ISMS(ISO27001)コンサルとは?失敗しない選び方と注意点を徹底解説
- 効率的に自社に適したISOを構築するならコンサルへの依頼がお勧め
- 自社で取得する場合は、人件費がコンサルティング依頼料より高くなりがち
- コンサル選定では、サポート体制や実績、自社にあったISOを構築してもらえるかを見る
ISMS(ISO27001)取得支援を行うコンサルティング会社はいくつもありますが、何をポイントに選定したらよいのでしょうか?また、自社取得との違いはどこにあるのでしょうか?
この記事では、ISMS(ISO27001)のコンサルティングの必要性や申請サポートを依頼した際のサービス内容、コンサル依頼料、選定のポイントなどを詳しく解説します。
目次
ISMS(ISO27001)コンサルとは?
ISMSコンサルとは、企業の情報セキュリティマネジメントシステム(ISMS)の構築・運用やISO27001認証の取得をサポートする専門家を指します。
ISMS(ISO27001)のコンサルタントは、どのような人なのでしょうか?ここでは、コンサルタントになるための資格や経験について解説します。
ISMSコンサルに必要な資格・経験
ISMSのコンサルティングを行うために必要な資格や経験はありません。ISMSの知識や経験があれば、誰でもコンサルタントになれます。
しかし、企業の経営方針や事業内容に合わせたISMSの構築・運用をサポートするため、会社経営に関する知識や理解力も必要です。
一般的には、以下のような経験の人がISMSコンサルタントになります。
- コンサルティング会社で教育を受けてコンサルタントになった人
- ISO27001取得企業でISO担当者として、ISMS構築・運用に主体的に携わった経験がある人
- 情報セキュリティマネジメントシステム審査員(ISO27001審査員)などの資格を保有している人
ISMSコンサル会社のサポート内容とは
ISMSコンサルティング会社が提供している一般的なサポート内容をまとめました。
- 情報セキュリティ管理の方法の提案
- 審査機関の選定や対応
- 要求事項に沿ったISMS構築・運用のサポート
- 内部監査の実施・マネジメントレビューの実施
- 文書化の作成サポート
- 審査対応サポート
またコンサルティング会社によっては、上記サポートの他にも、「6か月以内の取得を目指すオプション」「自立した運用を実現するオプション」「経営コンサルティング」などのさまざまなオプションを用意しているところもあります。
柔軟にサポート内容やオプションをカスタマイズできるコンサルティング会社を選ぶことで、「費用を抑えたい」「取得後に自力で運用したい」「審査に付き添ってほしい」といった希望に沿ったサポートを受けられるでしょう。
ISMSコンサル会社の4つのサポートタイプ
ISMSコンサル会社は、企業のニーズに応じてサポート方式が異なります。代表的な4タイプの特徴をまとめました。
- 事務局型:自社のISO事務局員としてチームを組み、すべての工程のサポートを行うタイプ
- 代行型:すべての作業をコンサルが代行するタイプ
- 指導型:顧問のような立ち位置でアドバイスのみを行い、自社で対応するタイプ
- ツール型:マネジメントシステムの構築サポートツールを契約し、ツールを利用し取り組むタイプ
| 事務局型 | 代行型 | 指導型 | ツール型 | |
|---|---|---|---|---|
| 費用相場 | 4万円~/月 | 3万円~/月 | 数十~数百万円 | 4万円~/月 |
| サポート内容 | ISO事務局として対応 | ほぼすべてを代行 | サポートというよりも指導 | 自社で取り組む必要がある |
| 自社の工数 | 少ない | 少ない | 大きい | 大きい |
| サポートの特徴 | 企業に合わせて柔軟に構築 | 企業の意向とは関係なく、ひな型で構築する傾向あり | 大企業と同レベルのISMSを構築する傾向あり | 要求事項のためだけの文書類が生まれやすい |
| 備考 | 柔軟な活動が可能 | 作業をほぼ丸投げするため、運用時に困ることも | 高額な費用が必要になることがある | ツールの理解も必要になり、負担がかかりやすい |
それぞれタイプによってサポート内容が異なるため、自社に合ったタイプのコンサルティング会社を選定しましょう。
ISMS(ISO27001)コンサルに依頼すべき会社の特徴
ISMS(ISO27001)を取得する際に、コンサルティング会社に取得サポートを依頼すべき会社の特徴を4つ紹介します。
ISMS(ISO27001)に精通した人材が不足している会社
社内にISMS(ISO27001)の知識をもつ人材がいない場合、外部の専門家によるサポートを受けることが効果的です。
ISMS(ISO27001)取得は、一般的に6か月~1年程度の時間をかけて、必要事項に取り組む必要があります。精通した人材がいないまま取得を進めると、規格の解釈ミスや書類不備による不適合が発生しやすく、審査対応に余計な時間とコストがかかるリスクがあります。
ISMSコンサルは、情報セキュリティ管理を熟知しており、リスクアセスメントや文書管理、内部監査の実施方法までトータルに指導してくれます。担当者が一から規格を理解する負担を軽減し、効率的に体制を整えることが可能です。
特に、中小企業では専任のISO担当者を配置するのが難しいため、専門知識を持つISMSコンサルを活用することを検討しましょう。
取得にかかる作業量を低減したい会社
ISMS認証を取得するには、ISMSの構築・運用に多くの工程を実施する必要があります。
そのため自社取得であれば、本業とISMS認証取得のための業務を両立しなければならず、大きな負担がかかります。
しかし、ISMSコンサルに依頼することで、自社社員が実施する業務の大部分をコンサルに委託できるため、本来の業務への支障を大きく減らせるでしょう。
特に、事務局型や代行型のコンサルであれば、社内の負担を最小限にしつつ短期間での認証取得も可能です。「担当者が他業務と兼任している企業」「はじめてISMSに取り組む企業」であれば、ISMSコンサルの活用による作業の負担軽減効果は大きいといえます。
自社の実情に合ったISMSを構築したい会社
ISO27001を取得するには、要求事項を満たすISMSを構築・運用することが必要です。
しかし、ISO27001の要求事項を満たすことに注視しすぎた結果、自社の実情に合わない形式ばったISMSの構築につながります。
実際の業務フローや組織文化に合わない仕組みを構築してしまうと、運用が形骸化し、せっかく取得した認証が形だけのものになってしまいます。
そのため、「要求事項を満たすISMS」と「自社の実情に合ったISMS」を両立させ、現場に定着するISMSを構築したい企業は、ノウハウや経験が豊富なコンサルにサポート依頼することがおすすめです。
ISO27001を確実に取得したい会社
ISO27001の認証審査では、規格要求事項の理解不足や文書不備、運用記録の欠落などにより不適合が指摘されるケースも少なくありません。
コンサル会社を活用すれば、審査でチェックされやすいポイントを事前に対策できるため、確実な取得を目指せます。
また、認証取得後の運用改善や更新審査にも対応しているコンサル会社であれば、長期的にセキュリティ体制を維持・強化することが可能です。
ISMS(27001)取得にかかる費用相場
ここでは、ISMS(ISO27001)の取得にかかる主な費用として、審査費用とコンサル費用について解説します。
審査費用
ISO27001の審査費用の相場は約50万円~120万円です。審査費用は、業種や会社規模によって異なるため、詳しい相場を以下にまとめました。
| 業種 | 1-20名 | 21-50名 | 51-100名 | 101名以上 |
|---|---|---|---|---|
| 製造業・加工業 | 51万円 | 73万円 | 103万円 | 123万円 |
| 建築・建設業 | 51万円 | 71万円 | 97万円 | 129万円 |
| ITサービス | 54万円 | 76万円 | 98万円 | 120万円 |
| システム開発 | 53万円 | 74万円 | 97万円 | 120万円 |
| WEB制作 | 55万円 | 81万円 | 97万円 | – |
| 卸売業・小売業 | 52万円 | 77万円 | 104万円 | 114万円 |
| コンサル業 | 51万円 | 82万円 | 95万円 | 103万円 |
| 保険業 | 58万円 | – | 100万円 | 113万円 |
| 不動産 | 62万円 | – | 97万円 | 113万円 |
※2022年7月調査(ISOプロ調べ)。現在の費用と異なる可能性があるため詳しくはお問合せください。
また、審査関連でかかる費用として、以下の2つもあります。
- ISO登録料:3万~5万円
- 審査員の交通費・宿泊費
コンサル費用
ISMS(ISO27001)認証を取得する際にコンサルを利用すると、「コンサルティング費用」が発生します。
金額は、企業の規模・業種・拠点数・サポート内容などによって変動しますが、依頼料の目安はおおよそ25万円~200万円前後が一般的です。多くのコンサルティング会社は、サポートを月額制にしており、1か月あたり約3万円~となっています。
例えば、小規模企業で限定的なサポートを依頼する場合は25万円~程度で抑えられることもある一方、複数部門を含む規模が大きめの企業やフルサポートを希望する場合には150万円以上になるケースもあります。
ISMS(ISO27001)コンサル選びのよくある失敗
コンサル会社によってサポート内容やサポートの方針、料金プラン、コンサルの能力・実績などが異なるため、選び方を失敗すると「期待したような効果が得られなかった」「思ったように進まなかった」と後悔につながることもあります。
そこで、ここではコンサル選びのよくある失敗について解説します。
自社に合わないサポート形態を選んでしまう
ISMSコンサルには、「事務局型」「代行型」「指導型」「ツール型」など、さまざまなタイプがあります。しかし、自社の体制や目的を十分に考慮せずに契約してしまうと、かえって非効率になることもあります。
例えば、ツール型はコストを抑えやすい反面、社内での主体的な運用が求められるため、知識やリソースが不足している企業には不向きです。
一方で、事務局型コンサルは、社内の一員としてISMSの構築・運用をサポートしてくれるため、はじめて認証取得に取り組む企業にも安心です。
そのため、「どのタイプのコンサルが最適かわからない」という不安がある場合は、事務局型を選ぶことがおすすめです。自社の体制を維持しつつ専門家のサポートを受けられるため、柔軟かつ確実に進められます。
担当コンサルとの価値観・コミュニケーション面が合わない
ISMS認証の取得は、数カ月から半年以上の期間をかけて進める長期プロジェクトです。そのため、担当コンサルタントとの相性は成果を大きく左右します。
「連絡が取りにくい」「専門用語ばかりで説明がわかりづらい」「社内事情を理解してもらえない」といったすれ違いが重なると、社内のモチベーション低下にもつながります。
契約前には、打ち合わせの段階で担当コンサルの対応姿勢や説明の丁寧さを確認することが大切です。実際にプロジェクトを担当する人物が誰なのかを明確にし、信頼関係を築ける相手かどうか見極めましょう。
自社に適した審査機関の提案をしてもらえない
ISMS(ISO27001)の認証は、どの審査機関を選ぶかによって審査基準や進行スピード、審査で重視するポイントなどが異なります。コンサル会社の中には、自社と関係値がある審査機関を優先的に提案するケースもあり、その結果、自社の希望に合わない審査機関を選んでしまうこともあります。
信頼できるISMSコンサルであれば、複数の選択肢を提示し、自社の業種・体制・スケジュールに最適な審査機関を提案してくれます。そのため、契約前に「審査機関の提案が可能か」「審査機関の提案の基準」について確認しておくと安心です。
ISMSコンサルを選ぶポイント
一言にISMSコンサルといっても、担当者のスキルやサポート体制、得意分野は会社によって大きく異なります。コンサル選びを失敗しないために、ここでISMSコンサルを選ぶポイントを紹介します。
担当コンサルの質が高いか
コンサルの経験が豊富かどうかは、コンサルティングの質に大きくかかわります。
自社で受け持つ工数や取得スピードはもちろん、構築するマネジメントシステムにおいての適切な対応までもがコンサルの質によって変わります。また、取得に時間がかかるほど、コンサルティング費用もかさむ場合もあるため、注意が必要です。
コンサルになるための資格や経験が必須ではないからこそ、コンサルティング会社を選ぶ際には、担当コンサルの資格や実績について事前に確認しましょう。
各コンサルティング会社の強みを見極める
ISMSコンサル会社は、それぞれに特徴や得意分野があります。
「取得保証がある」「スピード取得が得意」「取得後の運用サポートに強い」など、会社ごとに方針やサポート範囲が異なるため、自社の目的に合った強みを持つコンサル会社を選ぶことが大切です。
そのためには、複数のISMSコンサル会社の見積もり・相談を受け、各担当者と実際にコミュニケーションを取ることがおすすめです。特に、自社と似た業種や規模の会社のコンサルティング経験がある場合には、適切なサポートを受けられる可能性が高まるため、確認してみてください。
自社に適切なマネジメントシステム構築の提案が可能か
ISMS認証取得において、自社にあった適切なISMS体制を提案してくれているかどうかは、非常に重要な選定ポイントです。
ISMSを取得するためだけの余計なルールを追加していくと、形骸化につながってしまうでしょう。
コンサルの経験と同様に、自社に適したマネジメントシステム構築の提案をしてもらえるかどうかは、コンサルティングサービスの質を見分けるポイントのひとつといえます。
サポート内容の充実度
ISMSコンサルを選ぶ際は、ISMS取得までのサポート内容の事前確認が大切です。
企業によっては対応回数の制限がある場合や、文書作成が対応範囲外の場合もあります。また指導のみで実際に作業するのは自社の社員、というサービスも存在します。
サポート体制が不十分な場合や自社が求めているものではない場合、自社の負担が多くなり、認証取得コンサルティングを依頼している意味が感じられないこともあるでしょう。
スムーズな取得を実現するためにも、不明な点があった際に気軽に質問ができる会社なのかどうかを確認しておくことが大切です。
また、構築後の運用支援を行っているコンサルティング業者もあるため、継続的なサポートを希望する場合にはそうしたサポートを行っている業者を選択することがおすすめです。
ISMS(ISO27001)コンサル依頼時の認証取得の流れ
ここでは、ISMS(ISO27001)コンサルを依頼した場合の一般的な認証取得の流れを解説します。
1.ヒアリング
まず、ISMSコンサルタントが、認証取得の目的や経緯を把握するためにヒアリングを実施します。このヒアリングを通じて、企業の現状を把握し、最適なサポート方針を策定します。
また、認証取得に向けたスケジュール、ガントチャートなどをコンサルが作成し、具体的な取り組みを開始します。
2.ISMSの構築・運用支援
ISO27001の要求事項を満たすISMSの構築・運用を行います。
具体的には情報資産の洗い出し、リスクアセスメント、管理策の選定など、情報セキュリティ体制を整備します。また構築後は、実際の業務にISMSを落とし込み、運用の定着を図ります。
コンサルタントによる実務支援を受けながら、規程やマニュアル類の整備、教育訓練などを実施するため、自社に合ったISMSの構築・運用が可能です。
3.内部監査・審査対応
ISMSを運用したら、社内の人員による内部監査を実施します。
内部監査員は、コンサルタントによる内部監査の手順やチェックリストの作成支援を受けながら作業を実施してください。また内部監査をコンサルに代行依頼できる場合もあるため、その場合には日程調整のみが求められます。
登録審査では、審査機関の審査員によって「ISO27001の要求事項に適合しているか」を確認されます。審査で指摘を受けた場合には、コンサルのサポートを受けて対応できるため、スムーズな修正が見込めます。
4.認証後の維持・更新サポート
ISO27001は、認証取得がゴールではなく、継続的な改善が求められる制度です。
そのため、取得後も運用を継続し、内部監査・マネジメントレビューなどを適切に行う必要があります。
こうした運用維持においても、ISMSコンサルに依頼することで支援を受けられます。更新審査に向けた準備や体制強化、管理策の見直しなどが期待できるでしょう。
ISOコンサルに依頼した満足度は?200人の経営者の声
ISO規格の取得をコンサルに依頼した実際の経営者は満足しているのでしょうか。ここでは、ISO規格の取得をコンサルに依頼した200人の経営者・経営幹部を対象に行ったアンケート結果を紹介します。
「コンサルティング企業に対する総合的な満足度を教えてください」という質問したところ、以下のような回答になりました。
- とても満足している(22.5%)
- ある程度は満足している(60.5%)
- あまり満足していない(14.5%)
- まったく満足していない(2.5%)
満足できなかった方も一定数いるものの、8割以上の方がコンサルティングを依頼して満足できているということがわかります。
アンケート調査の詳細は、以下のURLからご覧ください。
ISMSコンサルに依頼したISO27001の取得事例
それでは、最後にISMSコンサルに取得サポートを依頼したISO27001の取得事例を紹介します。
オンウェーブ株式会社
オンウェーブ株式会社は、主に製薬会社への人材紹介を行う企業です。コロナ禍により、在宅勤務が求められるようになり、セキュリティ体制を強化するためにISO27001を取得されました。
実際にコンサルを受けた感想を、インタビューから抜粋しています。
- 打ち合わせ回数の制限がなく、説明や質問に明確に答えてくれた
- 自社の理解度に合わせて、タイミング良く資料を提示してくれた
- 教え方もとても親切でわかりやすかった
- 要点を押さえたコンサルとのセキュリティの仕事はとても楽しく思えた
取得した結果、従業員のセキュリティ意識も高まり、セキュリティが向上したと効果も実感されているとのことでした。
オンウェーブ株式会社の取得事例の詳細は、以下の記事をご覧ください。
PCらいふパソコンレンタルサービス株式会社
PCらいふパソコンレンタルサービス株式会社は、全国各地にパソコンのレンタルサービスを提供している企業です。競合他社の多くがISO27001を取得しており、見積もり時にISO取得有無について確認されることが増えたため、ISO27001を取得されました。
実際にコンサルを受けた感想を、インタビューから抜粋しています。
- 他社と比較して、対応がスピーディーかつ話した印象が良かった会社だった
- 早く取得したいという自社の思いを汲んで、ZOOMを活用してスピーディーに対応してくれた
- ほとんどの工程をコンサルが進めてくれた
- マニュアルの作成もほぼ依頼でき、ヒアリングした内容もマニュアルに落とし込んでくれた
取得した結果、従業員のセキュリティ意識の高まりを実感されていました。また、対外的にPRしていくことで、新規契約にもつながっていくのではないかと期待されているとのことでした。
PCらいふパソコンレンタルサービス株式会社の取得事例の詳細は、以下の記事をご覧ください。
アーズ総合開発株式会社
アーズ総合開発株式会社は、IT業務委託やソフトウェア開発を行っている企業です。
官公庁の事業受託の際にISO27001が応札条件となっていたことや、企業規模の拡大に向けて総合的に情報の管理体制を整理するため、ISO27001を取得されました。
実際にコンサルを受けた感想を、インタビューから抜粋しています。
- 他社と比較して、実績の多さと費用の明確さのある会社だった
- 契約前から丁寧かつスムーズに対応してくれて、とても助かった
- 情報資産管理やリスク管理表のサンプルをもらえたため、「この権限はこの人に割り振ろう」などの具体的な話し合いがしやすかった
- 不明点を質問した際にも、迅速に対応してもらえた
取得した結果、社員のセキュリティ意識の高まりを実感されていました。また、入札できる案件の幅が広がり、実際に新規案件の獲得につながったとのことでした。
アーズ総合開発株式会社の取得事例の詳細は、以下の記事をご覧ください。
まとめ
この記事では、ISO27001取得においてコンサルに依頼すべきかどうかや自社取得との違い、コンサルになるための資格、コンサルを選ぶポイントについて解説しました。
結論として、ISO27001取得はコンサルに依頼することがおすすめです。自社にかかる負担を低減できるうえ、自社の実情に適したマネジメントシステムを構築・運用できるようになります。また、ISO27001取得の審査に通過できる確率も大幅に向上するでしょう。
そのためにも、経験豊富で信頼できるコンサルティング業者を選ぶことが重要です。複数社から見積もりを取り、直接話したうえで最も納得のいく提案をしてくれた会社を選ぶのがおすすめです。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい