ISMS（ISO27001）をアウトソースする場合、どのようなサポートを受けるべきか、どのようなポイントでコンサル会社を選定するか、ポイントを押さえて検討する必要があります。今回はISMS（ISO27001）サポートのアウトソースを考えたときに見るべき7つのポイントについて解説していきます。

１．ISMS（ISO27001）のサポートとは

ISMS（ISO27001）のサポートとは、「ISO27001――情報セキュリティマネジメントシステム」の構築や運用についての業務を支援することを指します。

具体的には、ルール作成、使用する様式の作成、審査時に確認が行われる記録の作成、新規取得や維持審査、更新付与審査への対応やその際に出る不適合や推奨・観察事項改善に関わることを支援することがISMS（ISO27001）のサポートです。

２．ISMS（ISO27001）を取得するために必要なタスク

ISO担当となる方は、兼務でISOの業務を担当されることが多いです。
なるべく日常の仕事に差し障りがないよう、ISMS（ISO27001）を取得や更新を行っていただくために、アウトソースを考える会社が少なくありません。

ISMS（ISO27001）を新規取得の中で求められているのは以下8つの対応です。
①情報セキュリティ方針の策定
②ルールの作成
③記録の作成
④審査機関の選定
⑤審査機関への申込み
⑥１次審査対応
⑦２次審査対応
⑧審査時に発生した修正内容への対応

規格の知識や審査で使う資料の理解、教育なども一つ一つ採りあげると、20を越すタスクが発生します。
また、運用を行う上で毎年求めらることは「継続的改善」です。
昨年度と同じ運用のままでは、規格の求めている「昨年よりも少しでもよい運用を行えたか」という改善を実施できていない状態になります。

ISMS（ISO27001）にまつわるタスクを日常業務の中で行おうとすると、業務終了後やお昼休み、休日に行う、と言った状況に陥ることが多いです。
審査前に慌てて日付だけ更新するという付け焼刃になってしまうこともあります。

せっかく取得したISMS（ISO27001）を有効活用するためにも、上手くアウトソースを利用することは有効です。

３．ISMS（ISO27001）のサポート会社を選ぶ７つのポイント

アウトソースを行う場合、どのような会社を選べば良いのでしょうか。７つのポイントで見ていきましょう。

1)サービスの範囲は？

文書作成、審査機関選定、審査時の対応等、フルサポートを提供している会社に依頼をするのがより良いと考えられます。

• ２．ISMS（ISO27001）を取得するために必要なタスクにも記載しましたが、新規取得の場合には文書の作成に合わせて審査機関の選定、審査対応と大きく分けても8つの行うべきことがあります。特に、初めての取得の場合は、文書を作るにも何をすればよいのかわからないという企業がほとんどです。
  何かあった際に全面的なバックアップが可能な体制の方が安心して依頼できます。

  2)サービスに対しての価格は？

  フルサポートを考えると、年間50万円程度が妥当金額かと考えられます。

  アウトソースした場合のISMS（ISO27001）平均取得期間が半年です。
  社員が取得業務を行うと想定すると、ISMS（ISO27001）の取得のための業務に毎日残業３時間を目安としましょう。半年の間、３時間の残業ですから、所要時間は360時間程度になります。
  消費税、時間外手当や役職手当を考慮すると、おおよそ取得までの平均月数で50万円程度が妥当金額でしょう。

  3)取得、レスポンスのスピード感は自社にあっているか？

  先程平均取得月数は半年と記載しましたが、これはあくまで平均です。
  取得までの期間は審査機関とのスケジュール調整をどれだけ早く行えるかということも重要なポイントです。
  サポートを依頼する会社は、迅速なスケジュール調整相談可能となっている会社がいいでしょう。

  他には、相談したいときに電話やメール相談に制限がない状態でサポートしてくれる会社を選ぶとよいでしょう。

  この記事をご覧になっている方の中には、半年よりも早く取得したいという方もいれば、すでに取得はしているが前任者が急に退職してしまい何もわからないまま運用しなければならなくなった、フルサポートまでは求めていない、様式を作成してほしいなど様々な理由があると思われます。

  自社の状況を相談の上対応してくれる会社だとなお良いです。

  4)対応する企業規模は？

  中小企業から対応を謳っている会社をおすすめします。

  大手企業向けの支援会社では、ルールや文書管理だけが煩雑化し、運用を行う際の実績記録作成が面倒なために運用が行えないという状況が発生しやすいためです。
  また、大手向け支援会社では物理的環境の改善を要求するなど、必要以上に経費を使用させる可能性があります。

  5)どんなコンサルタントが在籍しているか

  コンサルタントが正社員として所属している会社がよいでしょう。
  所属コンサルタントが正社員ではなく派遣契約を行っているのみという会社もあります。
  その場合は、サービスに均一性がなく、また緊急事態への対応についても会社単位で行われない可能性のあるため、正社員雇用を行っている会社に協力を求めることをおすすめします。

  6)サービスに専門性があるか

  ISMS（ISO27001）の新規取得、運用のサポートを行う会社といっても、別の事業が本業で、
  ISMS（ISO27001）はあくまでも１事業として行っている場合、最新事例や審査機関情報の収集が専門会社と比べると劣ってしまう可能性があります。

  新規取得や運用サポートに特化しており、審査傾向など情報共有が行われている会社に依頼することがよいでしょう。

  7)サービス提供のための体制

  複数体制やチームとして活動してくれる会社がよいでしょう。

  5)どんなコンサルタントが在籍しているかにも記載しましたが、会社によっては登録社員を派遣しているに過ぎない会社もあります。
  その場合は、個人が個々の会社を抱えている状態になりますので仮に事件や事故に巻き込まれた、急に対応できなくなったという場合でも個人が一人で解決しなければならないという事態が発生します。

  そのため、支援活動を複数人で行っている、グループ単位で対応しているという会社に依頼するのがよいでしょう。
  

  

  

  まとめ

  いかがでしたでしょうか。ISMS（ISO27001）のサポートをコンサル会社に依頼するときに確認するべきポイントはお分かり頂けましたでしょうか。
  自社に必要なサービスを把握し、求めているサービスを提供しているコンサル会社を選びましょう。

  ISMS新規認証取得・運用について詳しく知りたい方はコチラ

  • 月額4万で全ての作業をサポート！新規認証コンサルティング