ISMS/ISO27001やプライバシーマークといった情報セキュリティ認証をお持ちの会社様であれば、多くの場合、弊社のようなコンサルティング会社からの支援を受けたご経験をお持ちかと思います。
では、自社の担当となった情報セキュリティコンサルタントが『当たり』か『ハズれ』か、どのように見極めればいいのでしょうか。
見るべき3つのポイント
1. 難解な専門用語を使わない
情報セキュリティ認証の取得に際しては、文書、規程、マニュアルを始めとする書類との格闘が、多かれ少なかれ求められます。
そしてその中には、普段の生活ではまず見かけないような表現や語句が頻出します。
そういった『専門用語』を、プロジェクトのやり取りでもそのまま使用してくるか、もしくは、分かりやすい自社の業務に引きつけた語句に『翻訳』して説明してくれるかをチェックしてみましょう。
2. お客様の業界や業務に通じている
ISMS/ISO27001もプライバシーマークも、それらが求められる業界は多岐にわたります。
必然的に、情報セキュリティコンサルタントは、様々な業界の会社様とお付き合いを重ねていくことになるのですが、当然ながら、初めて関わることになる業界も多く存在します。
そんな時に、『当たり』のコンサルタントは、例え未経験の業界であっても、事前のリサーチや勉強を怠らず、業界特有の言い回しや商習慣、その歴史や業務分布などを熟知した上でプロジェクトに臨みます。
なぜなら、そういった事前準備をしない状態では、本当の意味でお客様との十分なコミュニケーションが図れず、プロジェクトが不完全燃焼に終わってしまう恐れもあるためです。
自社のこと、自社が属する業界のことをどれだけ知っているのか、その知識レベルや造詣の深さをチェックしてみましょう。
3. プロジェクトを率先してリードしてくれる
意外に多いのが、お客様の方から催促をしないと、次の作業指示や打ち合わせ連絡をしてくれない情報セキュリティコンサルタントです。
コンサルタント側からすれば、『数ある情報セキュリティ認証取得プロジェクトの1つ』なのかもしれませんが、多くのご担当者様にとっては初めての取り組みです。
ゴールの見えないマラソンを、不安を感じながら走り続けなくてもいいように、上手くリードしてほしいところですよね。
実際のコンサルティングが始まる前のやり取りや、営業時のレスポンスなどを踏まえ、リーダーシップが期待できそうかチェックしてみましょう。
さいごに
いかがでしたでしょうか。こうやって列挙してみると、結局のところ、お客様目線に立ったコミュニケーションが実現できているか、という点に集約されるのかもしれませんね。
これからISMS/ISO27001やプライバシーマークを取得されるという会社様で、自社を担当する予定のコンサルタントと顔を合わす機会があれば、それとなく上記のような点をチェックしてみてください。
また、認証取得はコンサル会社に支援を依頼するケースがほとんどです。しかし、地雷コンサル会社に当たってしまうと時間も費用も無駄になってしまいます。地雷コンサル会社を見抜く6つのポイントをまとめた無料の資料をご用意しましたので、ぜひご確認ください。