2021年3月23日
ISMS(ISO27001)の取得支援をするコンサル会社はたくさんあります。「ISMS(ISO27001) コンサル」とWEBサイトで検索すると、多くの比較サイトで、膨大な数の業者がヒットします。どのコンサル会社を選べばよいのか、困るのではないでしょうか。本記事では、コンサル会社を選ぶ基準と見るべきポイントを紹介していきます。
1.ISMS(ISO27001)コンサルに支援を頼む目的とは?
ISMS(ISO27001)取得の目的は、「取引上の要件になっていることが多いから」です。
特にITシステム業界では、開発スタッフを常駐派遣する業態から、お客様データをお預かりして
自社内で受託開発をする業態へ受託内容が変化していく際に、大手ベンダーから、セキュリティへの取り組み体制を確認される上で、ISMS(ISO27001)取得が話題に上がります。
また、自社のクラウドサービスを開発、販売する上で、セキュリティ体制のPRからISMS(ISO27001)の取得を行う、スタートアップ企業も増加傾向にあります。
2.ISMS(ISO27001)コンサルを選ぶ際のポイント
今回のテーマの主題ですが、ISMS(ISO27001)コンサルを選ぶ際のポイントは、まずどういうスタンスで依頼したいかを明確にしておくことです。
例えば、
(1)新規構築から完全に自社内で行い、アドバイスだけほしい。取得後は自社で対応。
(2)新規構築は、作業含めサポートしてもらい、取得後の運用から、アドバイスをもとに自社運用できるようにしていきたい。
(3)新規構築、取得後の運用含め、無駄な作業はせずに、ISMS(ISO27001)を維持していきたい。
自社で必要としている支援はどんなものかをまず明確にしましょう。
コンサル会社を選ぶ基準ができたら、次のような項目でコンサル会社の比較をしていきます。
1)サービスについて
サービスについては、(A)~(D)の4パータンあります。
(A)新規取得支援タイプ ISMS(ISO27001)コンサル
アドバイスをメインに行うので、作業は自社内でしなければならず、負荷がかかります。
担当者の規格要求事項への理解と作業工数がかかるため、取得期間は長期化しやすいです。
(B)新規取得サポートタイプ ISMS(ISO27001)コンサル
取得に向けて、作業のサポートを行います。自社内の作業工数は少ないですが、取得後の運用フォローの仕組みがないと2年後の更新で運用が出来ておらず、苦労するケースが多いです。
(C)運用支援タイプ ISMS(ISO27001)コンサル
アドバイスをメインに行うので、作業は基本お客様に負荷がかかります。
また、提案が対価になるため、コンサルタントの提案内容を慎重に検討しないと無駄な活動が逆に増えていってしまうことにもなります。
(D)運用サポートタイプ ISMS(ISO27001)コンサル
作業工数がかからないメリットが大きいですが、完全丸投げで運用主体がお客様でなくなってしまうようなお手伝いの仕方をする業者もあり、注意が必要です。
お客様を運用主体に置き、意思決定してもらいように情報提供を行いつつ、誰がやってもよい作業負荷の低減をしてくれるタイプのコンサルを選ぶとよいです。
2)価格について
アドバイスの提供で支援するタイプのコンサル会社は、アドバイス、提案が対価になり、適正価格の設定が曖昧です。
70万~120万程度と幅があります。
アドバイスだけでなく、作業も手伝ってくれるタイプのコンサル会社は、お客様の工数削減が対価になります。
価格相場も45万~60万程度になります。
ISMS(ISO27001)を取得するためには3つの費用がかかります。詳しくはこちらの記事で詳しく説明しております。
3)対応の早さについて
アドバイスの提供で支援するタイプのコンサル会社は、お客様への提案を行い、宿題を残すタイプであるため、取得までのスケジュール含め、対応の早さは遅く、長期化しやすいです。
アドバイスだけでなく、作業も手伝ってくれるタイプのコンサル会社は、作業含めコンサルタントが行うため、対応は早いです。
4)会社の信用度にいて
会社の信用度については、支援のサービス内容のタイプ別に特徴があるわけではないですが、実績数がそのまま信用度につながると思います。
個人や数名のコンサルタント会社は、人に仕事がつき、個人の実績に傾いた提案がされるケースも多く聞きます。
ある程度の会社規模になると、さまざまな実績に応じた事例があり、信用度も増します。
5)サービスを提供する組織、体制について
個人や数名のコンサルタント会社は、人に仕事がつき、案件がその人しかわからないといったリスクが常に付きまといます。
ある程度の会社規模になれば、チーム体制でコンサルタントを行い、案件状況の把握が行われることになります。
3.まとめ
ISO27001(ISMS)コンサルには支援のタイプがあります。イメージはつきましたでしょうか。
コンサル会社を探す際は、自社のスタンスを明確にして、どのようなお手伝いをするタイプなのか、調べると良いと思います。
ISMS新規認証取得・運用について詳しく知りたい方はコチラ
ISO・Pマークについてのお悩みはありませんか?
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
- SNSでシェア
- Tweet
のコンサルって何をやってくれるの?-480x270.png)
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ