ISMS(ISO27001)取得にコンサルタントは必要?取得費用や期間を自社取得と比較
- 効率的に自社に適したISOを構築するならコンサルへの依頼がお勧め
- 自社で取得する場合は、人件費がコンサルティング依頼料より高くなりがち
- コンサル選定では、サポート体制や実績、自社にあったISOを構築してもらえるかを見る
ISMS
(ISO27001
)取得支援を行うコンサルティング会社はいくつもありますが、何をポイントに選定したらよいのでしょうか?また、自社取得との違いはどこにあるのでしょうか?
この記事では、ISMS(ISO27001)のコンサルティングの必要性、コンサルタントになるための条件、また選定のポイントについて解説します。
目次
ISMS(ISO27001)取得にコンサルは必要?
情報セキュリティを管理する仕組みであるISMS(ISO27001)は、情報資産を多く扱う情報通信業界での取得が多いですが、取得にあたってコンサルタントへ依頼する必要はあるのでしょうか?
ISMSを取得するためには、ISMSにおける要求事項 の把握や審査のための書類作成、PDCAの実施などさまざまなノウハウや工数が必要となります。
そのため、知識や経験がない場合には、取得支援をコンサルティング会社へ依頼することがおすすめです。
ISMS(ISO27001)取得にコンサルを依頼するメリット
ISMS(ISO27001)を取得する際に、コンサルティング会社へ依頼するメリットをご紹介します。
取得にかかる負担を減らせる
ISMS認証 を取得するには、ISMSの構築・運用に多くの工程を踏む必要があります。これらにかかる工程の大半以上をプロであるコンサルに依頼できると、本来の業務への支障を大きく減らせるでしょう。
どの程度負担を減らせるのかについては、のちほど詳しく解説します。
自社に適したマネジメントシステムを構築・運用できる
ISO27001を取得するには、ISO27001の示す要求事項を満たすISMSを構築・運用する必要があります。本来、ISO27001ではある程度自社の実情に合わせることが可能なものの、要求事項を満たすことに注視しすぎると、自社に合わない形式ばったマネジメントシステムを構築してしまうことがあります。従業員が活用しにくい体制は次第に形骸化するおそれがあるのです。
信頼できるコンサルティング会社に依頼することで、要求事項を満たしつつ、自社に適したマネジメントシステムを構築・運用できます。
ISMS(ISO27001)を取得しやすくなる
何度もISO27001取得をサポートしてきた実績豊富なコンサルティング業者に依頼することで、審査を通過しやすくなるでしょう。
審査は、一次審査で書類審査ののち、二次審査で審査員が現地に訪れて審査を行います。コンサルティング業者に依頼すると、指摘を受けた場合でも是正処理のサポートも行ってもらえるため、安心して審査を受けられます。
【自社取得】ISMS(ISO2700)の取得費用・期間
次に、ISO27001を自社取得した場合の費用・期間について解説します。
自社取得した場合の取得費用
自社取得した場合の取得費用は、取得にかかった期間と人件費によって異なります。
ISMSの構築・運用にかかる工程をすべて自社社員で行うため、たとえば取得に1年かかり、月収30万円の3人の社員がISO担当として携わったとします。
その場合、12か月×3人×30万円=1080万円の費用がかかります。見えにくいコストではありますが、人件費を要することは覚えておきたいところです。
また、別途審査費用として50~100万円程度がかかります。
自社取得した場合の取得期間
自社取得した場合の取得期間は、取得範囲の大きさやISO27001取得に関する知識・経験をもつ人材の有無などによって左右されます。
一般的に、一からISMSを構築・運用し、審査を受けて認証を受けられるまでには少なくとも1年以上の期間がかかります。
【コンサル取得】ISMS(ISO2700)の取得費用・期間
それでは、ISO27001をコンサル取得した場合の費用・期間について解説します。
コンサル取得した場合の取得費用
コンサルティング業者に依頼した場合は、基本的に月額のコンサルティング料金がかかります。適用範囲やサービス内容などにより異なりますが、相場をまとめました。
また、自主取得と同様に別途審査費用が50~100万円程度かかります。
コンサル取得した場合の取得期間
コンサルティング業者に依頼した場合、適用範囲やサービス内容などによるものの、想定取得期間は約半年です。早い場合には4か月で取得した例もあります。
自主取得に比べて期間が短い分、月額料金でコンサルティング費用を支払っている場合には費用も抑えられます。それでもISMSの取得には長期的な目線で取り組むことが必要であり、コンサルタントと二人三脚での取得を目指すのがおすすめです。
ISMS(ISO27001)コンサルになるための資格は?
ISMS(ISO27001)のコンサルタントは、どのような人なのでしょうか?ここでは、コンサルタントになるための資格や経験について解説します。
資格は必要か?
ISMSのコンサルティングを行うために必要な資格はありません。ISMSの知識や経験があれば、誰でもコンサルタントになれるということになります。
しかし、コンサルタントの中には情報セキュリティマネジメントシステム審査員(ISO 27001審査員)の資格など、情報セキュリティに関する資格を持っている場合もあります。
審査員の経験は必要か?
ISMSのコンサルタントになるためには、審査員の経験は必須ではありません。コンサルティング会社で教育を受けてコンサルタントになる人もいます。
そのため、経験の浅い人がコンサルタントとして自社の担当になる可能性もあります。コンサルタントに依頼しても確実にISMSのプロに対応してもらえるわけではないため、注意が必要です。
ISMSコンサルを選ぶポイント
コンサルタントは資格や経験が必須ではないため、自社に適したコンサルティング業者を選定できるかどうかが重要な点といえます。
以下のポイントを踏まえ、適切なコンサルタントを選ぶようにしましょう。
コンサルタントの経験
ISO27001の審査員資格や実績があるコンサルタントが対応してくれるかどうかは、コンサルティングの質に大きくかかわります。
自社で受け持つ工数や取得スピードはもちろん、構築するマネジメントシステムにおいての適切な対応までもがコンサルタントの質によって変わります。また、取得に時間がかかるほど、コンサルティング費用もかさむ場合もあるため、注意が必要です。
コンサルタントになるための資格や経験が必須ではないからこそ、コンサルティング会社を選ぶ際には、担当コンサルタントの資格や実績について事前に確認しましょう。
審査機関の提案
ISMSの審査機関は国内に50社以上存在します。
取り扱う製品やサービス内容によって選ぶべき審査機関が異なるため、はじめてISMSを取得する場合はどこの審査機関が良いのか判断するのも難しいものです。
そのため、コンサルティング会社からの審査機関の提案がプランに含まれるのかどうかを確認しましょう。
ISMS(ISO27001)の審査費用相場(業種&規模別)
| 業種 | 1-20名 | 21-50名 | 51-100名 | 101名以上 |
|---|---|---|---|---|
| 製造業・加工業 | 51万円 | 73万円 | 103万円 | 123万円 |
| 建築・建設業 | 51万円 | 71万円 | 97万円 | 129万円 |
| ITサービス | 54万円 | 76万円 | 98万円 | 120万円 |
| システム開発 | 53万円 | 74万円 | 97万円 | 120万円 |
| WEB制作 | 55万円 | 81万円 | 97万円 | – |
| 卸売業・小売業 | 52万円 | 77万円 | 104万円 | 114万円 |
| コンサル業 | 51万円 | 82万円 | 95万円 | 103万円 |
| 保険業 | 58万円 | – | 100万円 | 113万円 |
| 不動産 | 62万円 | – | 97万円 | 113万円 |
自社に適切なマネジメントシステム構築の提案
ISMS認証取得の重要なステップである情報セキュリティマネジメントシステムの体制構築は、取得後の運用にも大きく影響します。
そのため、自社にあった適切なマネジメントシステム体制を提案してくれているかどうかも重要な選定ポイントとなります。
ISMSを取得するためだけのマニュアルに、ただ自社のシステムを当てはめるようなシステムを構築すると、形骸化につながってしまうでしょう。
コンサルタントの経験と同様に、自社に適したマネジメントシステム構築の提案をしてもらえるかどうかは、コンサルティングサービスの質を見分けるポイントのひとつといえます。
サポート体制の充実度
ISMS取得までのサポート体制も事前確認が大切です。企業によっては訪問回数の制限がある場合や、文書作成が対応範囲外の場合もあります。
このようにサポート体制が充実していなければ、自社の負担が多くなり認証取得コンサルティングを依頼している意味が感じられないといったことにもつながりかねません。
スムーズな取得を実現するためにも、不明な点があった際に気軽に質問ができる会社なのかどうかを確認しておくことが大切です。
自社の負担を最小限に減らし、本業に専念しつつISMSの取得が目指せるコンサルタントを選択するようにしましょう。また、構築後の運用支援を行っているコンサルティング業者もあるため、継続的なサポートを希望する場合にはそうしたサポートを行っている業者を選択することがおすすめです。
まとめ
この記事では、ISO27001取得においてコンサルに依頼すべきかどうかや自社取得との違い、コンサルになるための資格、コンサルを選ぶポイントについて解説しました。
結論として、ISO27001取得はコンサルに依頼することがおすすめです。自社にかかる負担を低減できるうえ、自社の実情に適したマネジメントシステムを構築・運用できるようになります。また、ISO27001取得の審査に通過できる確率も大幅に向上するでしょう。
そのためにも、経験豊富で信頼できるコンサルティング業者を選ぶことが重要です。複数社から見積もりを取るとともに実際に話し合う中で最も納得できる提案をしてくれた業者を選びましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい