ISMS(ISO27001)の取得・運用をアウトソースしても大丈夫なの?

アウトソース


ISMS(ISO27001)の取得・運用はアウトソースできるのでしょうか。
ISMSの取得・運用で発生する作業をアウトソースすることは認められており、規格要求でもすべてを社内で実施しなければならないという決まりはありません。

1.ISMS(ISO27001)のアウトソースとは

ISMSのアウトソースとは、取得・運用・更新で発生するタスクを外注することです。

「忙しくてISMSに割ける時間がない」「人手が足りない」「知識がない」といった場合は、
コンサル会社のサポートを利用してアウトソースしている組織も多くあります。

ただし、全てを丸投げしてしまって業者まかせ、という事態は避けましょう。

では、どのようなアウトソース方法があるのかをご紹介します。

①マニュアル作成・修正をアウトソースする
マニュアル作成・修正作業についてはアウトソースしても問題ありません。
ただ、出来上がったマニュアルが自社ルールと食い違っていないかチェックする必要はあります。

②内部監査をアウトソースする
内部監査もアウトソース可能です。

内部監査員としての力量があれば外部コンサルタントが内部監査員として内部監査を実施できます。

客観的、かつ中立な立場で第三者としてISMS運用が出来ているかを見てもらえます。
また、自社のメンバーだけではわからない事をアウトソースすることで、他社事例やよりよくするためのアドバイスを聞ける良い機会です。
外部の意見を取り入れてみてはどうでしょうか。

③規格要求事項で必要な文書や記録の作成をアウトソースする
文書や記録の作成もアウトソース可能です。
どんなルールにするか、どんなフォーマットにするかなどの意思決定は自社で行い、作成をアウトソースすることは作業工数を削減する有効な手段です。

2.アウトソースするコンサル会社にも種類がある

一口にコンサル会社と言っても、大きく2種類に分かれます。

①アドバイス型 コンサル会社
②運用サポート型 コンサル会社

おすすめは②の運用サポート型です。それぞれの特徴を紹介します。

①アドバイス型 コンサル会社
・個人事業主が多く、自身の経験や知識だけでアドバイスを行うことが多い
・雛型があれば提供して、お客様に作成を実施してもらう
・個人で行っているため当人が体調不良などの際に連絡がつかないケースもある

②運用サポート型 コンサル会社
・雛型の提供や作業など、余計な作業を発生させないように事務局全体をフォローと年間計画を一緒に作成して全体をコーディネートする
・病気や不慮の事故があった際は、他メンバーのフォローが可能

こちらの記事でコンサルタントについて説明しておりますのでよろしければご覧ください。
ISMS(ISO27001)のコンサルって何をやる人?

3.運用サポートと丸投げの違い

次に、「運用サポートと丸投げってどう違うの?」と質問をいただくこともあるので、その違いについてご説明します。

運用サポートとは…
コンサルタントが事務局の一員となり、お客様が意思決定した内容を元に文書や記録を作ります。
ISMSを取得・運用しようとなると、日々の業務以外にISMSのための作業が発生しますが、その作業を請け負うので、日常業務に専念しやすくなります。

丸投げとは…
方向性の決定から運用まですべてを業者にまかせてしまうことで、依頼する側の意図が反映されていない状態のことです。
「取得さえできたらいい、丸投げでお願いしたい」というお客様もいらっしゃるのですが、丸投げをすると実態にそぐわない構築・運用になってしまいます。
セキュリティリスクが低減せず、インシデントの発生につながりやすくなってしまうので、丸投げは避けましょう。

4.自社にあったコンサル会社の選び方

「自社に合ったコンサル会社ってどうやって選べばいいの?」と迷われるご担当者様も多いでしょう。
コンサル会社選定の際は下記7つのポイントに注目してみてください。

①サービスの範囲
②価格
③スピード感
④対応できる企業規模
⑤どんなコンサルタントが在籍しているか
⑥サービスの専門性
⑦サービス提供の体制

詳しくはこちらの記事で解説しておりますので是非ご覧ください。
ISMS(ISO27001)サポ―トのアウトソースを考えた時に見るべき7つのポイント

まとめ

ISMSのアウトソースとは、取得・運用・更新で発生するタスクを外注することです。
「忙しくてISMSに割ける時間がない」「人手が足りない」「知識がない」といった場合は、コンサル会社のサポート利用を検討してみるとよいでしょう。
ただし、全てを丸投げしてしまって業者まかせ、という事態は避けましょう。

カテゴリー: