会社を探す際は、自社のスタンスを明確にして、どのようなお手伝いをするタイプなのか、調べると良いと思います。

ISMS新規認証取得・運用について詳しく知りたい方はコチラ

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。