失敗しないISMSコンサル会社選定の流れ

この記事は約10分で読めます。

ISMS/ISO27001認証取得(以下、ISMS認証)は、企業のマネジメントシステムの根幹になる部分ですのでコンサルティング会社に委託する場合は、選定も慎重になるかと思います。

以下では、そのような企業・組織の皆様に向けて、失敗しないコンサル会社選びの流れを詳しくご説明しておりますので、ぜひご確認ください。

自社の優先順位を決める

コンサル会社を利用してISMS認証を取得すると決まったら、いきなりコンサル会社について調べるのではなく、まずはISMS認証取得において、自社が何を優先させるのかを決めましょう。

コンサル会社を選ぶ上でのポイントを洗い出し、譲れない点と譲歩できる点を洗い出していくイメージです。

コンサル会社を選ぶ上でのポイント(例)
  • 認証取得までの期日、スケジュール
  • 必要となる費用
  • 作業負担
  • ルールの質、実効性
  • コンサルタントとの相性

一般的には、上記のようなポイントに対して、それぞれ自社にとっての重要度を決めていくパターンが多いように思います。

それぞれのポイントについて、深堀りしていきましょう。

認証取得までの期日、スケジュール

  • クライアントからの要望で認証を取得しなければならない
  • 社長から認証取得の期日を指定されている
  • 新サービスのリリースまでに認証を取得したい

といった状況の場合、スケジュール感が最優先でしょう。
そのようなときは、自社の求めるスケジュールに合わせた対応を取ってくれるコンサル会社の選定が必要になります。

ただし、コンサル会社に委託さえすれば認証を取得できる!というものではなく、自社内でも相応の作業が発生するという点は認識しておく必要があります。

もちろん、コンサル会社を入れることで、大幅に工数は削減可能ですが、自社で運用するためのルールを作成する作業において、自社での作業が0になることはありません。(コンサル会社に丸投げしてしまうと、会社の実態から大きく乖離したルールが出来上がってしまうため)

「●月までに急いで認証を取得したい!」という場合、本来であれば2週間かけてやれば良いはずだった作業を1週間でやらなければならない、という事態にもなりえます。

そのため、スケジュール感を重視するのであれば、コンサル会社から与えられたタスクを短期間にこなしていく覚悟が必要になるでしょう。

スケジュール感を重視したコンサルティング事例

3か月でのISMS認証取得を目指しLRMにサポートを依頼しました。効率化のためのツール類、バックアップ体制などの仕組みが素晴らしかったです。

他社では無理と言われたISMS&ISMSクラウドセキュリティ認証の短期取得。可能としたのは、LRMが実績に基づき確立した、納得の方法論でした。

LRMのサポートがあれば4カ月という短期間でもISMS認証取得が可能です。しかも業務効率を落とさずにセキュリティを担保できるマネジメントシステムが構築出来ました。

必要となる費用

認証取得に制限なく投資できる企業というのは数少なく、大半は「予算があり、その範囲内でコンサル会社を選定しなければならない」というパターンです。

そのため、費用感というのもコンサル会社を選ぶ上での重要なポイントの1つかと思いますが、費用感を重視する企業が注意しなければならないのは、下記2点です。

1. 安かろう悪かろうなコンサル会社に引っかかること

ISMS認証の取得支援コンサル会社は数多くありますが、その全てが良質なコンサルティングを提供しているかといえばそうではなく、テンプレだけを渡して、一方的にやり方を押し付けてくるコンサル会社も存在します。

格安コンサル会社の全てがそのような質の悪いコンサル会社というわけではありませんが、相場と比べて大幅に価格が安いコンサル会社を選定する場合は、事前の入念なチェックが重要です。

2. 取得後の維持にかかる費用を試算し忘れること

ISMS認証は取得すれば終わり、というわけではありません。

取得をした後も、毎年ISMS認証を維持し続けるための活動をおこない、年に1度は維持審査や更新審査を受ける必要があります。

質の悪いコンサル会社のコンサルティングを受けた結果、認証取得後の取り組みがうまくいかず、結果的に「もう一度別のコンサル会社にコンサルティングしてもらうことになった」「審査のたびにコンサルティングを受け、結果的に莫大な費用がかかった」という話は少なくありません。

多少割高なコンサル会社を選んだ結果、認証取得後の運用を見据えたコンサルティングを受けることができ長い目で見るとお得だった…というパターンもありますので、費用を検討する際は、長期的な目線を持つことが重要です。

認証取得後の運用を見据えたコンサル会社選定の例

クラウドに完全にコミットしたことがISMS認証取得成功のカギでした。それを理解するLRMだったからこそ短期取得が実現しました。

ISMS認証取得後の運用を見据え安定したサポートが期待できるLRMに依頼。狙い通り情報セキュリティの基盤は整いました。

ISMSの選任担当者は確保出来ないので融通が利くコンサルティング会社を探しました。困った時に柔軟に対応してくれるLRMのサポートは本当に助かります。

作業負担

コンサル会社を利用しようとしているということは、ISMS認証取得にかかる作業負担の軽減を考えているはずです。

認証取得において社内で専任の担当者を立てられるケースは少なく、ほとんどの場合、ISMS認証取得業務を任された誰かが、普段の業務と並行して取り組みます。

作業負担は企業規模や認証取得範囲などによって大きく異なるため、一概には言えない部分ではありますが、最低でもどのような作業が発生するのかは事前に確認し、各コンサル会社ごとにどういった作業のどのような負担がどの程度削減されるのか、確認したほうが良いでしょう。

作業負担を重視したコンサルティング事例

LRMのサポートがあれば、担当者1人でも十分にISMSが取得できます。何故このルールが必要か?という説明もわかりやすく、とても役に立ちました。

情報セキュリティは文化にしなければ意味がありません。そのためには組織が拡大する前に取り組むべきです。ベンチャー企業を理解するLRMなら柔軟にサポートしてくれます。

ISMS認証取得がスムーズに行ったのは、LRMがしっかり進捗状況を管理してくれたおかげです。今後もより良く運用するために、保守サービスを契約しました。

ルールの質、実効性

ISMS認証取得を検討する企業様が軽視しがちな項目の1つに、「出来上がるルールの質、実効性」があります。

なぜなら、ルールの質や実効性は、認証取得後、運用してみないと分からないためです。実際、「認証さえ取れればそれでいい」という企業や「ルールの質はどうでもいい」という企業もいます。

クライアントからの要望で認証取得する場合にそのように言われる傾向が強いですが、ルールの質を軽視すると運用が大変になり、結果として「形だけのISMS」のために無駄な数百万を支払い、業務に負荷をかけることになってしまいます。

また、認証は取得して終わりではなく、定期的に審査があります。最初に構築するルールが自社の実態を反映していない結果、審査の度に冷や汗をかいているという話は良く聞きます。

長く運用していくのであれば、自社に適したルールを構築してくれる柔軟なコンサル会社を選択するのが無難です。

ルールの質、実効性を重視したコンサルティング事例

ISMSの取り組みで、生産性を損なわない合理的なルールを維持しながら、リスクに向き合えるようになりました。

LRMのサポートでISMSとPマークの同時取得がスムーズに完了しました。柔軟なルール作りは、スピードを重視するベンチャー企業にぴったりです。

ISMS認証取得という形だけではなく実質的にそのレベルに到達した上でお客様にご安心いただくことがセキュリティポリシーを構築し認証を取得することの意義。それが理解できたことが大変重要です。

コンサルタントとの相性

ISMS認証取得の取り組みは、数ヶ月に渡りますし、認証取得後も継続してコンサル会社のサポートを受けるのであれば、何年にも渡る付き合いになります。

顔を突き合わせて取り組みに関する相談をすることも多くなる中で、コンサルタントとの相性は非常に重要です。

そのため、Webサイト上でコンサルタントの顔が見える会社や、必要であれば事前にコンサルタントと顔合わせができる会社、もしくはコンサルタントとの相性次第では別のコンサルタントにチェンジしてくれるようなサポートがある会社を選んでおくと、長期のお付き合いになっても安心です。

コンサルタントとの相性を重視したコンサルティング事例

ビジネスライクではない、寄り添ってくれるようなサポートは期待通り。LRMのおかげで構築したルールを浸透させる体制を築くことが出来ました。

短期間でのISMS認証取得と形骸化しないルールの構築。両立困難と思えた2つの要求をしっかり実現していただきました。

LRMのサポートでISMS認証を取得。予想以上に我々の負担は軽く感じました。開発や営業に専念できるよう運用保守サポートも契約します。

情報収集をおこなう

コンサル会社を選ぶ際のポイントを絞ることができたら、次は情報収集です。

ネットの情報だけではコンサル会社の違いが良く分からないという声もよく聞きますが、その場合、やはり口コミが頼りになります。 

自社の周りのISMSやPマークを持っている会社に話を聞いてみてください。コンサル会社を使って認証を取得しているケースが多いはずです。そういった会社からどのコンサル会社を使ったか、良かったか悪かったか、どのような点が気になったか、取り組みで大変だった点は何か等を確認しておきましょう。

悪い方の口コミは集まりやすく、特によく聞く口コミは「担当コンサルタントがコロコロ変わる」ですが、他にも「連絡の不備が多い」「日程調整の融通が利かない」「セキュリティに関して全く知識のないコンサルタントがあてがわれた」「最初のコンサルタントは良かったが、交代する度にコンサルタントの質が落ちていった」などです。

ちなみに、口コミで良かったから良いコンサル会社というわけではありません。コンサルティングは相性によるところもあるため、必ず一度はお打ち合わせにて話を聞くべきです。

また、下記の方法もあります。

審査機関に聞く

認証取得から更新に至るまで、長いおつきあいとなる審査機関。その審査機関のオススメのコンサル会社であれば、ある程度は安心して任せられるはずです。

コンサル会社に聞く

コンサル業界のことはコンサル会社が一番詳しいです。ただし、当然自社を選んでほしいというのが本心ですので、気になっているコンサル会社の良い点や悪い点を聞くのが良いでしょう。コンサル会社を選ぶ際に気をつけることなども教えてくれるはずです。ただし、メールでは教えてもらえないので、電話やお打ち合わせ時に聞きましょう。

実際に会って話を聞いてみる

時間がない=スケジュール重視の場合、実際に打合せをせず、電話で契約に至るケースもあります。

しかし、コンサルティングは形のないもので、相性面も大切です。極力お打ち合わせはしたほうが良いでしょう。

注意点としては、3社程度に絞って聞くことです。多く聞きすぎても同じような話ばかりで時間の無駄になるケースも多いですし、3社も聞けば十分でしょう。

絶対に確認したい点は下記のとおりです。

  • 費用感
  • スケジュール感
  • 自社が負担する作業
  • コンサルティングの質
  • コンサル会社のやり方を押し付けてこないか
  • ルール違反をすすめてこないか(※1)
  • 担当コンサルタントの変更は可能か
  • 在籍しているコンサルタントが外注ばかりではないか(※2)

※1 まれに、ISMSのルールや法律に反した提案をおこなってくるコンサル会社がありますので、要注意です。

※2 外注コンサルタントが悪いわけではなく、単純に取得後の運用サポートをしてもらえないケースがありますので、長期の支援を受けることが可能か、事前に確認する必要があります。

コンサル会社を最終選定する

優先順位をつけた状態で、情報収集をし、最後に打合せを実施すれば、コンサル会社の最終選定にそこまで時間はかからないはずです。

自社の要求をクリアするコンサル会社に依頼しましょう。

思った以上にコンサル会社の選定に時間がかかり、結局「目標としていた期日までに認証取得が間に合わなくなった」という企業は意外と多いです。

また、期日まで時間がない場合、特急料金がかかったり、自社の負担が増加したりと、あまり良いことはありません。早く結論を出し、早くお取り組みを開始したほうが良いでしょう。

ISMS / ISO27001認証取得を目指す
タイトルとURLをコピーしました