ISMS取得における人的コストについて

この記事は約3分で読めます。

ISMSを取得するにあたって、金銭に関わるコストや時間工数などの人的コストなど、様々なコストが発生します。
今回は少し目に見えづらいですが、人的なコストの部分について触れていきたいと思います。

人的なコストがどういった部分に必要となってくるかと言うと、主に下記が想定されます。

  1. 文章の作成やリスクアセスメントの実施などの工数
  2. 決めたルールを運用するにあたっての、手間や現場からの相談対応、確認のための工数
  3. 審査を受けるための工数

人的なコストは、金銭にすぐカウントできず目に見えづらいものなので、意外と軽視されやすいものになります。
ただ、人的コストはしっかり意識をしておかないと、スケジュール通りに認証が取れるかどうかなど、取得のプロジェクトの成否に大きく影響が出る部分と言えます。

自社で取得する場合

では、ISMSを自社取得する場合、前途した1~3の工数がどのようにかかってくるか見ていこうと思います。
先に結論を言ってしまうと、全部の工数が100%かかってくると言って過言ではありません。

例えば、1のリスクアセスメントを実施するといっても、そのための帳票類をどうするのか調査し、フォーマットを作成し、リスクアセスメントの基準を定めるなど様々なことを考え、決めて、実施が必要になります。
具体的に何時間必要かは判断が難しいですが、数時間程度では済まないものと想定されます。

2の運用にかかる工数も、自社取得の場合100%以上かかるといえます。
運用は自社でする以上、コンサルのサポートはあまり関係ないかもしれないですが、ISMSのルールは物理的なものからシステム関係まで幅広くルールがあります。
事務局の人がシステムやITに詳しくない場合、相談等を受けても対応が難しくなります。
事務局だけではなく、システムに精通している人の人的な工数も必要になり、どんどん工数がかかってくることになるわけです。

コンサルティング会社に依頼する場合

コンサルティング会社に依頼する場合はどうでしょうか?
まず、1の文書作成やリスクアセスメントにかかる工数は大幅に削減出来ます。
土台となる文書リスクアセスメントの手法、基準がコンサル側で用意できるため、それを自社に調整し実施していくことになるため、工数は削減可能になります。

2も、コンサルを入れることで規格や自社にある程度合わせた内容でのルールが策定でき、取り組みを開始出来ます。
ISMS構築の経験豊富なコンサルであれば、過度なルールがさほど発生せずに運用が開始でき、質問・相談があっても外部の知見を活かしてスムーズな対応が期待できます。

人的コストを抑えるためには?

最終的に、人的なコストを抑えるためにはどうすれば良いでしょうか?
やはり、外部の知見をフル活用することが工数削減の手段として一番効果的だと言えます。

もちろん書籍などに比べコンサルを登用する場合は、それなりにお金もかかるため、費用対効果を考慮する必要があります。

お金の面に比べ、人的なコストはパッと目には見えないものになりますが、ISMSの取り組みでかかった工数分、通常業務などの手間が増えてしまった、残業が増えてしまった、営業上の数字が下がったなど、どこかに影響が出てしまう可能性があります。
冒頭でも申し上げましたが、ISMS取得のためのプロジェクトの成否にも関わってきます。
もちろん、自社取得をすることでお金を大幅に抑えることは可能ですが、自社取得を決定する前に一度、どの程度の工数がかかるか試算してみても良いかもしれません。

ISMS / ISO27001認証取得を目指す
タイトルとURLをコピーしました