ISMS(ISO27001)コンサルとは?支援内容・費用・失敗しない選び方を解説
FAQISO27001のコンサルに関するよくある質問
自力で取得するのと、コンサルに依頼するのはどっちが良いの?
効率的に自社に適したISOを構築するならコンサルへの依頼がおすすめです。
自力での取得とコンサルへの依頼は、費用はどちらが安いですか?
自社で取得する場合は、人件費がコンサルティング依頼料より高くなる傾向があります。
コンサル会社を選ぶ場合にみた方が良いポイントはありますか?
コンサル選定では、サポート体制や実績、自社に合ったISOを構築してもらえるかを見ることをおすすめします。
ISMS(ISO27001)取得支援を行うコンサルティング会社はいくつもありますが、どのようなポイントで選定すべきしょうか?また、自社取得との違いはどこにあるのでしょうか?
この記事では、ISMS(ISO27001)のコンサルティングの必要性や申請サポートを依頼した際のサービス内容、コンサル依頼料、選定のポイントなどを詳しく解説します。
目次
ISMS(ISO27001)コンサルとは?
ISMSコンサルとは、企業の情報セキュリティマネジメントシステム(ISMS)の構築・運用やISO27001認証の取得をサポートする専門家です。
ISMS(ISO27001)のコンサルタントは、どのような人なのでしょうか?ここでは、コンサルタントの役割やサポート内容について解説します。
ISMSコンサルの役割
ISMSコンサルの主な役割は、企業がISO27001を取得できるようにサポートすることです。
ISO27001を取得するには、情報の取り扱いに関する社内ルールを整備し、継続的に管理できる仕組みを構築する必要があります。しかし、何から始めればいいのか分からない企業も少なくありません。
ISMSコンサルは、そうした企業に対して以下のような点をわかりやすく説明しながら、一緒に準備を進めていきます。
- どの順番で進めるべきか
- どんなルールを作る必要があるか
- 審査でどのような点を確認されるのか
また、認証を取得することがゴールではありません。取得後もルールを守り、改善を続けていく必要があります。そのため、コンサルは取得後も運用できる仕組みを整えることを大切にしています。
ISMSコンサル会社が行うサポート内容
ISMSコンサルティング会社は、ISO27001の取得準備から審査対応、取得後の運用までを幅広く支援します。主なサポート内容は以下のとおりです。
| サポート内容 | 具体的な支援内容 |
|---|---|
| 情報セキュリティ管理方法の提案 | 企業の事業内容や規模に合わせた管理体制や運用方法を提案します。 |
| ISMS構築・運用支援 | 規格の要求事項に沿って、管理体制の整備や運用ルールの策定を支援します。 |
| 文書作成サポート | 規程・手順書・記録様式など、審査に必要な文書の整備を支援します。 |
| 内部監査・マネジメントレビュー支援 | 内部監査の実施方法の指導や、経営層によるレビュー実施のサポートを行います。 |
| 審査機関の選定・審査対応支援 | 審査機関の提案から、事前準備、審査当日の対応までをサポートします。 |
またコンサルティング会社によっては、上記サポートの他にも、「6か月以内の取得を目指すオプション」「自立した運用を実現するオプション」「経営コンサルティング」などのさまざまなオプションを用意しているところもあります。
柔軟にサポート内容やオプションをカスタマイズできるコンサルティング会社を選ぶことで、希望に沿ったサポートを受けられるでしょう。
ISMS(ISO27001)コンサル会社の4タイプを比較
ISMSコンサル会社は、サポート形式によって大きく4つのタイプに分けられます。
- 事務局型:自社のISO事務局員としてチームを組み、すべての工程のサポートを行うタイプ
- 代行型:すべての作業をコンサルが代行するタイプ
- 指導型:顧問のような立ち位置でアドバイスのみを行い、自社で対応するタイプ
- ツール型:マネジメントシステムの構築サポートツールを契約し、ツールを利用して取り組むタイプ
以下に、それぞれのタイプの費用相場やサポートの特徴などをまとめました。自社に合ったタイプのコンサルティング会社を選定する際の参考にしてください。
| 事務局型 | 代行型 | 指導型 | ツール型 | |
|---|---|---|---|---|
| 費用相場 | 4万円~/月 | 3万円~/月 | 数十~数百万円 | 4万円~/月 |
| サポート内容 | ISO事務局として対応 | ほぼすべてを代行 | サポートというよりも指導中心 | 自社で取り組む必要がある |
| 自社の工数 | 少ない | 少ない | 大きい | 大きい |
| サポートの特徴 | 企業に合わせて柔軟に構築 | 企業の意向とは関係なく、ひな型で構築する傾向あり | 大企業と同レベルのISMSを構築する傾向あり | 要求事項のためだけの文書類が生まれやすい |
| 備考 | 柔軟な活動が可能 | 作業をほぼ丸投げするため、運用時に困ることも | 高額な費用が必要になることがある | ツールの理解も必要になり、負担がかかりやすい |
はじめてISO27001に取り組む企業の場合、取得まで伴走しつつ、自社にもノウハウを残せる事務局型が、おすすめです。
ISMS(27001)取得にかかる費用相場
ISMS(ISO27001)の取得には、主に「審査費用」と「コンサル費用」の2つがかかります。
ここでは、それぞれの費用相場を詳しく解説します。
審査費用
ISO27001の審査費用の相場は約50万円~120万円です。業種や会社規模によって異なるため、詳しい費用目安を以下にまとめました。
| 業種 | 1-20名 | 21-50名 | 51-100名 | 101名以上 |
|---|---|---|---|---|
| 製造業・加工業 | 51万円 | 73万円 | 103万円 | 123万円 |
| 建築・建設業 | 51万円 | 71万円 | 97万円 | 129万円 |
| ITサービス | 54万円 | 76万円 | 98万円 | 120万円 |
| システム開発 | 53万円 | 74万円 | 97万円 | 120万円 |
| WEB制作 | 55万円 | 81万円 | 97万円 | – |
| 卸売業・小売業 | 52万円 | 77万円 | 104万円 | 114万円 |
| コンサル業 | 51万円 | 82万円 | 95万円 | 103万円 |
| 保険業 | 58万円 | – | 100万円 | 113万円 |
| 不動産 | 62万円 | – | 97万円 | 113万円 |
※2022年7月調査(ISOプロ調べ)。現在の費用と異なる可能性があるため詳しくはお問合せください。
その他の審査関連費用として、以下の2つもあります。
- ISO登録料:3万~5万円
- 審査員の交通費・宿泊費
これらも別途必要になるため、あらかじめ審査機関に確認しておきましょう。
コンサル費用
ISMS(ISO27001)コンサルタントを利用した場合のコンサルティング費用相場は、約25万円~200万円です。その多くが月額制を採用しており、月額約3万円~が一般的です。
費用は以下のような要素で変動するため、複数のコンサル会社から見積もりを取るようにしましょう。
- 企業の規模
- 業種
- 拠点数
- サポート内容(部分サポートか、フルサポートかなど)
- 取得までの期間
小規模企業で限定的なサポートを依頼する場合、25万円程度で抑えられることもある一方、複数部門を含む規模が大きめの企業やフルサポートを希望する場合には150万円以上になるケースもあります。
ISMS(ISO27001)コンサル依頼時の認証取得の流れ
ここでは、ISMS(ISO27001)コンサルを依頼した場合の一般的な認証取得の流れを解説します。
1.ヒアリング
まず、ISMSコンサルタントが、認証取得の目的や経緯を把握するためにヒアリングを実施します。このヒアリングを通じて、企業の現状を把握し、最適なサポート方針を策定します。
また、認証取得に向けたスケジュール、ガントチャートなどをコンサルが作成し、具体的な取り組みを開始します。
2.ISMSの構築・運用支援
ISO27001の要求事項を満たすISMSの構築・運用を行います。
具体的には情報資産の洗い出し、セキュリティリスクの特定・評価を行うリスクアセスメント、管理策の選定など、情報セキュリティ体制を整備します。また構築後は、実際の業務にISMSを落とし込み、運用の定着を図ります。
コンサルタントによる実務支援を受けながら、規程やマニュアル類の整備、教育訓練などを実施するため、自社に合ったISMSの構築・運用が可能です。
3.内部監査・審査対応
ISMS運用を一定期間実施したら、社内の人員による内部監査を実施します。
内部監査員は、コンサルタントによる内部監査の手順やチェックリストの作成支援を受けながら作業を実施してください。またコンサルに代行依頼できる場合には、日程調整のみが求められます。
登録審査では、審査機関の審査員によって「ISO27001の要求事項に適合しているか」を確認されます。審査で指摘を受けた場合には、コンサルのサポートを受けて対応できるため、スムーズな修正が見込めます。
4.認証後の維持・更新サポート
ISO27001は、認証取得がゴールではなく、継続的な改善が求められる制度です。
そのため、取得後も運用を継続し、内部監査・マネジメントレビューなどを適切に行う必要があります。
こうした運用維持においても、ISMSコンサルに依頼することで支援を受けられます。更新審査に向けた準備や体制強化、情報セキュリティ対策の見直しなどが期待できるでしょう。
失敗しない!ISMSコンサルを選ぶ4つのポイントとは?
ISMSコンサル選びを失敗しないためには、「自社に適したコンサルを選べるかどうか」が非常に重要です。しかし、自社に合っているコンサルを選ぶ基準がわからないという担当者の方も多いでしょう。
ここでは、ISMSコンサル選定時に必ず確認しておきたい4つのポイントを紹介します。
担当コンサルの質が高いか
実際に支援を担当するコンサルタントの経験や支援実績は、成果に直結します。
経験が豊富な担当者であれば、無駄のない進め方を提案できるため、取得までの期間や社内負担を抑えやすくなります。一方で、経験が浅い場合は手戻りが発生し、結果的に時間や費用がかかることもあります。
確認すべき項目は以下のとおりです。
- ISO27001の支援実績
- 担当予定者の経験年数
- 過去の対応業種
各コンサルティング会社の強みを見極める
「取得保証がある」「スピード取得が得意」「取得後の運用サポートに強い」など、会社ごとに方針やサポート範囲が異なるため、自社の目的に合った強みを持つコンサル会社を選ぶことが大切です。ISMSコンサル会社ごとに、得意分野や支援方針が異なるため、自社の状況に合う会社を選ぶ必要があります。
そのためには、複数のISMSコンサル会社に相談して、各担当者と実際にコミュニケーションを取ることがおすすめです。
自社に適切なマネジメントシステム構築の提案が可能か
ISMS認証取得において、自社にあった適切なISMS体制を提案してくれているかどうかは、非常に重要な選定ポイントです。
ISMSを取得するためだけの余計なルールを追加していくと、形骸化につながってしまうでしょう。
コンサルの経験と同様に、自社に適したマネジメントシステム構築の提案をしてもらえるかどうかは、認証取得コンサル会社における支援サービスの質を見分けるポイントのひとつといえます。
サポート内容の充実度
ISMSコンサルを選ぶ際は、ISMS取得までのサポート内容の事前確認が大切です。
会社によっては以下のようなケースが考えられます。
- 訪問回数に制限がある
- 文書作成は対象外
- アドバイスのみで実作業は自社対応
サポート体制が不十分な場合には自社の負担が多くなり、認証取得コンサルティングを依頼している意味が感じられないこともあるでしょう。
「どこまで支援してもらえるのか」「追加費用は発生するのか」「不明点を気軽に相談できる体制かどうか」を確認しましょう。
また、取得後の運用支援まで対応しているかどうかも、長期的な視点では重要な判断材料となります。
ISMS(ISO27001)コンサルを利用すべき企業はどんな会社?
ISMSコンサルを利用すべき企業は、「自社だけでの取得に不安がある企業」です。
ISO27001の取得には、規格の理解だけでなく、体制整備や審査対応まで幅広い対応が必要になるため、想定以上に負担が大きくなることもあります。
そのため、確実かつ効率的に取得を進めたい企業にとって、コンサルの活用は有効な選択肢といえます。
ここでは、ISMSコンサルを利用すべき企業の特徴を解説します。
ISMS専門人材が社内にいない会社
社内にISMS(ISO27001)の知識をもつ人材がいない場合、外部の専門家によるサポートを受けることが効果的です。
ISMS(ISO27001)取得は、一般的に6か月~1年程度の時間をかけて、必要事項に取り組む必要があります。精通した人材がいないまま取得を進めると、規格の解釈ミスや書類不備による不適合が発生しやすく、審査対応に余計な時間とコストがかかるリスクがあります。
ISMSコンサルは、情報セキュリティ管理を熟知しており、リスクアセスメントや文書管理、内部監査の実施方法までトータルに指導してくれます。担当者が一から規格を理解する負担を軽減し、効率的に体制を整えることが可能です。
特に、中小企業では専任のISO担当者を配置するのが難しいため、専門知識を持つISMSコンサルを活用することを検討しましょう。
取得にかかる作業量を減らしたい会社
ISMS認証を取得するには、ISMSの構築・運用に多くの工程を実施する必要があります。
そのため自社取得であれば、本業とISMS認証取得のための業務を両立しなければならず、大きな負担がかかります。
しかし、ISMSコンサルに依頼することで、自社社員が実施する業務の大部分をコンサルに委託できるため、本来の業務への支障を大きく減らせるでしょう。
特に、事務局型や代行型のコンサルであれば、社内の負担を最小限にしつつ短期間での認証取得も可能です。「担当者が他業務と兼任している企業」「はじめてISMSに取り組む企業」であれば、ISMSコンサルの活用による作業の負担軽減効果は大きいといえます。
自社の実情に合ったISMSを構築したい会社
ISO27001を取得するには、要求事項を満たすISMSを構築・運用することが必要です。
しかし、ISO27001の要求事項を満たすことに注視しすぎた結果、自社の実情に合わない形式ばったISMSの構築につながります。
実際の業務フローや組織文化に合わない仕組みを構築してしまうと、運用が形骸化し、せっかく取得した認証が形だけのものになってしまいます。
そのため、「要求事項を満たすISMS」と「自社の実情に合ったISMS」を両立させ、現場に定着するISMSを構築したい企業は、ノウハウや経験が豊富なコンサルにサポート依頼することがおすすめです。
短時間で確実にISO27001を取得したい会社
ISO27001の認証審査では、規格要求事項の理解不足や文書不備、運用記録の欠落などにより不適合が指摘されるケースも少なくありません。
コンサル会社を活用すれば、審査でチェックされやすいポイントを事前に対策できるため、確実な取得を目指せます。
また、認証取得後の運用改善や更新審査にも対応しているコンサル会社であれば、長期的にセキュリティ体制を維持・強化することが可能です。
【200人の経営者に聞いた】ISOコンサルに依頼して満足できた?
ISO規格の取得をコンサルに依頼した実際の経営者は満足しているのでしょうか。ここでは、ISO規格の取得をコンサルに依頼した200人の経営者・経営幹部を対象に行ったアンケート結果を紹介します。
「コンサルティング企業に対する総合的な満足度を教えてください」という質問したところ、以下のような回答になりました。
- とても満足している(22.5%)
- ある程度は満足している(60.5%)
- あまり満足していない(14.5%)
- まったく満足していない(2.5%)
満足できなかった方も一定数いるものの、8割以上の方がコンサルティングを依頼して満足できているということがわかります。
アンケート調査の詳細は、以下のURLからご覧ください。
ISMSコンサルに依頼したISO27001の取得事例
それでは、最後にISMSコンサルに取得サポートを依頼したISO27001の取得事例を紹介します。
オンウェーブ株式会社
オンウェーブ株式会社は、主に製薬会社への人材紹介を行う企業です。コロナ禍により、在宅勤務が求められるようになり、セキュリティ体制を強化するためにISO27001を取得されました。
実際にコンサルを受けた感想を、インタビューから抜粋しています。
- 打ち合わせ回数の制限がなく、説明や質問に明確に答えてくれた
- 自社の理解度に合わせて、タイミング良く資料を提示してくれた
- 教え方もとても親切でわかりやすかった
- 要点を押さえたコンサルとのセキュリティの仕事はとても楽しく思えた
取得した結果、従業員のセキュリティ意識も高まり、セキュリティが向上したと効果も実感されているとのことでした。
オンウェーブ株式会社の取得事例の詳細は、以下の記事をご覧ください。
PCらいふパソコンレンタルサービス株式会社
PCらいふパソコンレンタルサービス株式会社は、全国各地にパソコンのレンタルサービスを提供している企業です。競合他社の多くがISO27001を取得しており、見積もり時にISO取得有無について確認されることが増えたため、ISO27001を取得されました。
実際にコンサルを受けた感想を、インタビューから抜粋しています。
- 他社と比較して、対応がスピーディーかつ話した印象が良かった会社だった
- 早く取得したいという自社の思いを汲んで、ZOOMを活用してスピーディーに対応してくれた
- ほとんどの工程をコンサルが進めてくれた
- マニュアルの作成もほぼ依頼でき、ヒアリングした内容もマニュアルに落とし込んでくれた
取得した結果、従業員のセキュリティ意識の高まりを実感されていました。また、対外的にPRしていくことで、新規契約にもつながっていくのではないかと期待されているとのことでした。
PCらいふパソコンレンタルサービス株式会社の取得事例の詳細は、以下の記事をご覧ください。
アーズ総合開発株式会社
アーズ総合開発株式会社は、IT業務委託やソフトウェア開発を行っている企業です。
官公庁の事業受託の際にISO27001が応札条件となっていたことや、企業規模の拡大に向けて総合的に情報の管理体制を整理するため、ISO27001を取得されました。
実際にコンサルを受けた感想を、インタビューから抜粋しています。
- 他社と比較して、実績の多さと費用の明確さのある会社だった
- 契約前から丁寧かつスムーズに対応してくれて、とても助かった
- 情報資産管理やリスク管理表のサンプルをもらえたため、「この権限はこの人に割り振ろう」などの具体的な話し合いがしやすかった
- 不明点を質問した際にも、迅速に対応してもらえた
取得した結果、社員のセキュリティ意識の高まりを実感されていました。また、入札できる案件の幅が広がり、実際に新規案件の獲得につながったとのことでした。
アーズ総合開発株式会社の取得事例の詳細は、以下の記事をご覧ください。
ISMSコンサル利用に関するよくある質問
ここでは、ISMSコンサル利用に関するよくある質問をQ&A形式でまとめました。
Q:どこまで作業を代行してもらえるの?
契約プランによりますが、基本的には社内規定やマニュアルの作成、リスク分析の準備、内部監査の実施、そして審査への立ち会いまで幅広く支援を受けられます。
ただし、コンサルティング会社や契約プランによって代行の範囲は異なるため、事前に確認することが大切です。
Q:ISMSコンサルに依頼する場合、まず何をするの?
最初に行うのは現状のヒアリングと、規格の基準と自社の実態を比較するギャップ分析です。
認証取得のために不足している要素を洗い出し、目標時期に向けた具体的なロードマップを作成することからスタートします。
Q:ISMSコンサルに依頼した場合、社内担当者は何をすれば良い?
コンサルタントが作成したルールが自社の業務と乖離していないかの確認や、社内への周知、そして最終的な意思決定が主な役割となります。
実務的な作業はコンサルタントに任せ、担当者は社内の体制整備や調整に注力する形になります。
まとめ
この記事では、ISO27001取得においてコンサルに依頼すべきかどうかや自社取得との違い、コンサルになるための資格、コンサルを選ぶポイントについて解説しました。
結論として、ISO27001取得はコンサルに依頼することがおすすめです。自社にかかる負担を低減できるうえ、自社の実情に適したマネジメントシステムを構築・運用できるようになります。また、ISO27001取得の審査に通過できる確率も大幅に向上するでしょう。
そのためにも、経験豊富で信頼できるコンサルティング業者を選ぶことが重要です。複数社から見積もりを取り、直接話したうえで最も納得のいく提案をしてくれた会社を選ぶのがおすすめです。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい