前回記事では、ISMSの認証取得を目指すことにした経緯をお伝えしました。今回からは、具体的な作業の流れを紹介したいと思います。まずは、コンサルティング会社の選び方です。

そもそも独力ではできないの？

コンサルティング会社に依頼すると100万円前後の費用がかかります。自分たちだけで情報を整理し書類にまとめ審査を受ける、というのはムリではないとは思いますが、決して簡単ではないと感じました。「お金で時間を買う」＝試行錯誤を繰り返しながら自分たちでやるよりも、専門家に依頼したほうが確実に早くゴールできると判断しました。

コンサルティング会社はどうやって選ぶ？

当社は、認証取得をするかどうかを検討している段階で、同じくBtoB系ITベンチャーであるチャットワーク株式会社の方からアドバイスを頂いていました。そこで、同社のISMS認証取得も支援したLRM株式会社をご紹介いただき、当社もコンサルティングを依頼することにしました。

認証取得コンサルティング会社はいくつもあるので、なかなか決めるのは難しいです。が、一般的には次のような観点で決めるのがよいと思います。

1.同じような企業の支援例がある

ベンチャー企業は当然（と言ってはいけないのですが）至らない部分もたくさんあります。また企業のあり方として、管理に偏重して自由度や柔軟性が損なわれることは避けたいという思いもあります。「大企業はこうやってます」「普通はこうあるべきです」という杓子定規のアドバイスではなく、企業の考え方・状況・ビジネスを踏まえた上でサポートいただけることが重要です。そのためには、業種や規模等が類似している企業のコンサルティング経験を有しているところが望ましいでしょう。

2.効率的な進め方ができる

ISMS認証取得には半年~1年近くかかります。その期間の大半は、企業の実態・実情を整理し、セキュリティ管理の方針を決めるための「打ち合わせ」が占めています。

コ：「スタディストさんでは、◯◯って今どうやって管理していますか？」（視点提供）
当：「今は、××や△△がほとんどですね。」（現状回答）
コ：「では、△△できっちり管理していく方がよいですよね。」（方針提案）
当：「そうですね、今後は△△で運用するようなルールにします。」（方針決定）
コ：「わかりました。ではそれを書面化しときますね。」（書面化作業）
（コ：コンサルティング会社　／　当：当社）

こういうやりとりを何度も繰り返していくわけですが、通常であれば「対面の打ち合わせ」で進めることになると思います。今回、当社とLRM様の間では以下のやり方をミックスしました。

・普段のやりとり：Chatwork（ビジネスチャット）
・2週間1回程度の定例ミーティング：Webミーティング
・情報整理など：宿題
・重要な部分の打ち合わせ：対面

これであれば日程調整の自由度がぐんと高まりますし、移動の時間もかかりません。この進め方は当社からお願いしたものですが、コンサルティング会社それぞれに対応可否が異なると思います。進め方を柔軟に対応してもらえるかどうかも大きなポイントです。

チャットでのやりとりは、とても効率的。

3.やり方を押し付けない

コンサルティング会社の中には、サポート内容を定型パッケージ化することで「短期化・低コスト化」を謳っているところもあります。しかし、それでは仮に認証取得はできたとしても、その後の活用が難しいと考えました。例えば今回、当社はISMSに付随するマニュアル類を「Teachme Biz」でクラウド化することを前提としていましたが、それを事前に伝えたところすんなりと対応いただけることになりました。各社の状況・方針そして要望をきちんと汲み取って、各社それぞれのやり方で対応してもらえることも重要です。

コンサルティング会社選びは、つくづく重要。

当社は”ワガママ”にも柔軟に対応してくださるコンサルティング会社とお付き合いすることができたおかげでとてもスムーズに進んでいます。ISMSの認証取得は時間もお金もかかる作業だからこそ、よいパートナー選びが、このあとの作業をスムーズに進めるためにも重要です。

＜あわせてお読みください。：ISMSへの道　記事一覧＞