最終更新日:2024-10-24
取引の円滑化を見据えて、ISMS認証の取得を考えている総務部門の方へ。ISMSコンサル会社に依頼するメリットや依頼できること、タイプと選び方、費用の目安などをおすすめの会社と共に紹介します。
ISMS/ISO27001向けコンサルティング会社とは、ISMSの構築・運用・管理や、ISO27001(ISMS認証)の取得・運用・更新を支援するコンサルティングサービスを提供する企業のことです。
ISMSとは、情報セキュリティマネジメントシステムの略称です。企業などの組織において情報セキュリティを適切に管理するための仕組みのことで、情報資産を守り、有効活用するうえで重要とされています。
そして、ISO/IEC27001はISO(国際標準化機構)とIEC(国際電気標準会議)が定めたISMSに関する国際規格のこと。ISO27001を取得していると、「機密性、完全性、可用性のリスクを考慮した対策」が取られていると見なされるため、社外や取引先からの信頼獲得につながったり、公共工事等へ入札する際に加点されたりといったメリットがあります。
この規格は単に「ISMS認証」と呼ばれることもありますが、本記事ではISO27001(ISMS認証)と呼び、システムとしてのISMSと区別しています。
ISO27001(ISMS認証)の取得には情報の機密性、完全性、可用性を維持することが求められます。取得には最短でも数カ月かかり、取得後も1年に一度の維持審査と3年に一度の更新審査に合格しなければいけません。
ISMSの構築やISO27001(ISMS認証)の取得にあたって、専門会社のコンサルティングを受けることには次のようなメリットがあります。
なお、コンサルを使わずに、取得を自社で進めていくことも選択肢にある場合、ISMS管理ツールを活用するのも一つの手です。詳しくは「ISMS管理ツール6選。自動化の範囲や選び方は?」をご覧ください。
コンサル会社によって多少の違いはありますが、主に以下のようなことを依頼できます。
| ISMS構築 | 企業の事業内容や規模、固有のリスク、課題等の現状を把握・評価し、ISMSの基本方針とISMSの構築計画を策定。また、情報資産の洗い出しやリスクアセスメントを行い、その対策基準や実施手順などを策定する |
|---|---|
| ISMS運用 | 構築したISMSを導入・実装し、PDCAを回して修正を行ったのち、内部監査を実施。結果に基づき是正する |
| ISO27001(ISMS認証)取得 | 認証審査に際して事前準備などのサポートを行う。模擬審査の実施や審査機関の選定、審査時の立ち会いサービスを提供する会社も |
| ISO27001(ISMS認証)の継続・更新 | 1年ごとの継続審査や3年ごとの再認証審査(更新審査)に備え、文書関連の支援やリスクアセスメントのスキーム見直し、外部監査・内部監査のオブザーバ、審査申請書類作成、審査立ち会いなどを行う |
| 教育支援 | 社内研修やeラーニングを通じて、従業員及び経営層に対してISMS関連知識の浸透、判断力強化などを行う |
ISMS向けコンサル会社には、以下のようなタイプがあります。自社のニーズに適したものを選びましょう。
ISO27001(ISMS認証)の確実な取得を保証するタイプ。「確実に認証を取得したい」「万一取得できなかった時のリスクを回避したい」といった場合は、取得保証をうたっているサービスを利用しましょう。
たとえばスリーエーコンサルティングの「ISO27001(ISMS)新規取得・運用改善サポート」は、100%の認証保証を行っており、万が一審査不合格の場合には全額返金されます。
また、LRMの「ISMS/ISO27001認証取得コンサルティング」も100%の取得保証をうたっており、専属のチームがISO27001(ISMS認証)取得まで徹底してサポートします。
通常、ISO27001(ISMS認証)は取り組み開始から取得完了まで8カ月以上かかることが多く、長期間のスケジュール進行となります。入札条件や取引先からの要請といった事情から、短期間に取得する必要がある場合、こちらのタイプがおすすめです。
たとえば、UPFの「ISMS(ISO27001)新規取得/運用・更新支援事業」はハイスピード短期取得が強み。最短3.3カ月での認証実績があります。
また、NSSホールディングスの「ISO27001(ISMS)認証サポート」は、6カ月以内の取得を目指す「スピードサポート」というオプションを用意。期日に合わせたスケジュールを提案してもらえます。
ISO27001(ISMS認証)を取得した後の運用までフォローしてほしい場合は、それを見据えた取り組みをしてくれる会社や、運用支援メニューがある会社を選びましょう。
たとえばオプティマ・ソリューションズの「ISO27001(ISMS)取得支援」は、認証取得後の運用まで見据え、無理なく業務に浸透するISMSを構築。取得後にコンサルタントが定期訪問を行い、PDCAを回しながら改良を加えたり、社内研修を導入して社員教育を行ったりといったサービスを提供しています。
また、ISOコムの「ISO27001(ISMS)取得コンサル」は、無駄な文書をスリム化しておくことで、認証取得後の運用・更新にかかる負担を軽減します。認証後の運用支援も依頼可能です。
帝国データバンクネットコミュニケーションの「ISMS認証(ISO27001)取得コンサルティング」は、認証取得の先にある業務最適化を意識し、企業の規模や固有のリスクを考慮しながら最適なISMSを構築します。加えて、認証の維持・更新もコンサルタントに依頼可能です。
企業規模が大きい場合や、金融機関や通信事業者のように高度なセキュリティ水準が求められる場合は、大手企業のサポート実績が豊富なコンサル会社が適しています。
たとえば、グローバルセキュリティエキスパートの「ISO27001(ISMS)認証取得支援」は、データセンターや通信事業者、金融機関などでの実績が豊富。更に、大手製造業の防衛省調達など特殊分野での情報セキュリティ整備の実績も持ち、高いレベルのセキュリティ要件に対応できます。
また、いきなり大規模な組織で実施することが不安な場合、小規模組織から段階的に拡大するという方法も。NTTテクノクロスの「ISO27001認証の取得・運用コンサルティング」なら、最初はスモールスタートでISMSを構築し、少しずつ規模を拡大する方法が選べます。
ISO27001の要件への対応に加えて、この機会に社内のセキュリティも強化していきたいと考える場合は、セキュリティ対策に関する相談もできるタイプがおすすめ。セキュリティサービスを提供している会社がISMS認証を行っている場合も少なくないため、対応できる会社が複数あります。
たとえば、バルクの場合、 サイバーセキュリティを専門とするグループ会社と共同でセキュリティ対策・強化に取り組めます。
レオンテクノロジーは、システムやアプリケーションの脆弱性を評価し、リスクを特定するセキュリティ診断サービスを用意。そのほかに、システムやアプリケーションの調査・監視、セキュリティリスクへの対策戦略策定、PCI DSSの審査なども提供しています。
また、ビック情報には、入退室管理システムのようなセキュリティ関連機器の選定及び購入手配、設置するサービスを用意しています。
ISMS向けコンサル会社に依頼した場合、企業が示す最安の価格帯は以下の通りです。
実際には依頼する業務内容や事業所数、従業員数、取得までに要する期間、コンサルタントの人数といった条件・状況によって大きく異なってくるため、金額は数十〜数百万円まで大きく変動します。
参考情報として、費用が明示されているサービスを下記の表にまとめました。
| 社名 | 費用 | 費用の条件 |
|---|---|---|
| 株式会社UPF | 年額65万8,000円(税込)~ | ISO27001(ISMS認証)新規取得 |
| 年額38万5,000円(税込)~ | ISO27001(ISMS認証)運用サポート | |
| NSSホールディングス株式会社 | 月額40,000円〜 | ISO27001(ISMS認証)新規取得・運用サポート |
| 月額50,000円〜 | ISO27001(ISMS認証)運用改善サポート | |
| ISOコム株式会社 | 78万円〜 | ISO27001(ISMS認証)新規取得 ※従業員数50名(部門数5程度)を前提とした参考価格 |
| 30万円〜 | ISO27001(ISMS認証)維持・運用更新 ※従業員数50名(部門数5程度)を前提とした参考価格 |
|
| オプティマ・ソリューションズ株式会社 | 月額39,800円〜 | ISO27001(ISMS認証)新規取得 ※契約期間20カ月 |
| 月額40,000円〜 | ISO27001(ISMS認証)運用おまかせパック ※契約期間12カ月 |
主なISMS向けコンサル会社のうち、取得保証に強みがあるタイプを紹介します。
(出所:ISMS/ISO27001認証取得コンサルティング公式Webサイト)
専属チームがISO27001(ISMS認証)の取得まで徹底サポートを提供するコンサル会社。18年の支援実績に基づいた専門知識を活用し、事業成長の最適解となるISMSを提案。100%取得を保証する。審査業務を担当しているコンサルタントが在籍しており、最新の審査傾向などを反映して提案を行えるのが強み。加えて、規定や様式などの主要文書の原案作成をすべてコンサルタント側で行うため、企業側担当者の工数を大幅に削減できる。
短期取得コースやスポット支援コースなど、目的に合わせた様々なプランを用意しているほか、クラウドセキュリティ認証やPマークなどの同時取得、ISO27001(ISMS認証)の運用・改善といったオプションサービスがそろう。
(出所:ISO27001(ISMS)新規取得・運用改善サポート公式Webサイト)
大手・上場・IPO企業に特化したコンサルティング会社。ISO27001(ISMS認証)やPマーク取得において多数の実績を持つ。100%の認証保証に加えて、万が一審査不合格となった場合には全額を返金する。
フルオーダーメイド型の支援を提供しており、標準5名程度の専門チームがサポートにあたる。打ち合わせの回数に制限はなく、電話・チャット・メールでの対応も柔軟に行う。ISO9001・ISO14001・プライバシーマーク・HACCP・22000・45001といった各種認証の同時取得もできる。また、ISO27001(ISMS認証)の運用改善サポートも提供しており、「文書やルールのスリム化」「チェック機能(内部監査)強化」といった改善策を実施。最終的には運用の自走化を目指せる。
主なISMS向けコンサル会社のうち、スピード取得への対応に強みがあるタイプを紹介します。
(出所:ISMS(ISO27001)新規取得/運用・更新支援事業公式Webサイト)
ISMS取得の工数削減に強みを持つ、伴走型のコンサルティング会社。「ハイスピード短期取得」が特徴で、最短3.3カ月でのISO27001(ISMS認証)取得実績を持つ。加えて、取得できなかった場合の全額返金にも対応している。
4名1チームでの支援体制で、ISO27017やISO27701の同時申請、同時審査も可能。補助金申請や審査機関の選定もサポートするほか、オプションとして審査立ち合いサービスも提供している。加えて、65万8000円〜という低価格でISO27001(ISMS認証)の新規取得ができるなど、コストの抑制にも有効。運用サポートも別途行っている。
(出所:ISO27001(ISMS)認証サポート公式Webサイト)
ISO・プライバシーマークの取得・更新・運用に強みを持つコンサルティング会社。柔軟で自由度の高いサポート体制で、企業の実情に合わせてISO27001(ISMS認証)の取得、運用をサポートする。極力早く取得したい企業向けのサービスとして、6カ月を目安に認証取得を目指す「スピードサポート」を提供しているのが特徴だ。
取得傾向が高い製造業や建設業はもちろん、ITや食品など多くの業種に対応。また、取得・更新の作業代行やコンサルタントの訪問回数が無制限のほか、継続的な運用改善サポートも提供している。「まずは認証を取得したい」「マニュアルをスリム化させたい」といったスポット利用も可能。
主なISMS向けコンサル会社のうち、取得後の支援にも強みがあるタイプを紹介します。
(出所:ISO27001(ISMS)取得コンサル公式Webサイト)
ISO27001(ISMS認証)の新規取得と、自主運用できるまでのサポートを兼ね備えたサービスを提供するコンサルティング会社。システム構築から運用支援、審査対応支援までを一気通貫で対応。認証取得にあたって発生しがちな無駄な文書をスリム化するなど、取得後の運用負担の削減まで視野に入れたサポートを提供する。
業務に支障を来さない、使いやすいISMSを構築できるため、経営効率の改善やスムーズ化が期待できる。ISOコンサルタントは全員現役の審査員のため、豊富なノウハウを持つことも強み。また、認証後5年間は月額25,000円から運用支援を依頼できる。
(出所:ISMS認証(ISO27001)取得コンサルティング公式Webサイト)
自立運用の成立を目指した支援を行うコンサルティング会社。様々な規模の企業における1,000件以上の支援実績と、それらに基づくノウハウに強みを持つ。企業の規模やリスクに応じた情報資産の管理体制強化など、ISMS構築を主とした業務改善コンサルティングサービスを提供し、業務最適化を実現する。
認証取得後も、認証の維持・更新をコンサルタントがサポート。 ISO27017やプライバシーマークなどの各種認証もカバーしており、専門コンサルタントによるワンストップ対応が可能だ。「工数を抑えて認証取得したい」「認証取得とともに社内管理体制を整備したい」といった様々な要望に応えられる。
(出所:ISMS(ISO27001)取得支援公式Webサイト)
ISO27001(ISMS認証)の取得支援に加え、取得後の更新支援も行なっているコンサルティング会社。取得後もコンサルタントが定期訪問し、適切なPDCAサイクルの運用を支援するなど、アフターケアの手厚さに強みを持つ。コンサルタントが用意したひな形をもとに、社内に馴染むルールをスピーディーに構築する。
また、基礎から学べるセミナーや、従業員にISMSを浸透させるためのE-ラーニングといった定期教育支援や、ランサムウェア対策として別途「標的型攻撃メール演習」も提供。別サービスの「ISMS運用更新おまかせパック」では、電話・メール・訪問での不明点サポートや内部監査の支援も行う。
主なISMS向けコンサル会社のうち、大手向けのタイプを紹介します。
※料金はすべて要問い合わせ
(出所:ISO27001認証の取得・運用コンサルティング公式Webサイト)
NTTグループが提供するISO27001(ISMS認証)の取得・運用コンサルティングサービス。業界に縛られない豊富な実績を誇る。認証の取得のみを目的とせず、取得後の運用しやすさまで見据えたコンサルティングが強み。業務実態に即した“形骸化しない”ISMSを構築するため、社内に定着しやすく、認証の更新もスムーズに進められる。
また、小規模なISMS構築から着手し、段階的に適用範囲を拡大していくといった進め方にも対応。ISO9001やISO14001、プライバシーマーク(Pマーク)といった複数の規格を取得している企業には、各マネジメントシステムの統合運用も提案し、業務全体の最適化に寄与する。
(出所:ISO27001(ISMS)認証取得支援公式Webサイト)
業種・業界を問わず、多数の大手企業を支援してきた実績を有するコンサルティング会社。中でも、情報セキュリティ領域での実績と知見に強みを持ち、要求レベルの高い金融業界や大手データセンター、大手通信事業者への支援実績も豊富だ。
組織の実態に合った仕組みづくりと、認証範囲の拡大や運用支援といった取得後のサービスを提供することで、ISMSの有効活用を促進。現状把握からISMSの構築計画策定、各種方針・フレームワークの作成、文書作成、リスクアセスメント、情報セキュリティ対策の導入〜実施、内部監査や是正処置まで一貫してサポートし、企業側担当者の負担を最小限に留める。
主なISMS向けコンサル会社のうち、セキュリティ整備にも対応するタイプを紹介します。
※料金はすべて要問い合わせ
(出所:ISO27001認証支援コンサルティング公式Webサイト)
持続可能なISMS構築を支援するコンサルティング会社。大企業から中小企業まであらゆる業態に対応し、それらの企業がISMSを自力で運用可能となるよう支援を行う。「継続できるISMS構築」を重視しており、取得後のサポートプログラムも備えている。加えて、サイバーセキュリティを専門とするグループ会社とともに、万全のセキュリティ対策と強化を行える点も強み。
また、認証規格運用支援システムの「V-cloud」といったISMS運用に適したオリジナルツールも各種提供しており、運用担当者の負担を軽減しながらスムーズな管理を実現する。コンサルタントサポートチームが質問や問い合わせに迅速な対応をするので、コミュニケーションストレスが発生しにくい。
(出所:ISMS認証取得支援公式Webサイト)
ISMSに関する支援サービスをトータルで提供するコンサルティング会社。ISO27001(ISMS認証)取得支援や維持・更新審査対応、運用・維持支援に加えて、社内教育や内部監査の企画・実施まで依頼できる。ISMS審査員の有資格者が所属しているため的確な取得サポートが得られるほか、PDCAサイクルの要件を細かく設定して実態にあった運用・改善施策を実施する。
また、入退室管理システムや鍵管理システム、監視カメラといったセキュリティ関連機器の導入支援サービスも提供。機器の選定から購入手配、設置までをワンストップで行うなど、物理的なセキュリティ強化支援に強みを持つ。また、Webアプリの脆弱性診断にも対応。
(出所:ISMS認証取得支援公式Webサイト)
セキュリティベンダーによるISO27001(ISMS認証)取得支援サービス。情報セキュリティとISMSに関する、豊富な経験と専門知識が強み。企業のセキュリティリスク評価やセキュリティコントロールに合わせて、ISMSをカスタマイズできる。加えて、文書化やルールの策定、従業員トレーニングプログラムの設計もサポートする。
また、内部監査の実施もサポートしており、内部監査の基本に加えて、企業側が情報セキュリティ上の問題点を発見できるようにガイド。自走を実現するための支援を行う。従業員・経営者向けのセキュリティ研修も実施しているなど、企業のセキュリティ強化に寄与するサービスがそろう。
ISMS向けコンサル会社は、専門知識と豊富なノウハウでISMSの構築やISO27001(ISMS認証)の取得や運用、更新をサポートします。自社でイチから取り組むと、認証を取得することが優先してしまい、その後の運用につながらないケースも。しかし、外部の専門的なサービスを活用することで自社の業務に即したISMSを効率良く構築でき、ISO27001(ISMS認証)もスムーズに取得できます。
ISMS向けコンサル会社を選ぶ際は、まず次の5タイプの中から、自社のニーズに合致するものを見ていきましょう。
コンサルティングを受けてISMSを構築すれば、自社の情報資産を守りながら適切に有効活用できるようになり、業務全体の最適化が見込めます。また、ISO27001(ISMS認証)の認証を取得することで、社外や取引先からの信頼獲得も期待できます。加えて、ISMSの専門家であるコンサルタントに、運用や更新の継続的なサポートを依頼できる点も魅力です。この機会に、ぜひISMS向けコンサル会社の利用を検討してみてください。
記事をシェア
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。
