ISMS(ISO27001)コンサル会社とは?選び方を徹底解説
- 効率的に自社に適したISOを構築するならコンサルへの依頼がお勧め
- 自社で取得する場合は、人件費がコンサルティング依頼料より高くなりがち
- コンサル選定では、サポート体制や実績、自社にあったISOを構築してもらえるかを見る
コンサル選定では、サポート体制や実績、自社にあったISOを構築してもらえるかを見る
ISMS( ISO27001)取得支援を行うコンサルティング会社はいくつもありますが、何をポイントに選定したらよいのでしょうか?また、自社取得との違いはどこにあるのでしょうか?
この記事では、ISMS(ISO27001)のコンサルティングの必要性や申請サポートを依頼した際のサービス内容、コンサル依頼料、選定のポイントなどを詳しく解説します。
目次
ISMS(ISO27001)コンサルとは
ISMS(ISO27001)のコンサルタントは、どのような人なのでしょうか?ここでは、コンサルタントになるための資格や経験について解説します。
コンサルに必要な資格・経験
ISMSのコンサルティングを行うために必要な資格や経験はありません。ISMSの知識や経験があれば、誰でもコンサルタントになれます。
そのため、コンサルティング会社で教育を受けてコンサルタントになる人もいれば、情報セキュリティマネジメントシステム審査員(ISO27001審査員)などの資格を持っている人もいます。
ISMSコンサル会社のサポート内容とは
ISMSコンサルティング会社に取得サポートを依頼すると、どのようなことをしてくれるのでしょうか。以下に、一般的なコンサルタントのサポート内容をまとめました。
- 情報セキュリティ管理の方法の提案
- 審査機関の選定や対応
- 要求事項に沿ったISMS構築・運用のサポート
- 内部監査の実施・マネジメントレビューの実施
- 文書化の作成サポート
- 審査対応サポート
またコンサルティング会社によっては、上記サポートの他にも、「6か月以内の取得を目指すオプション」「自立した運用を実現するオプション」「経営コンサルティング」などのさまざまなオプションを用意しているところもあります。
柔軟にサポート内容やオプションをカスタマイズできるコンサルを選ぶことで、「費用を抑えたい」「取得後に自力で運用したい」「審査に付き添ってほしい」といった希望に沿ったサポートを受けられるでしょう。
ISMS(ISO27001)取得にコンサルを依頼するメリット
ISMS(ISO27001)を取得する際に、コンサルティング会社へ依頼するメリットを解説します。
取得にかかる負担を減らせる
ISMS認証を取得するには、ISMSの構築・運用に多くの工程を実施する必要があります。
そのため自社取得であれば、本業とISMS認証取得のための業務を両立しなければならず、大きな負担がかかります。
しかし、プロであるコンサルに依頼することで、自社社員が実施する業務の大部分をコンサルに委託できるため、本来の業務への支障を大きく減らせるでしょう。
自社に適したマネジメントシステムを構築・運用できる
ISO27001を取得するには、要求事項を満たすISMSを構築・運用することが必要です。
しかし、ISO27001の要求事項を満たすことに注視しすぎた結果、自社の実情に合わない形式ばったISMSの構築につながります。従業員が活用しにくい体制は、従業員の負担になり、次第に形骸化してしまうでしょう。
そのため、「要求事項を満たすISMS」と「自社の実情に合ったISMS」を両立させるには、ノウハウや経験が豊富なコンサルにサポート依頼することがおすすめです。
ISMS(ISO27001)を取得しやすくなる
何度もISO27001取得をサポートしてきた実績豊富なコンサルティング業者に依頼することで、確実に審査を通過できるでしょう。
取得審査では、書類審査を経て審査員が現地に訪れて審査を行います。コンサルティング業者に依頼することで、指摘を受けた場合でも是正処置のサポートも行ってもらえるため、安心して審査を受けられます。
ISMS(ISO27001)の取得期間
ここでは、ISO27001を自社取得・コンサル取得した場合にかかる期間について解説します。
自社取得した場合の取得期間
自社取得した場合の取得期間は、取得範囲の大きさやISO27001取得に関する知識・経験をもつ人材の有無などによって左右されます。
一般的に、一からISMSを構築・運用し、審査を受けて認証を受けられるまでには少なくとも1年以上の期間がかかります。コンサルに依頼した場合
適用範囲やサービス内容などによるものの、コンサルティング業者に依頼した場合の想定取得期間は約半年です。早い場合には4か月で取得した例もあります。
自社取得に比べて期間が短い分、月額料金でコンサルティング費用を支払っている場合には費用も抑えられます。それでもISMSの取得には長期的な目線をもって取り組むため、コンサルタントと二人三脚での取得を目指すことが大切です。
ISMS(ISO27001)の取得費用
ISO27001の取得に必ずかかる費用は、「審査費用・ISO登録料+審査員の交通費・宿泊費」です。以下に審査費用相場を以下にまとめました。
| 業種 | 1-20名 | 21-50名 | 51-100名 | 101名以上 |
|---|---|---|---|---|
| 製造業・加工業 | 51万円 | 73万円 | 103万円 | 123万円 |
| 建築・建設業 | 51万円 | 71万円 | 97万円 | 129万円 |
| ITサービス | 54万円 | 76万円 | 98万円 | 120万円 |
| システム開発 | 53万円 | 74万円 | 97万円 | 120万円 |
| WEB制作 | 55万円 | 81万円 | 97万円 | – |
| 卸売業・小売業 | 52万円 | 77万円 | 104万円 | 114万円 |
| コンサル業 | 51万円 | 82万円 | 95万円 | 103万円 |
| 保険業 | 58万円 | – | 100万円 | 113万円 |
| 不動産 | 62万円 | – | 97万円 | 113万円 |
※2022年7月調査(ISOプロ調べ)。現在の費用と異なる可能性があるため詳しくはお問合せください。
おおよそではありますが、審査費用・ISO登録料は約50万円~120万円であることがわかります。この他にかかる費用には「人件費」と「コンサルに依頼した場合の料金」が挙げられます。
そこで、ここではISO27001を自社取得・コンサルに依頼した場合にかかる取得費用を比較します。
自社取得した場合
自社取得した場合にかかる取得費用の内訳は、「審査費用・ISO登録料」「審査員の交通費・宿泊費」「人件費」です。| 概要 | 費用相場 | |
|---|---|---|
| 審査費用・ISO登録料 | 取得審査やISOへの登録にかかる費用 | 約50万~120万円 |
| 審査員の交通費・宿泊費 | 取得審査時に、審査機関から現場まで向かうためにかかる交通費(※宿泊費は遠方の場合のみかかる) | 場合による |
| 人件費 | ISO業務にあたるために、本来の業務ができなくなる人数×時間分の人件費のこと | 場合による |
人件費は新たに発生する費用ではありませんが、「見えにくいコスト」として把握することが大切です。例えば、以下のような計算で人件費を算出します。
| ISO担当者の人数 | 1人 |
|---|---|
| 業務時間のうち、ISO業務の割合 | 100%(8時間の勤務時間すべてをISO業務に費やしたとする) |
| ISO27001の取得期間 | 12か月 |
| 給与 | 月収30万円 |
| 合計 | 360万円(12か月×1人×30万円) |
今回の例でいえば、自社取得の場合には400万円以上(約50万~120万円+360万円+審査員の交通費・宿泊費)がかかるイメージです。
コンサルに依頼した場合
コンサルに取得サポートを依頼した場合にかかる取得費用の内訳は、「審査費用・ISO登録料」「審査員の交通費・宿泊費」「人件費」「コンサルティング依頼料」です。コンサルティング業者に依頼した場合は、基本的に月額のコンサルティング料金がかかります。ただし、自社取得の場合と異なり、自社社員が実施する工数や取得期間を大幅に低減できるという特徴があります。
こうした特徴を踏まえて、コンサルに依頼した場合にかかる費用イメージをまとめました。(人件費は自社取得の場合の条件で計算しています。)
| 審査費用 | 約50万~120万円 |
|---|---|
| コンサルティング依頼料 | 約50万~200万円 |
| ISO27001の取得期間 | 6か月 |
| コンサルにより削減できる工数の割合 | 80%(自社社員が行う工数は20%) |
| 人件費 | 360万円×20%=72万円 |
今回の例でいえば、コンサルに依頼して取得する場合には172万円以上(約50万~120万円+約50万~200万円+72万円+審査員の交通費・宿泊費)がかかるイメージです。
このようにコンサルに依頼する方が人件費を抑えられるため、総合的にはコストが安くなる傾向にあります。
ISMS(ISO27001)のコンサル選びはなぜ重要?
ISMS(ISO27001)を取得する際、コンサルにサポートを依頼することで、かかる費用や期間を低減させるなどさまざまなメリットがあると解説しました。
しかし、どのコンサルを選んでも同様のメリットを得られるわけではありません。コンサル選びを失敗すると、期待したようなサポートを受けられない可能性があります。
その理由は、コンサルになるために必要な経験や資格がないためです。コンサル会社によっては、実績があまりないコンサルが担当になってしまうこともあり得るでしょう。
そのためコンサルを選ぶ際は、複数の企業に見積もりを取り、相談することがおすすめです。
ISMSコンサルを選ぶポイント
ここでは、ISMSコンサルを選ぶポイントを紹介します。
コンサルタントの経験
コンサルタントの経験が豊富かどうかは、コンサルティングの質に大きくかかわります。
自社で受け持つ工数や取得スピードはもちろん、構築するマネジメントシステムにおいての適切な対応までもがコンサルタントの質によって変わります。また、取得に時間がかかるほど、コンサルティング費用もかさむ場合もあるため、注意が必要です。
コンサルタントになるための資格や経験が必須ではないからこそ、コンサルティング会社を選ぶ際には、担当コンサルタントの資格や実績について事前に確認しましょう。
自社に適した審査機関の提案が可能か
ISMSの審査機関は国内に50社以上存在します。
取り扱う製品やサービス内容によって選ぶべき審査機関が異なるため、はじめてISMSを取得する場合はどこの審査機関が良いのかを判断するのは難しいものです。
そのため、コンサルティング会社からの審査機関の提案がプランに含まれるのかどうかを確認しましょう。
自社に適切なマネジメントシステム構築の提案が可能か
ISMS認証取得の重要なステップである情報セキュリティマネジメントシステムの体制構築は、取得後の運用にも大きく影響します。
そのため、自社にあった適切なマネジメントシステム体制を提案してくれているかどうかも重要な選定ポイントとなります。
ISMSを取得するためだけの余計なルールを追加していくと、形骸化につながってしまうでしょう。
コンサルタントの経験と同様に、自社に適したマネジメントシステム構築の提案をしてもらえるかどうかは、コンサルティングサービスの質を見分けるポイントのひとつといえます。
サポート体制の充実度
ISMS取得までのサポート体制も事前確認が大切です。
企業によっては対応回数の制限がある場合や、文書作成が対応範囲外の場合もあります。また指導のみで実際に手を動かすのは自社というサービスも存在します。
サポート体制が不十分な場合や自社が求めているものではない場合、自社の負担が多くなり、認証取得コンサルティングを依頼している意味が感じられないこともあるでしょう。
スムーズな取得を実現するためにも、不明な点があった際に気軽に質問ができる会社なのかどうかを確認しておくことが大切です。
また、構築後の運用支援を行っているコンサルティング業者もあるため、継続的なサポートを希望する場合にはそうしたサポートを行っている業者を選択することがおすすめです。
ISOコンサルに依頼した200人の経営者の声
ISO規格の取得をコンサルに依頼した実際の経営者は満足しているのでしょうか。ここでは、ISO規格の取得をコンサルに依頼した200人の経営者・経営幹部を対象に行ったアンケート結果を紹介します。
「コンサルティング企業に対する総合的な満足度を教えてください」という質問したところ、以下のような回答になりました。
- とても満足している(22.5%)
- ある程度は満足している(60.5%)
- あまり満足していない(14.5%)
- まったく満足していない(2.5%)
満足できなかった方も一定数いるものの、8割以上の方がコンサルティングを依頼して満足できているということがわかります。
アンケート調査の詳細は、以下のURLからご覧ください。
ISMSコンサルに依頼したISO27001の取得事例
それでは、最後にISMSコンサルに取得サポートを依頼したISO27001の取得事例を紹介します。
オンウェーブ株式会社
オンウェーブ株式会社は、主に製薬会社への人材紹介を行う企業です。コロナ禍により、在宅勤務が求められるようになり、セキュリティ体制を強化するためにISO27001を取得されました。
実際にコンサルを受けた感想を、インタビューから抜粋しています。
- 打ち合わせ回数や訪問回数の制限がなく、説明や質問に明確に答えてくれた
- 自社の理解度に合わせて、タイミング良く資料を提示してくれた
- 教え方もとても親切でわかりやすかった
- 要点を押さえたコンサルとのセキュリティの仕事はとても楽しく思えた
取得した結果、従業員のセキュリティ意識も高まり、セキュリティが向上したと効果も実感されているとのことでした。
オンウェーブ株式会社の取得事例の詳細は、以下の記事をご覧ください。
PCらいふパソコンレンタルサービス株式会社
PCらいふパソコンレンタルサービス株式会社は、全国各地にパソコンのレンタルサービスを提供している企業です。競合他社の多くがISO27001を取得しており、見積もり時にISO取得有無について確認されることが増えたため、ISO27001を取得されました。
実際にコンサルを受けた感想を、インタビューから抜粋しています。
- 他社と比較して、対応がスピーディーかつ話した印象が良かった会社だった
- 早く取得したいという自社の思いを汲んで、ZOOMを活用してスピーディーに対応してくれた
- ほとんどの工程をコンサルが進めてくれた
- マニュアルの作成もほぼ依頼でき、ヒアリングした内容もマニュアルに落とし込んでくれた
取得した結果、従業員のセキュリティ意識の高まりを実感されていました。また、対外的にPRしていくことで、新規契約にもつながっていくのではないかと期待されているとのことでした。
PCらいふパソコンレンタルサービス株式会社の取得事例の詳細は、以下の記事をご覧ください。
アーズ総合開発株式会社
アーズ総合開発株式会社は、IT業務委託やソフトウェア開発を行っている企業です。
官公庁の事業受託の際にISO27001が応札条件となっていたことや、企業規模の拡大に向けて総合的に情報の管理体制を整理するため、ISO27001を取得されました。
実際にコンサルを受けた感想を、インタビューから抜粋しています。
- 他社と比較して、実績の多さと費用の明確さのある会社だった
- 契約前から丁寧かつスムーズに対応してくれて、とても助かった
- 情報資産管理やリスク管理表のサンプルをもらえたため、「この権限はこの人に割り振ろう」などの具体的な話し合いがしやすかった
- 不明点を質問した際にも、迅速に対応してもらえた
取得した結果、社員のセキュリティ意識の高まりを実感されていました。また、入札できる案件の幅が広がり、実際に新規案件の獲得につながったとのことでした。
アーズ総合開発株式会社の取得事例の詳細は、以下の記事をご覧ください。
まとめ
この記事では、ISO27001取得においてコンサルに依頼すべきかどうかや自社取得との違い、コンサルになるための資格、コンサルを選ぶポイントについて解説しました。
結論として、ISO27001取得はコンサルに依頼することがおすすめです。自社にかかる負担を低減できるうえ、自社の実情に適したマネジメントシステムを構築・運用できるようになります。また、ISO27001取得の審査に通過できる確率も大幅に向上するでしょう。
そのためにも、経験豊富で信頼できるコンサルティング業者を選ぶことが重要です。複数社から見積もりを取るとともに実際に話し合う中で最も納得できる提案をしてくれた業者を選びましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい