ISMS(ISO27001)コンサル会社選びを成功させるポイントを解説
- 効率的に自社に適したISOを構築するならコンサルへの依頼がお勧め
- 自社で取得する場合は、人件費がコンサルティング依頼料より高くなりがち
- コンサル選定では、サポート体制や実績、自社にあったISOを構築してもらえるかを見る
ISMS(ISO27001)取得支援を行うコンサルティング会社はいくつもありますが、何をポイントに選定したらよいのでしょうか?また、自社取得との違いはどこにあるのでしょうか?
この記事では、ISMS(ISO27001)のコンサルティングの必要性や申請サポートを依頼した際のサービス内容、コンサル依頼料、選定のポイントなどを詳しく解説します。
目次
ISMS(ISO27001)コンサルとは
ISMS(ISO27001)のコンサルタントは、どのような人なのでしょうか?ここでは、コンサルタントになるための資格や経験について解説します。
ISMSコンサルに必要な資格・経験
ISMSのコンサルティングを行うために必要な資格や経験はありません。ISMSの知識や経験があれば、誰でもコンサルタントになれます。
もちろん、その会社の経営方針や事業内容に合わせたマネジメントシステムの構築・運用に関するサポートを行うため、会社経営に関する知識や理解力も求められるでしょう。
一般的には、以下のような経験の人がISMSコンサルタントになります。
- コンサルティング会社で教育を受けてコンサルタントになった人
- 情報セキュリティマネジメントシステム審査員(ISO27001審査員)などの資格を保有している人
ISMSコンサル会社のサポート内容とは
ISMSコンサルティング会社に取得サポートを依頼すると、どのようなことをしてくれるのでしょうか。以下に、一般的なコンサルタントのサポート内容をまとめました。
- 情報セキュリティ管理の方法の提案
- 審査機関の選定や対応
- 要求事項に沿ったISMS構築・運用のサポート
- 内部監査の実施・マネジメントレビューの実施
- 文書化の作成サポート
- 審査対応サポート
またコンサルティング会社によっては、上記サポートの他にも、「6か月以内の取得を目指すオプション」「自立した運用を実現するオプション」「経営コンサルティング」などのさまざまなオプションを用意しているところもあります。
柔軟にサポート内容やオプションをカスタマイズできるコンサルを選ぶことで、「費用を抑えたい」「取得後に自力で運用したい」「審査に付き添ってほしい」といった希望に沿ったサポートを受けられるでしょう。
ISMS(ISO27001)コンサルに依頼するメリット
ISMS(ISO27001)を取得する際に、コンサルティング会社へサポートを依頼するメリットを解説します。
取得にかかる負担を減らせる
ISMS認証を取得するには、ISMSの構築・運用に多くの工程を実施する必要があります。
そのため自社取得であれば、本業とISMS認証取得のための業務を両立しなければならず、大きな負担がかかります。
しかし、プロであるコンサルに依頼することで、自社社員が実施する業務の大部分をコンサルに委託できるため、本来の業務への支障を大きく減らせるでしょう。
自社に適したマネジメントシステムを構築・運用できる
ISO27001を取得するには、要求事項を満たすISMSを構築・運用することが必要です。
しかし、ISO27001の要求事項を満たすことに注視しすぎた結果、自社の実情に合わない形式ばったISMSの構築につながります。従業員が活用しにくい体制は、従業員の負担になり、次第に形骸化してしまうでしょう。
そのため、「要求事項を満たすISMS」と「自社の実情に合ったISMS」を両立させるには、ノウハウや経験が豊富なコンサルにサポート依頼することがおすすめです。
ISMS(ISO27001)を取得しやすくなる
何度もISO27001取得をサポートしてきた実績豊富なコンサルティング業者に依頼することで、確実に審査を通過できるでしょう。
取得審査では、書類審査を経て審査員が現地に訪れて審査を行います。コンサルティング業者に依頼することで、指摘を受けた場合でも是正処置のサポートも行ってもらえるため、安心して審査を受けられます。
ISMS(ISO27001)コンサルタントを利用した場合の取得期間
ここでは、ISMSコンサルタントを利用した場合のISO27001の取得期間について解説します。
自社取得とコンサル利用時の期間比較
取得期間の長さを左右する要素には、会社規模や事業内容、ISMSの適用範囲などが挙げられます。例えば、会社規模やISMSの適用範囲が広く、事業が複雑である場合には、取得期間が長くなる傾向にあります。
自社取得する場合には、「ISO27001取得に関する知識・経験をもつ人材の有無」は取得期間に大きな影響を与えます。多くの企業では、こうした人材がいないため、新たに人材を雇用するか、既存社員が勉強しながら進行することが一般的です。
その場合、ISMSを構築・運用し、審査を受けて認証を受けられるまでに1年以上の期間がかかることも多くあります。
一方、コンサルティング業者に依頼した場合には、想定取得期間は約6か月です。自社取得と比較すると、多くの場合で取得期間を短縮できます。
コンサル利用で取得期間を短縮できる理由
ISO27001取得にあたり、ISMSコンサルを利用することで取得にかかる工数を大幅に削減できる可能性があります。
なぜなら、審査機関の提案・審査機関ごとの見積もりの用意、マニュアル、規程の作成、必要な文書作成の代行、内部監査などのさまざまな作業を代行してもらうことが可能なためです。
そのため、社内にISO27001やISMSに関する知識・経験を保有する人材がおらず、できるだけ短期間でISMSを取得したい場合は、コンサルの利用が最適でしょう。
ISMS(27001)コンサルを利用した場合の料金相場・コスト比較
ここでは、ISO27001取得にかかる費用や自社取得・コンサル利用時の費用の違いについて解説します。
ISMS(ISO27001)取得にかかる費用相場
ISO27001の取得に必ずかかる費用は、「審査費用・ISO登録料+審査員の交通費・宿泊費+人件費」です。それぞれの費用の概要や費用相場を解説します。
審査費用・ISO登録料
審査費用・ISO登録料とは、ISO27001の審査にかかる費用や認証時の登録にかかる手数料です。
費用相場はおおよそではありますが、審査費用が約50万円~120万円、ISO登録料は3万~5万円となります。
審査費用は、業種や会社規模によって異なるため、詳しい相場を以下にまとめました。
| 業種 | 1-20名 | 21-50名 | 51-100名 | 101名以上 |
|---|---|---|---|---|
| 製造業・加工業 | 51万円 | 73万円 | 103万円 | 123万円 |
| 建築・建設業 | 51万円 | 71万円 | 97万円 | 129万円 |
| ITサービス | 54万円 | 76万円 | 98万円 | 120万円 |
| システム開発 | 53万円 | 74万円 | 97万円 | 120万円 |
| WEB制作 | 55万円 | 81万円 | 97万円 | – |
| 卸売業・小売業 | 52万円 | 77万円 | 104万円 | 114万円 |
| コンサル業 | 51万円 | 82万円 | 95万円 | 103万円 |
| 保険業 | 58万円 | – | 100万円 | 113万円 |
| 不動産 | 62万円 | – | 97万円 | 113万円 |
※2022年7月調査(ISOプロ調べ)。現在の費用と異なる可能性があるため詳しくはお問合せください。
審査員の交通費・宿泊費
審査員の交通費・宿泊費は、審査員が所属する審査機関からISO27001を取得する場所の移動にかかる費用のことです。
一般的に、審査員の移動にかかる交通費のみがかかります。依頼した審査機関が遠方にあり、宿泊しなければならない場合のみ、宿泊費も必要になります。
人件費
人件費は、ISO業務にあたるために、「本来の業務ができなくなる人数×時間分の人件費」のことです。
例えば、以下のような計算で人件費を算出します。
| ISO担当者の人数 | 1人 |
|---|---|
| 業務時間のうち、ISO業務の割合 | 100%(8時間の勤務時間すべてをISO業務に費やしたとする) |
| ISO27001の取得期間 | 12か月 |
| 給与 | 月収30万円 |
| 合計 | 360万円(12か月×1人×30万円) |
新たに発生する費用ではありませんが、「見えにくいコスト」として把握することが大切です。
自社取得とコンサル利用時の費用比較
ここでは、自社取得とコンサル利用時の費用を比較します。
自社取得時と比較し、コンサルを利用すると「コンサルティング依頼料」がかかります。コンサルティング依頼料は、一般的に約50万~200万円であるため、目に見える支出だけを考えるとコンサル利用時の方が費用は高額になります。
ただし、自社取得の場合と異なり、自社社員が実施する工数や取得期間を大幅に低減できるという特徴があります。
そこで、自社取得時とISMSコンサル利用時の費用イメージを比較してみましょう。
| 自社取得(12か月間で取得した場合) | コンサル利用取得(6か月間で取得した場合) | |
|---|---|---|
| 審査費用・ISO登録料 | 約50万~120万円 | |
| コンサルティング依頼料 | 約50万~200万円 | |
| 人件費(ISO担当者:月給30万円の社員1人の場合) | 360万円※1 | 36万円※2 |
| 合計 | 約410万~480万円 | 約136万~356万円 |
※1:月給30万円×1人×12か月×100%。勤務時間の100%をISO業務に費やした場合
※2:月給30万円×1人×6か月×20%。左記のうち、80%の工数をコンサルが代行した場合
このようにISMSコンサルに依頼する方が人件費を抑えられるため、総合的にはコストが安くなる傾向にあります。
ISMS(ISO27001)コンサルを依頼した場合の認証取得の流れ
ここでは、ISMS(ISO27001)コンサルを依頼した場合の一般的な認証取得の流れを解説します。
1.ヒアリング
まず、ISMSコンサルタントが、認証取得の目的や経緯を把握するためにヒアリングを実施します。このヒアリングを通じて、企業の現状を把握し、最適なサポート方針を策定します。
また、認証取得に向けたスケジュール、ガントチャートなどをコンサルが作成し、具体的な取り組みを開始します。
2.ISMSの構築・運用支援
ISO27001の要求事項を満たすISMSの構築・運用を行います。
具体的には情報資産の洗い出し、リスクアセスメント、管理策の選定など、情報セキュリティ体制を整備します。また構築後は、実際の業務にISMSを落とし込み、運用の定着を図ります。
コンサルタントによる実務支援を受けながら、規程やマニュアル類の整備、教育訓練などを実施するため、自社に合ったISMSの構築・運用が可能です。
3.内部監査・審査対応
ISMSを運用したら、社内の人員による内部監査を実施します。
内部監査員は、コンサルタントによる内部監査の手順やチェックリストの作成支援を受けながら作業を実施してください。また内部監査をコンサルに代行依頼できる場合もあるため、その場合には日程調整のみが求められます。
登録審査では、審査機関の審査員によって「ISO27001の要求事項に適合しているか」を確認されます。審査で指摘を受けた場合には、コンサルのサポートを受けて対応できるため、スムーズな修正が見込めます。
4.認証後の維持・更新サポート
ISO27001は、認証取得がゴールではなく、継続的な改善が求められる制度です。
そのため、取得後も運用を継続し、内部監査・マネジメントレビューなどを適切に行う必要があります。
こうした運用維持においても、ISMSコンサルに依頼することで支援を受けられます。更新審査に向けた準備や体制強化、管理策の見直しなどが期待できるでしょう。
ISMS(ISO27001)コンサル選びが重要な理由とは?
ISMS(ISO27001)を取得する際、コンサルにサポートを依頼することで、かかる費用や期間を低減させるなどさまざまなメリットがあると解説しました。
しかし、どのコンサルを選んでも同様のメリットを得られるわけではありません。コンサル選びを失敗すると、期待したサポートを受けられない可能性があります。
その理由は、コンサル会社によってサポート内容やサポートの方針、料金プラン、コンサルの能力・実績などが異なるためです。
そのため、ここではコンサル選びのよくあるミスやその理由を解説することで、コンサル選びの重要性を解説します。
よくある選定ミスとその理由
ISMSコンサルの選定においてよく見られるミスのひとつが、「価格のみで判断してしまう」ことです。
費用を抑えたいという思いから、サポート内容が限定されたコンサルを選択した結果、「想定していた支援が受けられない」「具体的なアドバイスがなく自社での対応が増えた」などの不満につながることがあります。
また、「テンプレート重視型の支援」を提供するコンサルを選んだ場合も注意が必要です。自社の実態に合っていないテンプレートをもとにISMSを構築した結果、運用面でムリが生じ、形骸化してしまうケースが見受けられます。
これでは、ISO27001の本質である「実効性のある情報セキュリティ管理体制」の構築には至りません。
こうした失敗につながるリスクもあることから、自社に適したコンサル選びが重要になるのです。
ISMSコンサルを選ぶポイント
ここでは、ISMSコンサルを選ぶポイントを紹介します。
コンサルの経験
コンサルの経験が豊富かどうかは、コンサルティングの質に大きくかかわります。
自社で受け持つ工数や取得スピードはもちろん、構築するマネジメントシステムにおいての適切な対応までもがコンサルの質によって変わります。また、取得に時間がかかるほど、コンサルティング費用もかさむ場合もあるため、注意が必要です。
コンサルになるための資格や経験が必須ではないからこそ、コンサルティング会社を選ぶ際には、担当コンサルの資格や実績について事前に確認しましょう。
自社に適した審査機関の提案が可能か
ISMSの審査機関は国内に50社以上存在します。
取り扱う製品やサービス内容によって選ぶべき審査機関が異なるため、はじめてISMSを取得する場合はどこの審査機関が良いのかを判断するのは難しいものです。
そのため、コンサルティング会社からの審査機関の提案がプランに含まれるのかどうかを確認しましょう。
自社に適切なマネジメントシステム構築の提案が可能か
ISMS認証取得の重要なステップである情報セキュリティマネジメントシステムの体制構築は、取得後の運用にも大きく影響します。
そのため、自社にあった適切なマネジメントシステム体制を提案してくれているかどうかも重要な選定ポイントとなります。
ISMSを取得するためだけの余計なルールを追加していくと、形骸化につながってしまうでしょう。
コンサルの経験と同様に、自社に適したマネジメントシステム構築の提案をしてもらえるかどうかは、コンサルティングサービスの質を見分けるポイントのひとつといえます。
サポート体制の充実度
ISMS取得までのサポート体制も事前確認が大切です。
企業によっては対応回数の制限がある場合や、文書作成が対応範囲外の場合もあります。また指導のみで実際に手を動かすのは自社というサービスも存在します。
サポート体制が不十分な場合や自社が求めているものではない場合、自社の負担が多くなり、認証取得コンサルティングを依頼している意味が感じられないこともあるでしょう。
スムーズな取得を実現するためにも、不明な点があった際に気軽に質問ができる会社なのかどうかを確認しておくことが大切です。
また、構築後の運用支援を行っているコンサルティング業者もあるため、継続的なサポートを希望する場合にはそうしたサポートを行っている業者を選択することがおすすめです。
ISOコンサルに依頼した満足度は?200人の経営者の声
ISO規格の取得をコンサルに依頼した実際の経営者は満足しているのでしょうか。ここでは、ISO規格の取得をコンサルに依頼した200人の経営者・経営幹部を対象に行ったアンケート結果を紹介します。
「コンサルティング企業に対する総合的な満足度を教えてください」という質問したところ、以下のような回答になりました。
- とても満足している(22.5%)
- ある程度は満足している(60.5%)
- あまり満足していない(14.5%)
- まったく満足していない(2.5%)
満足できなかった方も一定数いるものの、8割以上の方がコンサルティングを依頼して満足できているということがわかります。
アンケート調査の詳細は、以下のURLからご覧ください。
ISMSコンサルに依頼したISO27001の取得事例
それでは、最後にISMSコンサルに取得サポートを依頼したISO27001の取得事例を紹介します。
オンウェーブ株式会社
オンウェーブ株式会社は、主に製薬会社への人材紹介を行う企業です。コロナ禍により、在宅勤務が求められるようになり、セキュリティ体制を強化するためにISO27001を取得されました。
実際にコンサルを受けた感想を、インタビューから抜粋しています。
- 打ち合わせ回数の制限がなく、説明や質問に明確に答えてくれた
- 自社の理解度に合わせて、タイミング良く資料を提示してくれた
- 教え方もとても親切でわかりやすかった
- 要点を押さえたコンサルとのセキュリティの仕事はとても楽しく思えた
取得した結果、従業員のセキュリティ意識も高まり、セキュリティが向上したと効果も実感されているとのことでした。
オンウェーブ株式会社の取得事例の詳細は、以下の記事をご覧ください。
PCらいふパソコンレンタルサービス株式会社
PCらいふパソコンレンタルサービス株式会社は、全国各地にパソコンのレンタルサービスを提供している企業です。競合他社の多くがISO27001を取得しており、見積もり時にISO取得有無について確認されることが増えたため、ISO27001を取得されました。
実際にコンサルを受けた感想を、インタビューから抜粋しています。
- 他社と比較して、対応がスピーディーかつ話した印象が良かった会社だった
- 早く取得したいという自社の思いを汲んで、ZOOMを活用してスピーディーに対応してくれた
- ほとんどの工程をコンサルが進めてくれた
- マニュアルの作成もほぼ依頼でき、ヒアリングした内容もマニュアルに落とし込んでくれた
取得した結果、従業員のセキュリティ意識の高まりを実感されていました。また、対外的にPRしていくことで、新規契約にもつながっていくのではないかと期待されているとのことでした。
PCらいふパソコンレンタルサービス株式会社の取得事例の詳細は、以下の記事をご覧ください。
アーズ総合開発株式会社
アーズ総合開発株式会社は、IT業務委託やソフトウェア開発を行っている企業です。
官公庁の事業受託の際にISO27001が応札条件となっていたことや、企業規模の拡大に向けて総合的に情報の管理体制を整理するため、ISO27001を取得されました。
実際にコンサルを受けた感想を、インタビューから抜粋しています。
- 他社と比較して、実績の多さと費用の明確さのある会社だった
- 契約前から丁寧かつスムーズに対応してくれて、とても助かった
- 情報資産管理やリスク管理表のサンプルをもらえたため、「この権限はこの人に割り振ろう」などの具体的な話し合いがしやすかった
- 不明点を質問した際にも、迅速に対応してもらえた
取得した結果、社員のセキュリティ意識の高まりを実感されていました。また、入札できる案件の幅が広がり、実際に新規案件の獲得につながったとのことでした。
アーズ総合開発株式会社の取得事例の詳細は、以下の記事をご覧ください。
まとめ
この記事では、ISO27001取得においてコンサルに依頼すべきかどうかや自社取得との違い、コンサルになるための資格、コンサルを選ぶポイントについて解説しました。
結論として、ISO27001取得はコンサルに依頼することがおすすめです。自社にかかる負担を低減できるうえ、自社の実情に適したマネジメントシステムを構築・運用できるようになります。また、ISO27001取得の審査に通過できる確率も大幅に向上するでしょう。
そのためにも、経験豊富で信頼できるコンサルティング業者を選ぶことが重要です。複数社から見積もりを取り、直接話したうえで最も納得のいく提案をしてくれた会社を選ぶのがおすすめです。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい