ISMS/ISO27001認証取得は、企業のマネジメントシステムの根幹になる部分ですのでコンサルティング会社に委託する場合は、選定に慎重になるかと思います。
間違ったコンサルティング会社選びをしない為のポイントをまとめておりますので、是非ご参考下さい。
相談段階でのよくあるトラブル
| どういったものが完成するかのイメージがつかない | 取得に向けての取り組みを行なっていることをイメージいただくことは重要な事だと我々は考えています。 コンサルタントの話していることを具体的にイメージできないとなると、そのコンサルタントの経験が少ないと言えるかもしれません。 |
|---|---|
| スケジュール作成で融通を聞いてもらえない | コンサルタントの都合を中心に作成されたスケジュールだけでしか進めれない場合、短期取得等のコンサルティング経験がなかったりする可能性があり、取得期間についての相談が出来ない可能性があります。 |
| 自社に合わない内部文書を提案してくる | コンサルタントによって作る文書、ひな形文書は様々です。 取得会社の規模やその事業の内容を考慮し、自社に合った運用出来る仕組みやその根拠となる文書を提案してくれるコンサルタントが最善であると考えます。 |
上記の様なトラブルを回避する為には、以下の様な提案をしてくれるコンサルタントを選定すべきです。、
- ISMS/ISO27001をよく知ったコンサルタントが提案してくれる
- 自社に合った、具体的な取得のためのスケジュールで提案してくれる
- 運用出来る会社に合った内部文書を提案してくれる
取得取り組み中のよくあるトラブル
| ひな形だけを提供するコンサルタント | ひな形文書を提供して「この手順に沿って運用してください」というコンサルタントがたまにいますが、運用が始まると矛盾点や運用出来ない点が出てくることが多くあります。 大事なことは、コンサルタントと共に会社に合った文書を仕上げていくことです。 |
|---|---|
| リスクを金額で表現しようとする | リスクに対する基準が明確で、管理策の選定ができるような方法を体系的に実施できるのであれば表現の仕方は自由です。 |
| 詳細管理策を全て適用させようとする | 114個ある詳細管理策を全て適用させて取得することは、会社にとって必要ないリスクを考慮したり、逆に業務の妨げになるものまで会社として管理策を採用することになり逆に業務効率を下げることになったり、リスクを増加させてしまう可能性があります。 |
上記のトラブルを回避する為には、以下の2点に気をつけてコンサルタントを選定すべきです。
- 一緒に運用出来る文書を作成してくれるコンサルタント
- 様々なやり方を提案してくれるコンサルタント
取得後のよくあるトラブル
| 運用を手間に感じて社内に浸透しない | 「文書ありき」でISMS/ISO27001を取得すると形は良いが、ルールが形骸化する可能性があります。 そうなってくると定期的な維持審査や更新審査の直前だけ記録を用意したりと、どんどん形骸化が進んでしまいます。 |
|---|---|
| 文書に何が書いてあるかよく分からない | 運用における手順書の文量が少なすぎると、どう運用すれば良いか分からないということが発生します。 手順書についてはコンサルタントと相談しながら決めていき、 取得後にも定期的に文書の見直しを行うことをお勧めします。 |
上記の様な取得後のトラブルをなくすためには、取得の際にコンサルタントと共にどうすれば一番運用しやすいかを模索しながら進めることが非常に重要になってきます。
また、運用のしやすさを模索しながら認証取得を行う事により、取得後の運用が非常に楽になります。
