ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001) 認証・更新

ISMS(ISO27001)認証お役立ちコラム

【ISO27001】コンサル会社選びのポイント

スタッフ写真
スタッフ写真

2020年12月22日

【ISO27001】コンサル会社選びのポイント

目次

ISO27001(ISMS)コンサル会社選びのポイントは、以下の5点です。

ポイント① 具体的なサポート内容を答えてくれる
ポイント② 貴社の規模や事業内容に合う文書・様式を提案してくれる
ポイント③ ひな形だけでなく、ノウハウも提供してくれる
ポイント④ 管理策を選んでくれる
ポイント⑤ 現場の方の負担が少ない運用を提案してもらえる

ISO27001(ISMS)新規認証取得はマネジメントシステムを構築する上で会社の基盤となるため、コンサルティング会社の選定には皆さん慎重になります。

ISO27001認証取得前の相談

どのくらいの期間で、何をどうやって実施するのか、コンサルはどこまで手伝ってくれるのかなど、取得までのイメージをしていただくことは重要な事です。
相談時に具体的にイメージできない場合、コンサルタントの経験が少ない可能性があります。

ポイント① 具体的なサポート内容を答えてくれる

取得までのスケジュールを共有してもらう時に、大まかなスケジュールを教えてくれたとしても、さらに「どういったサポート(作業やアドバイス)をしてくれるのか?」具体的に質問するとあいまいな答えが返ってくるケースがあります。
スケジュール一つ一つに対して具体的に「どういったサポート(作業やアドバイス)をしてくれるのか?」質問し、はっきりと答えてくれるコンサルの方が信用できるかもしれません。

ポイント② 貴社の規模や事業内容に合う文書・様式を提案してくれる

コンサル会社によって、作る文書やひな形は様々です。
貴社の規模や事業内容を考慮し、貴社に合った運用が出来る仕組みやその根拠となる文書を提案してくれるコンサルタントが最適であると言えます。
お手伝いしている実績が少ないコンサルだと、貴社の規模・事業内容に合わせた文書を作ることができないケースが多々ありますので、注意が必要です。

ちなみに認証パートナーでは、取得前のご相談時にすでに実績のあるコンサルタントがヒアリングさせていただきます。具体的なサポート内容と、貴社に合ったISO27001(ISMS)認証取得のご提案をいたします。
※リンク※ 認証パートナー 資料請求

ISO27001認証取得活動時

次に、実際に取得に向かっての活動が始まってからのポイントです。

ポイント③ ひな形だけでなく、ノウハウも提供してくれる

文書のひな形を提供して「お教えした手順に沿って運用してください」というコンサルタントがいますが、こういったコンサルには一番気をつけなければなりません。
というのも、運用が始まると、矛盾点や運用出来ない点が出てくることが多くあり、具体的な運用ノウハウを教えてもらえないと結局ISO担当者が苦労することになります。

大切なことは、力を入れていきたい「日常業務」や「セキュリティ対策」に注力しながら、仕組みを構築できるかどうかです。

コンサルタントにひな形だけもらい、教えてもらった通りに作った文書は、初めて作る文書なので、無駄な文書・記録、必要のないルールが増えた仕組みになることが多いです。
また、ISO担当者の時間も消費するため、本来力をいれるべき「日常業務」や「セキュリティ対策」に力を注ぐことができず、形だけのISO27001(ISMS)マネジメントシステムになってしまうケースが多々あるのでお気をつけください。

ポイント④ 管理策を選んでくれる

ISO27001(ISMS)では、114個ある管理策を全て適用させて取得することを審査機関からも推奨されます。
ただ、会社にとって必要ないリスクを考慮し、逆に業務の妨げになる管理策まで採用することで逆に業務効率を下げることになり、セキュリティリスクを増加させてしまう場合があります。114個すべてを網羅する必要はありません。関係する業務がない場合、無理に採用しなくても良いので、どの管理策を採用すべきか貴社の状況に合わせて選んでくれるコンサルがいいでしょう。

上記のポイントを押さえつつ、コンサルタントを選定しましょう。

1. 担当者と一緒に、文書・記録を作成してくれるコンサルタント
2. 自社にあったセキュリティ対策を提案してくれるコンサル会社

認証パートナーでは、必要最低限のセキュリティ対策を提案しつつお客様の会社に合ったISMS/ISO27001認証取得のご提案をいたします。

ISO27001認証取得後

最後に、無事にISO27001を認証取得できた後のことを考えてみましょう。

ポイント⑤ 現場の方の負担が少ない運用を提案してもらえる

ISO27001(ISMS)文書を「正」として運用を進めると、形は良いけれどルールが形骸化する…というケースがよくあります。
というのも、実際現場では、当初決まったルール通りに運用を始めた場合、現場の方の意見を基によりよい方法に日々変わっていくものです。
そんな中、ISO27001(ISMS)文書を「正」とし、当初決まった運用しづらいルールを変えずに運用を続けていると、業務効率が落ちたり、ルール通り運用できずルールが形がい化し、かえってセキュリティリスクが高くなったりします。

上記の様な取得後のトラブルをなくすためには、コンサル会社がただISO27001(ISMS)を更新するだけでなく、ISO担当者はもちろん、現場の方がISO27001(ISMS)を運用するうえで、「どうすれば運用しやすいのか?」も含めた提案をしてもらえるコンサル会社が望ましいと言えます。

まとめ

いかがでしたでしょうか。
ISO27001(ISMS)コンサル会社選びのポイント5点、ご理解いただけましたか?
ISOのコンサル会社といってもサービス内容は様々です。

料金はもちろんですが、サービス内容もよくチェックして貴社に合ったコンサル会社を選びましょう。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

\あわせて読みたい記事/

  • 2022年9月2日

    ISMS(ISO27001)ソフトウェア制限はどこまで必要? インストール制限を3つのポイントで解説

    ISMS(ISO27001)を取得している企業は、インストールしているソフトウェアの導入に対し、脆弱性があることを認識しなければいけません。
    ISMS(ISO27001)の要求事項でソフトウェアの導入を管理するためのルールを明確にすることが求められており、インストールするにあたり制限すべきポイントは、①セキュリティアップデート、②危険なソフトウェアは利用しない、③導入する前に許可を取るの3つとなります。

  • 2022年9月2日

    ISMS(ISO27001)でいうパフォーマンス評価って何?

    ISMS(ISO27001)におけるパフォーマンス評価とは、実績に基づいた判定結果のことを意味し、先ずは規定通りに運用されているか、有効性があるかなどを評価します。
    ISMS(ISO27001)のパフォーマンス評価は主に、①マネジメントシステム、②情報セキュリティ目的、③管理策の有効性評価についての3つの指標があります。
    パフォーマンス評価はマネジメントシステムを運用する上で、PDCAサイクルのC(チェック)にあたる重要な仕組みです。

  • 2022年10月26日

    ISMS認証機関の選び方に失敗しないためには?重要な3つのポイント

    ISMSの認証機関(審査機関)は国内に60社ほど存在しているため、どこを選べばいいか迷う方が大半です。
    ISMS認証機関選定のポイントは3つ。①審査費用が適切か②自社の要望に合わせた対応が可能か③対応のスピードです。
    押さえるべき3つのポイントを理解してから、認証機関を選定しましょう。

一覧へ戻る

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け
資料請求する

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。