ISO27001新米担当者の奮闘記 〜ISMS構築プロジェクトの進め方〜 第4回 コンサルティング会社を選別する際の注意点 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.09.21(金)

ISO27001新米担当者の奮闘記 〜ISMS構築プロジェクトの進め方〜 第4回 コンサルティング会社を選別する際の注意点

ISO27001新米担当者、磯一郎が試行錯誤しながらISMS構築を進める物語です。物語を通して、ISO27001取得までの過程や気をつけるべきポイント、スムーズに構築を進めるためのノウハウなどをご紹介します。 (※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋

特集 特集
ISO27001新米担当者、磯一郎が試行錯誤しながらISMS構築を進める物語です。物語を通して、ISO27001取得までの過程や気をつけるべきポイント、スムーズに構築を進めるためのノウハウなどをご紹介します。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
太田 智明
浦名 祐輔
http://rm.jmc.ne.jp/service/iso27001/27column04.html

■「コンサルタントを入れるか、独力で認証を取るか」

認証範囲とプロジェクトメンバーが決まり、あとはプロジェクトのキックオフを待つのみという状態なのですが、最近メンバー内でよく議論になるテーマがあります。それは、「コンサルタントを入れるか、独力で認証を取るか」ということです。

僕個人としては、自分たちだけでISO27001を取得するつもりでいたので、「コンサルタントを入れなくて良いのでは」という話をするのですが、これには反対意見が多いのです。

「コンサルタントのノウハウを使った方が効率よくプロジェクトが進む」
「素人では分からない箇所が多すぎる」
「コンサルタントが代わりに作業してくれるのだから、楽じゃないか」

プロジェクトメンバー内ではこのような意見が多数を占めています。

皆で議論した結果、必要ならばコンサルタントを使おうという意見にまとまり、数社のコンサルティング会社から見積もりをもらい、サービス内容を提案してもらおうということになりました。

ということで早速、インターネットで調べたコンサルティング会社に声をかけ、3社に提案してもらいました。

■コンサルティング会社によってさまざまなサービス内容

・A社
価格:700万円
支援内容:コンサルタントが我々の代わりに作業をやってくれる。
我々は作業指示や意思決定、成果物のチェック程度の作業で済む。
確かに楽だけれど、価格が高すぎる…

・B社
価格:180万円
支援内容:作業は我々が担当し、コンサルタントはそれらのレビューやプロジェクト推進のアドバイスをしてくれる。
価格は妥当だが、コンサルタントがIT業界をあまり知らないようなのが気になった…

・C社
価格:250万円
支援内容:C社と提案内容にほとんど違いはなかったが、コンサルタントがIT業界出身だったので、当社のようなソフトウェア開発業がISO27001を取得する際のポイントを色々と教えてくれた。
コンサルタントの性格も良さそうで、個人的には一番気に入った会社。

コンサルティング会社に提案してもらったことで、ISO27001取得のポイントが良く分かりました。どうやら僕自身、甘く見ていたことに気が付き、今ではコンサルタントを入れる方に気持ちが傾いてます。皆も僕と同じ気持ちのようなのですが、3社の内、どこに発注するかで意見が割れています。

価格重視か、自分たちが楽をしたいか、安心感か、どれもメリットがあるので迷います。この議論はしばらく続きそうです。

そんなうちに、今日の就業時間は終わってしまいました。

「ISO27001コンサルタントからのアドバイス」

■コンサルティング会社を選ぶ3つのポイント

こんにちは、ISO27001コンサルタントの山田太一です。さまざまなコンサルティング会社がありますから、迷いますよね。今回は、コンサルティング会社を選ぶ3つのポイントをご紹介します。

■[1]実績を備えた安心できるコンサルタントか

コンサルタントを利用して認証取得を行うメリットは、以下の4点が考えられます。

(1)自社で認証するより短時間で認証取得が可能になる。
(2)審査までに具体的に何をすればよいのかが明確になる。
(3)不安事項を解消してくれる。
(4)事務局の作業負担が軽減される。

ただし経験不足のコンサルタントや、実績が乏しいコンサルティング会社を選択してしまうと、「質問に対して明確な回答が得られず、作業が停滞してしまう」「顧客の業界、業務内容などを考慮せず、サンプルを一方的に押し付けられ窮屈感や、不足感が多く存在した仕組みになってしまう」などの問題が起こる可能性があります。

この結果、停滞や見直しによる大幅なスケジュールの遅延や、場合によっては認証取得のプロジェクトが挫折してしまう恐れもあります。よってサービスを提供するコンサルタントが実績を備え、安心できる人なのかを見極める必要があります。

■[2]提供を受けるサービスは自社にあったものか

磯さんが説明を受けたように、現在ISO認証取得を目指す際に、様々なサービスを付加している企業があります。

ここで認識していただきたいことは、これから作成される文書などは「今後皆さんが守るルールである」ということです。磯さんをはじめとするプロジェクトメンバーはそのルールを社内の他のメンバーに伝える伝承者の役割も担っています。

伝承者となるには、作成された規程の意味や目的を理解していなければなりません。「なぜ、このルールを守らなければいけないか」という説明ができず、現場へルールが浸透しなくなってしまう恐れがあるからです。

また審査時には…

【執筆:太田 智明、浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/iso27001/27column04.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×