格安コンサルに要注意
ISMSの認証取得会社が増えていく中、それらをサポートするコンサルティング会社も増えてきています。
ISMSの認証取得が1つの目標でもある以上、コンサルティング会社を比較していてもその差がわからない、選びようがない。
そういった時に目を引くのが価格の安さばかりを強調するコンサルティング会社です。
格安コンサルのデメリット
格安コンサルティング会社に依頼した場合、以下のデメリットなどが考えられます。
- コンサルタントが提示する管理策の内容に合わせることになり、自社の現状等が尊重されない
- 工数削減のため、ひな形のマニュアル等に意見を言っても修正等の検討をしてもらえない
- 策定するルール等が会社の実情、やりたい方向性に合っていない
つまり、コンサルタントがやり易いようにルール等を押し付けられ、認証取得は出来たが会社のことを考えてもらえないルール・マニュアルになってしまうわけです。
なぜ、そのようなことが起きるかと言うと、そうしてコンサルタントのテンプレートに全て乗せることで取得までのコンサルタント側の工数等を削減出来、1つの会社へ対するコストが削減出来るからです。
その結果、金額を下げても利益が残るという計算になるのです。
そんなコンサルタント側の一方的な都合でルールやマニュアルを押し付けられた会社側はISMSは認証することができても、その後の運用や維持審査・更新審査の中で自社の業務や現状・実情、やりたい方向性に合っていないことに気づいていき、ルールが破綻してきます。
取り組みの最初はISMSがどんなものか分からず、また認証取得を得ることに必死なため気づきません。
ですが、時間が経ち審査等を経験していく中で、ISMSの認証・維持でやっていることが自社に合っていないことに気づいてきます。
そうなるとルール等の見直しが必要になってきますが、またその際にコンサルタントを使うことになるとお金がかかりますし、時間もかかります。
そうならないためにも取得のタイミングから一緒に自社に合ったルールを作ってくれるコンサルティング会社を選定することがISMSの中長期的な維持で重要になってきます。
規格には具体的なことは書かれていないので認証を得るために必要なルール等はある意味自由に考えていけます。
だからこそ、コンサルティング実績を様々な業界で持つコンサルティング会社に依頼し、一緒に会社にあったルールを考えていけるコンサルタントに依頼することが苦労・破綻しないISMS作りのポイントになってきます。
格安コンサルに惑わされてしまうと、認証取得は出来たがそれを維持していくことに無駄にお金や時間、手間を取られてしまい、ISMSの維持が破綻してしまう可能性があります。
相談段階でのよくあるトラブル
コンサルティング会社を選ぶ際には値段にばかり目がいってしまいがちですが、失敗すると様々なトラブルが発生します。
どういった文書やマネジメントシステムが完成するかイメージが出来ない
取得に向けての取り組みを行なっていることをイメージいただくことは重要な事だと我々は考えています。
営業とコンサルタントが別の場合だとよくあるのですが、話していることを具体的にイメージできないとなると、そのコンサルタントの経験が少ないと言えるかもしれません。
コンサル側のスケジュールを押し付けられる
コンサルタントの都合を中心に作成されたスケジュールだけでしか進めれない場合、短期取得等のコンサルティング経験がなかったりする可能性があり、取得期間についての相談が出来ない可能性があります。
会社規模、業種等に合わせた文書の提案がない
コンサルタントによって作る文書、ひな形文書は様々です。
取得会社の規模やその事業の内容を考慮し、自社に合った運用出来る仕組みやその根拠となる文書を提案してくれるコンサルタントが最善であると考えます。
こういったトラブルが起きないよう、以下の点に気をつけて、コンサルティング会社を選定する必要があります。
- ISMS/ISO27001をよく知ったコンサルタントが提案を実施する
- その会社に合った、具体的な取得のためのスケジュールで提案する
- 運用出来る会社に合った内部文書を提案する
LRMでは、ご相談時点で実績のあるコンサルタントがヒアリングをさせていただき、お客様の会社に合ったISMS/ISO27001認証取得のご提案をさせていただきます。
取得取り組み中のよくあるトラブル
ひな形文書だけを渡すコンサル
ひな形文書を提供して「この手順に沿って運用してください」というコンサルタントがたまにいますが、運用が始まると矛盾点や運用出来ない点が出てくることが多くあります。
大事なことは、コンサルタントと共に会社に合った文書を仕上げていくことです。
詳細管理策を全て適用させようとする(検討してくれない)
114個ある詳細管理策を全て適用させて取得することは、会社にとって必要ないリスクを考慮したり、業務の妨げになるものまで会社として管理策を採用することになり、逆に業務効率を下げることになったり、リスクを増加させてしまう可能性があります。
上記のトラブルを回避する為には、以下の2点に気をつけてコンサルタントを選定する必要があります。
- 一緒に運用出来る文書を作成してくれるコンサルタント
- 様々なやり方を提案してくれるコンサルタント
LRMでは、必要最低限のルールを制定しつつお客様の会社に合った運用出来るISMS/ISO27001認証取得の
ご提案をさせていただきます。
取得後のよくあるトラブル
取得した後の運用でも取得時のコンサル選びに失敗した場合には次のようなトラブルが起きる可能性があります。
運用の方法がよく分からず実施・浸透出来ない
「文書ありき」でISMS/ISO27001を取得すると形は良いが、ルールが形骸化する可能性があります。
そうなってくると定期的な維持審査や更新審査の直前だけ記録を用意したりと、どんどん形骸化が進んでしまいます。
文書に何が書いてあるかよく分からない
運用における手順書の文量が少なすぎると、どう運用すれば良いか分からないということが発生します。
手順書についてはコンサルタントと相談しながら決めていき、取得後にも定期的に文書の見直しを行うことをお勧めします。
上記の様な取得後のトラブルをなくすためには、取得の際にコンサルタントと共にどうすれば一番運用しやすいかを模索しながら進めることが非常に重要になってきます。
LRMでは認証取得の段階から、取得後の運用のしやすさ・会社にあった最適な文書量でのISMS/ISO27001認証取得のご提案をさせていただきます。
お気軽にご相談ください
- サービス資料請求
- ダウンロード(無料)
- お問い合わせ
- お問い合わせフォーム
神戸・東京オフィスで、情報セキュリティマネジメントシステムの国際規格であるISO27001/ISMSの認証を取得しています。
![無料相談ダイヤル:[tel_free_consul]](https://www.lrm.jp/iso27001/wp-content/themes/lrm_basic/images/f_tel.png)