ISMS(ISO27001)取得にコンサルタントは必要?自社取得と徹底比較
- 効率的に自社に適したISOを構築するならコンサルへの依頼がお勧め
- 自社で取得する場合は、人件費がコンサルティング依頼料より高くなりがち
- コンサル選定では、サポート体制や実績、自社にあったISOを構築してもらえるかを見る
コンサル選定では、サポート体制や実績、自社にあったISOを構築してもらえるかを見る
ISMS
(
ISO27001
)取得支援を行うコンサルティング会社はいくつもありますが、何をポイントに選定したらよいのでしょうか?また、自社取得との違いはどこにあるのでしょうか?
この記事では、ISMS(ISO27001)のコンサルティングの必要性や申請サポートを依頼した際のサービス内容、コンサル依頼料、選定のポイントなどを詳しく解説します。
目次
ISMS(ISO27001)コンサルとは
ISMS(ISO27001)のコンサルタントは、どのような人なのでしょうか?ここでは、コンサルタントになるための資格や経験について解説します。
コンサルに必要な資格・経験
ISMSのコンサルティングを行うために必要な資格や経験はありません。ISMSの知識や経験があれば、誰でもコンサルタントになれます。
そのため、コンサルティング会社で教育を受けてコンサルタントになる人もいれば、情報セキュリティマネジメントシステム審査員(ISO27001審査員)などの資格を持っている人もいます。
ISMS(ISO27001)コンサルが行うサポート内容とは
ISMS(ISO27001)コンサルに取得サポートを依頼すると、どのようなことをしてくれるのでしょうか。以下に、一般的なコンサルタントのサポート内容をまとめました。
- 情報セキュリティ管理の方法の提案
- 審査機関の選定や対応
- 要求事項に沿ったISMS構築・運用のサポート
- 内部監査の実施・マネジメントレビューの実施
- 文書化の作成サポート
- 審査対応サポート
ISMSを構築・運用する際に必要な情報セキュリティ管理の提案や文書化のサポートなどの実務を、コンサルは行っています。また、審査機関の選定や対応、審査対応のサポートなど事務的なところまでフォローしてくれるところも多くあります。
ISMS(ISO27001)取得にコンサルを依頼するメリット
ISMS(ISO27001)を取得する際に、コンサルティング会社へ依頼するメリットをご紹介します。
取得にかかる負担を減らせる
ISMS認証
を取得するには、ISMSの構築・運用に多くの工程を実施する必要があります。
そのため自社取得であれば、本業とISMS認証取得のための業務を両立しなければならず、大きな負担がかかります。
しかし、プロであるコンサルに依頼することで、自社社員が実施する業務の大部分をコンサルに委託できるため、本来の業務への支障を大きく減らせるでしょう。
自社に適したマネジメントシステムを構築・運用できる
ISO27001を取得するには、ISO27001の示す要求事項を満たすISMSを構築・運用することが必要です。
ISO27001ではある程度自社の実情に合わせることが可能ですが、要求事項を満たすことに注視しすぎると、自社に合わない形式ばったマネジメントシステムを構築してしまう可能性があります。従業員が活用しにくい体制は、従業員の負担になり、次第に形骸化してしまうリスクがあります。
しかし、信頼できるコンサルティング会社に依頼することで、要求事項を満たしつつ、自社の実情に合ったマネジメントシステムの構築・運用につながります。
ISMS(ISO27001)を取得しやすくなる
何度もISO27001取得をサポートしてきた実績豊富なコンサルティング業者に依頼することで、確実に審査を通過できます。
書類審査の後、審査員が現地に訪れて審査を行います。コンサルティング業者に依頼すると、指摘を受けた場合でも是正処置のサポートも行ってもらえるため、安心して審査を受けられます。
ISMS(ISO27001)の取得期間
ここでは、ISO27001を自社取得・コンサル取得した場合にかかる期間について解説します。
自社取得した場合の取得期間
自社取得した場合の取得期間は、取得範囲の大きさやISO27001取得に関する知識・経験をもつ人材の有無などによって左右されます。
一般的に、一からISMSを構築・運用し、審査を受けて認証を受けられるまでには少なくとも1年以上の期間がかかります。
コンサル取得した場合
コンサルティング業者に依頼した場合、適用範囲やサービス内容などによるものの、想定取得期間は約半年です。早い場合には4か月で取得した例もあります。
自社取得に比べて期間が短い分、月額料金でコンサルティング費用を支払っている場合には費用も抑えられます。それでもISMSの取得には長期的な目線で取り組むことが必要であり、コンサルタントと二人三脚での取得を目指すのがおすすめです。
ISMS(ISO27001)の取得費用
ここでは、ISO27001を自社取得・コンサル取得した場合にかかる人件費を比較します。
ただし、自社取得・コンサル取得のどちらにおいても審査費用はかかります。以下に審査費用相場を以下にまとめました。
| 業種 | 1-20名 | 21-50名 | 51-100名 | 101名以上 |
|---|---|---|---|---|
| 製造業・加工業 | 51万円 | 73万円 | 103万円 | 123万円 |
| 建築・建設業 | 51万円 | 71万円 | 97万円 | 129万円 |
| ITサービス | 54万円 | 76万円 | 98万円 | 120万円 |
| システム開発 | 53万円 | 74万円 | 97万円 | 120万円 |
| WEB制作 | 55万円 | 81万円 | 97万円 | – |
| 卸売業・小売業 | 52万円 | 77万円 | 104万円 | 114万円 |
| コンサル業 | 51万円 | 82万円 | 95万円 | 103万円 |
| 保険業 | 58万円 | – | 100万円 | 113万円 |
| 不動産 | 62万円 | – | 97万円 | 113万円 |
※2022年7月調査(ISOプロ調べ)。現在の費用と異なる可能性があるため詳しくはお問合せください。
自社取得した場合
自社取得した場合の取得費用は、取得にかかった期間と人件費によって異なります。
例えば取得に1年かかり、月収30万円の3人の社員がISO担当として携わったとします。
その場合、12か月×3人×30万円=1080万円の費用がかかります。兼任で3割程度の工数をISOにかけた場合でも年間300万円を超えるのです。見えにくいコストではありますが、人件費を要することは覚えておきたいところです。
コンサル取得した場合の取得費用
コンサルティング業者に依頼した場合は、基本的に月額のコンサルティング料金がかかります。適用範囲やサービス内容などにより異なりますが、50万円~200万円程度となります。
ただし、自社取得の場合と異なり、自社社員が実施する工数を大幅に低減できます。人件費を抑えられるため、総合的にはコンサルに依頼した方が、コストが安くなる傾向にあります。
ISMS(ISO27001)のコンサル選びはなぜ重要?
ISMS(ISO27001)を取得する際、コンサルにサポートを依頼することで、かかる費用や期間を低減させるなどさまざまなメリットがあると解説しました。
しかし、どのコンサルを選んでも同様のメリットを得られるわけではありません。コンサル選びを失敗すると、期待したようなサポートを受けられない可能性があります。
なぜコンサル選びが重要なのかというと、コンサルになるために必要な経験や資格がないためです。コンサル会社によっては、実績があまりないコンサルが担当になってしまうこともあり得るでしょう。
そのためコンサルを選ぶ際は、複数の企業に見積もりを取り、相談することがおすすめです。
ISMSコンサルを選ぶポイント
ISMSコンサルを選ぶポイントを紹介します。
コンサルタントの経験
ISO27001の審査員資格や経験があるコンサルタントが対応してくれるかどうかは、コンサルティングの質に大きくかかわります。
自社で受け持つ工数や取得スピードはもちろん、構築するマネジメントシステムにおいての適切な対応までもがコンサルタントの質によって変わります。また、取得に時間がかかるほど、コンサルティング費用もかさむ場合もあるため、注意が必要です。
コンサルタントになるための資格や経験が必須ではないからこそ、コンサルティング会社を選ぶ際には、担当コンサルタントの資格や実績について事前に確認しましょう。
審査機関の提案
ISMSの審査機関は国内に50社以上存在します。
取り扱う製品やサービス内容によって選ぶべき審査機関が異なるため、はじめてISMSを取得する場合はどこの審査機関が良いのか判断するのも難しいものです。
そのため、コンサルティング会社からの審査機関の提案がプランに含まれるのかどうかを確認しましょう。
自社に適切なマネジメントシステム構築の提案
ISMS認証取得の重要なステップである情報セキュリティマネジメントシステムの体制構築は、取得後の運用にも大きく影響します。
そのため、自社にあった適切なマネジメントシステム体制を提案してくれているかどうかも重要な選定ポイントとなります。
ISMSを取得するためだけの余計なルールを追加していくと、形骸化につながってしまうでしょう。
コンサルタントの経験と同様に、自社に適したマネジメントシステム構築の提案をしてもらえるかどうかは、コンサルティングサービスの質を見分けるポイントのひとつといえます。
サポート体制の充実度
ISMS取得までのサポート体制も事前確認が大切です。
企業によっては対応回数の制限がある場合や、文書作成が対応範囲外の場合もあります。また指導のみで実際に手を動かすのは自社というサービスも存在します。サポート体制が不十分な場合や自社が求めているものではない場合、自社の負担が多くなり、認証取得コンサルティングを依頼している意味が感じられないことも。
スムーズな取得を実現するためにも、不明な点があった際に気軽に質問ができる会社なのかどうかを確認しておくことが大切です。
また、構築後の運用支援を行っているコンサルティング業者もあるため、継続的なサポートを希望する場合にはそうしたサポートを行っている業者を選択することがおすすめです。
ISMSコンサルに依頼したISO27001の取得事例
それでは、最後にISMSコンサルに取得サポートを依頼したISO27001の取得事例を紹介します。
オンウェーブ株式会社
オンウェーブ株式会社は、主に製薬会社への人材紹介を行う企業です。コロナ禍により、在宅勤務が求められるようになり、セキュリティ体制を強化するためにISO27001を取得されました。
実際にコンサルを受けた感想を、インタビューから抜粋しています。
- 打ち合わせ回数や訪問回数の制限がなく、説明や質問に明確に答えてくれたコンサルを選んだ
- 自社の理解度に合わせて、タイミング良く資料を提示してくれた
- 教え方もとても親切でわかりやすかった
- 要点を押さえたコンサルとのセキュリティの仕事はとても楽しく思えた
取得した結果、従業員のセキュリティ意識も高まり、セキュリティが向上したと効果も実感されているとのことでした。
オンウェーブ株式会社の取得事例の詳細は、以下の記事をご覧ください。
PCらいふパソコンレンタルサービス株式会社
PCらいふパソコンレンタルサービス株式会社は、全国各地にパソコンのレンタルサービスを提供している企業です。競合他社の多くがISO27001を取得しており、見積もり時にISO取得有無について確認されることが増えたため、ISO27001を取得されました。
実際にコンサルを受けた感想を、インタビューから抜粋しています。
- 他社と比較して、対応がスピーディーかつ話した印象が良かった会社を選んだ
- 早く取得したいという自社の思いを汲んで、ZOOMを活用してスピーディーに対応してくれた
- ほとんどの工程をコンサルが進めてくれた
- マニュアルの作成もほぼ依頼でき、ヒアリングした内容もマニュアルに落とし込んでくれた
取得した結果、従業員のセキュリティ意識の高まりを実感されていました。また、対外的にPRしていくことで、新規契約にもつながっていくのではないかと期待されているとのことでした。
PCらいふパソコンレンタルサービス株式会社の取得事例の詳細は、以下の記事をご覧ください。
アーズ総合開発株式会社
アーズ総合開発株式会社は、IT業務委託やソフトウェア開発を行っている企業です。官公庁の事業受託の際にISO27001が応札条件となっていたことや、企業規模の拡大に向けて総合的に情報の管理体制を整理するため、ISO27001を取得されました。
実際にコンサルを受けた感想を、インタビューから抜粋しています。
- 他社と比較して、実績の多さと費用の明確さのある会社を選んだ
- 契約前から丁寧かつスムーズに対応してくれて、とても助かった
- 情報資産管理やリスク管理表のサンプルをもらえたため、「この権限はこの人に割り振ろう」などの具体的な話し合いがしやすかった
- 不明点を質問した際にも、迅速に対応してもらえた
取得した結果、社員のセキュリティ意識の高まりを実感されていました。また、入札できる案件の幅が広がり、実際に新規案件の獲得につながったとのことでした。
アーズ総合開発株式会社の取得事例の詳細は、以下の記事をご覧ください。
まとめ
この記事では、ISO27001取得においてコンサルに依頼すべきかどうかや自社取得との違い、コンサルになるための資格、コンサルを選ぶポイントについて解説しました。
結論として、ISO27001取得はコンサルに依頼することがおすすめです。自社にかかる負担を低減できるうえ、自社の実情に適したマネジメントシステムを構築・運用できるようになります。また、ISO27001取得の審査に通過できる確率も大幅に向上するでしょう。
そのためにも、経験豊富で信頼できるコンサルティング業者を選ぶことが重要です。複数社から見積もりを取るとともに実際に話し合う中で最も納得できる提案をしてくれた業者を選びましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい