コンサルタントの上手な活用法

ISO27001の認証取得までに必要となる取組みにはどのようなものがあるでしょうか。
ISMSはマネジメントシステムですから、PDCAサイクルに従った運用が前提となります。
したがって、認証審査を受審する場合も少なくとも１回はP（計画）・D（運用）・C（監査）・A（見直し）の実施実績が必要です。

以下は、PDCAの各段階に必要となる作業量についての標準的な配分イメージを表したグラフです。

全体の作業量の50%程度を占めるP（計画）の段階は、ISMSを構築するステップ。
具体的には、情報資産の洗出し、リスクアセスメントの実施、リスク対応計画の策定、文書化に取り組むことになります。

構築したISMSを運用するD（運用）の段階は、全体の約20%程度。
具体的な取組みとして、教育・訓練の実施、社内へのルールの浸透等があります。

ISMSがルール通りに運用されているかどうかを検証するC（監査）の段階は、全体の20%程度。具体的には、内部監査の実施がこれにあたります。

残りの10%がA（見直し）の段階です。
マネジメントレビューの実施がこれにあたります。

これらの各段階でどのようにコンサルタントを活用するかが、ISO認証コストの低減と確実な認証取得には重要となります。
典型的なコンサルタント活用パターンは、計画段階における活用でしょう。
初めての取組みということもあり、ISMSの構築段階ではISO27001が何をどこまで要求しているのかもよく分らないのが現実です。
この段階では、経験豊かなコンサルタントの支援を仰いでその意見を自社のISMSに最大限反映するのが得策です。

情報セキュリティ教育支援サービス

さらに、監査段階では、外部監査をコンサルタントに依頼するのも良い選択でしょう。
内部監査を実施したことがない会社にとって、文書化やルール運用の精度にまで踏み込んだ監査の実施は難しいものです。

ここはISOを知り尽くしたコンサルタントに委ねるべきです。

外部監査サービス