ISMS(ISO27001)取得にコンサルタントは必要？取得費用や期間を自社取得と比較

ISMS (ISO27001 )取得支援を行うコンサルティング会社はいくつもありますが、何をポイントに選定したらよいのでしょうか？また、自社取得との違いはどこにあるのでしょうか？
この記事では、ISMS(ISO27001)のコンサルティングの必要性や申請サポートを依頼した際のサービス内容、コンサル依頼料、選定のポイントなどを詳しく解説します。

ISMS(ISO27001)取得にコンサルは必要？

情報セキュリティを管理する仕組みであるISMS(ISO27001)は、情報資産を多く扱う情報通信業界での取得が多いですが、取得にあたってコンサルタントへ依頼する必要はあるのでしょうか？

ISMSを取得するためには、ISMSにおける要求事項 の把握や審査のための書類作成、PDCAの実施などさまざまなノウハウや工数が必要となります。

そのため、知識や経験がない場合には、取得支援をコンサルティング会社へ依頼することがおすすめです。

ISMS(ISO27001)コンサルになるための資格は？

ISMS(ISO27001)のコンサルタントは、どのような人なのでしょうか？ここでは、コンサルタントになるための資格や経験について解説します。

資格は必要か？

ISMSのコンサルティングを行うために必要な資格はありません。ISMSの知識や経験があれば、誰でもコンサルタントになれるということになります。
しかし、コンサルタントの中には情報セキュリティマネジメントシステム審査員（ISO27001審査員）の資格など、情報セキュリティに関する資格を持っている場合もあります。

審査員の経験は必要か？

ISMSのコンサルタントになるためには、審査員の経験は必須ではありません。コンサルティング会社で教育を受けてコンサルタントになる人もいます。
そのため、経験の浅い人がコンサルタントとして自社の担当になる可能性もあります。コンサルタントに依頼しても確実にISMSのプロに対応してもらえるわけではないため、注意が必要です。

ISMS(ISO27001)コンサルが行うサポート内容とは

ISMS(ISO27001)コンサルに取得サポートを依頼すると、どのようなことをしてくれるのでしょうか。以下に、一般的なコンサルタントのサポート内容をまとめました。

• 情報セキュリティ管理の方法の提案
• 審査機関の選定や対応
• ISMS構築・運用のサポート
• 内部監査の実施・マネジメントレビューの実施
• 文書化の作成サポート
• 審査対応サポート

ISO27001には全10章の要求事項があります。ISO27001を取得するには要求事項を満たさなければならないため、企業のISO担当者はまずこの要求事項をすべて理解することが必要です。
さらに、ISO27001はさまざまな業種や実態の組織運営に適合できるように、ある程度柔軟性をもたせた規格となっています。そのため、ISO担当者は要求事項を自社の実情に適した手順や方法に落とし込み、体現しなければなりません。

こうしたISMSを構築・運用する際に必要な情報セキュリティ管理の提案や文書化のサポートなどの実務を、コンサルは行っています。また、審査機関の選定や対応、審査対応のサポートなど事務的なところまでフォローしてくれるところも多くあります。

ISMS(ISO27001)取得にコンサルを依頼するメリット

ISMS(ISO27001)を取得する際に、コンサルティング会社へ依頼するメリットをご紹介します。

取得にかかる負担を減らせる

ISMS認証 を取得するには、ISMSの構築・運用に多くの工程を踏む必要があります。これらにかかる工程の大半以上をプロであるコンサルに依頼できると、本来の業務への支障を大きく減らせるでしょう。

どの程度負担を減らせるのかについては、のちほど詳しく解説します。

自社に適したマネジメントシステムを構築・運用できる

ISO27001を取得するには、ISO27001の示す要求事項を満たすISMSを構築・運用する必要があります。本来、ISO27001ではある程度自社の実情に合わせることが可能なものの、要求事項を満たすことに注視しすぎると、自社に合わない形式ばったマネジメントシステムを構築してしまうことがあります。従業員が活用しにくい体制は次第に形骸化するおそれがあるのです。

信頼できるコンサルティング会社に依頼することで、要求事項を満たしつつ、自社に適したマネジメントシステムを構築・運用できます。

ISMS(ISO27001)を取得しやすくなる

何度もISO27001取得をサポートしてきた実績豊富なコンサルティング業者に依頼することで、審査を通過しやすくなるでしょう。

審査は、一次審査で書類審査ののち、二次審査で審査員が現地に訪れて審査を行います。コンサルティング業者に依頼すると、指摘を受けた場合でも是正処置のサポートも行ってもらえるため、安心して審査を受けられます。

【自社取得】ISMS(ISO27001）の取得費用・期間

次に、ISO27001を自社取得した場合の費用・期間について解説します。

自社取得した場合の取得費用

自社取得した場合の取得費用は、取得にかかった期間と人件費によって異なります。

ISMSの構築・運用にかかる工程をすべて自社社員で行うため、たとえば取得に1年かかり、月収30万円の3人の社員がISO担当として携わったとします。
その場合、12か月×3人×30万円＝1080万円の費用がかかります。見えにくいコストではありますが、人件費を要することは覚えておきたいところです。

また、別途審査費用として50～100万円程度がかかります。

自社取得した場合の取得期間

自社取得した場合の取得期間は、取得範囲の大きさやISO27001取得に関する知識・経験をもつ人材の有無などによって左右されます。

一般的に、一からISMSを構築・運用し、審査を受けて認証を受けられるまでには少なくとも1年以上の期間がかかります。

【コンサル取得】ISMS(ISO27001）の取得費用・期間

それでは、ISO27001をコンサル取得した場合の費用・期間について解説します。

コンサル取得した場合の取得費用

コンサルティング業者に依頼した場合は、基本的に月額のコンサルティング料金がかかります。適用範囲やサービス内容などにより異なりますが、相場をまとめました。

また、自主取得と同様に別途審査費用が50～100万円程度かかります。

コンサル取得した場合の取得期間

コンサルティング業者に依頼した場合、適用範囲やサービス内容などによるものの、想定取得期間は約半年です。早い場合には4か月で取得した例もあります。

自社取得に比べて期間が短い分、月額料金でコンサルティング費用を支払っている場合には費用も抑えられます。それでもISMSの取得には長期的な目線で取り組むことが必要であり、コンサルタントと二人三脚での取得を目指すのがおすすめです。

ISMSコンサルを選ぶポイント

コンサルタントは資格や経験が必須ではないため、自社に適したコンサルティング業者を選定できるかどうかが重要な点といえます。
以下のポイントを踏まえ、適切なコンサルタントを選ぶようにしましょう。

コンサルタントの経験

ISO27001の審査員資格や実績があるコンサルタントが対応してくれるかどうかは、コンサルティングの質に大きくかかわります。
自社で受け持つ工数や取得スピードはもちろん、構築するマネジメントシステムにおいての適切な対応までもがコンサルタントの質によって変わります。また、取得に時間がかかるほど、コンサルティング費用もかさむ場合もあるため、注意が必要です。
コンサルタントになるための資格や経験が必須ではないからこそ、コンサルティング会社を選ぶ際には、担当コンサルタントの資格や実績について事前に確認しましょう。

審査機関の提案

ISMSの審査機関は国内に50社以上存在します。
取り扱う製品やサービス内容によって選ぶべき審査機関が異なるため、はじめてISMSを取得する場合はどこの審査機関が良いのか判断するのも難しいものです。
そのため、コンサルティング会社からの審査機関の提案がプランに含まれるのかどうかを確認しましょう。

ISMS（ISO27001）の審査費用相場（業種＆規模別）

※2022年7月調査（ISOプロ調べ）。現在の費用と異なる可能性があるため詳しくはお問合せください。

自社に適切なマネジメントシステム構築の提案

ISMS認証取得の重要なステップである情報セキュリティマネジメントシステムの体制構築は、取得後の運用にも大きく影響します。
そのため、自社にあった適切なマネジメントシステム体制を提案してくれているかどうかも重要な選定ポイントとなります。

ISMSを取得するためだけの余計なルールを追加していくと、形骸化につながってしまうでしょう。
コンサルタントの経験と同様に、自社に適したマネジメントシステム構築の提案をしてもらえるかどうかは、コンサルティングサービスの質を見分けるポイントのひとつといえます。

サポート体制の充実度

ISMS取得までのサポート体制も事前確認が大切です。企業によっては訪問回数の制限がある場合や、文書作成が対応範囲外の場合もあります。
このようにサポート体制が充実していなければ、自社の負担が多くなり認証取得コンサルティングを依頼している意味が感じられないといったことにもつながりかねません。

スムーズな取得を実現するためにも、不明な点があった際に気軽に質問ができる会社なのかどうかを確認しておくことが大切です。
自社の負担を最小限に減らし、本業に専念しつつISMSの取得が目指せるコンサルタントを選択するようにしましょう。また、構築後の運用支援を行っているコンサルティング業者もあるため、継続的なサポートを希望する場合にはそうしたサポートを行っている業者を選択することがおすすめです。

ISMSコンサルに依頼したISO27001の取得事例

それでは、最後にISMSコンサルに取得サポートを依頼したISO27001の取得事例を紹介します。

オンウェーブ株式会社

オンウェーブ株式会社は、主に製薬会社への人材紹介を行う企業です。コロナ禍により、在宅勤務が求められるようになり、セキュリティ体制を強化するためにISO27001を取得されました。

実際にコンサルを受けた感想を、インタビューから抜粋しています。

• 打ち合わせ回数や訪問回数の制限がなく、説明や質問に明確に答えてくれたコンサルを選んだ
• 自社の理解度に合わせて、タイミング良く資料を提示してくれた
• 教え方もとても親切でわかりやすかった
• 要点を押さえたコンサルとのセキュリティの仕事はとても楽しく思えた

取得した結果、従業員のセキュリティ意識も高まり、セキュリティが向上したと効果も実感されているとのことでした。

オンウェーブ株式会社の取得事例の詳細は、以下の記事をご覧ください。

PCらいふパソコンレンタルサービス株式会社

PCらいふパソコンレンタルサービス株式会社は、全国各地にパソコンのレンタルサービスを提供している企業です。競合他社の多くがISO27001を取得しており、見積もり時にISO取得有無について確認されることが増えたため、ISO27001を取得されました。

実際にコンサルを受けた感想を、インタビューから抜粋しています。

• 他社と比較して、対応がスピーディーかつ話した印象が良かった会社を選んだ
• 早く取得したいという自社の思いを汲んで、ZOOMを活用してスピーディーに対応してくれた
• ほとんどの工程をコンサルが進めてくれた
• マニュアルの作成もほぼ依頼でき、ヒアリングした内容もマニュアルに落とし込んでくれた

取得した結果、従業員のセキュリティ意識の高まりを実感されていました。また、対外的にPRしていくことで、新規契約にもつながっていくのではないかと期待されているとのことでした。

PCらいふパソコンレンタルサービス株式会社の取得事例の詳細は、以下の記事をご覧ください。

アーズ総合開発株式会社

アーズ総合開発株式会社は、IT業務委託やソフトウェア開発を行っている企業です。官公庁の事業受託の際にISO27001が応札条件となっていたことや、企業規模の拡大に向けて総合的に情報の管理体制を整理するため、ISO27001を取得されました。

実際にコンサルを受けた感想を、インタビューから抜粋しています。

• 他社と比較して、実績の多さと費用の明確さのある会社を選んだ
• 契約前から丁寧かつスムーズに対応してくれて、とても助かった
• 情報資産管理やリスク管理表のサンプルをもらえたため、「この権限はこの人に割り振ろう」などの具体的な話し合いがしやすかった
• 不明点を質問した際にも、迅速に対応してもらえた

取得した結果、社員のセキュリティ意識の高まりを実感されていました。また、入札できる案件の幅が広がり、実際に新規案件の獲得につながったとのことでした。

アーズ総合開発株式会社の取得事例の詳細は、以下の記事をご覧ください。

まとめ

この記事では、ISO27001取得においてコンサルに依頼すべきかどうかや自社取得との違い、コンサルになるための資格、コンサルを選ぶポイントについて解説しました。

結論として、ISO27001取得はコンサルに依頼することがおすすめです。自社にかかる負担を低減できるうえ、自社の実情に適したマネジメントシステムを構築・運用できるようになります。また、ISO27001取得の審査に通過できる確率も大幅に向上するでしょう。

そのためにも、経験豊富で信頼できるコンサルティング業者を選ぶことが重要です。複数社から見積もりを取るとともに実際に話し合う中で最も納得できる提案をしてくれた業者を選びましょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。