コンサルタントの選び方
今回はISO27001のコンサルタントについて書きます。
以前書きましたが、私は審査員としても活動しています。ISO9001、ISO14001と比較して、今も認証のニーズが高いのがISO27001、ISMSといわれる規格です。
認証への取り組みにはコンサルタントが支援することが多いので、ISO27001のコンサルタントに必要なスキルを考えてみたいと思います。
ある程度は前回書いたことと共通なのですが、ISO27001ならではのスキルがITスキルです。セキュリティ関連業務やシステムエンジニアの経験があるとよいのですが、最低でも知識は欲しいものです。
ISO27001規格がISO9001やISO14001と異なるのは、“附属書A 情報セキュリティ管理策”の存在です。リスクアセスメントの結果、セキュリティリスクを低減する、管理する策が附属書Aに列挙されており、認証に取り組む組織は自ら考えたセキュリティリスクを低減する、あるいは管理する策を考え、この附属書Aと比較し、採用する管理策を決定します。附属書Aに列挙される管理策は大きく、“組織的管理策”“人的管理策”“物理的管理策”“技術的管理策”があります。この中で“技術的管理策”はIT対策です。情報セキュリティ対策を考えた場合、やはりIT対策が重要ということでしょう。
大手企業がランサムウェアの被害を受けたり、システム入れ替えに関連して、システムの設定ミスにより大規模障害が発生したり…。いずれも業績に影響がありました。
ITに関する見識が薄いコンサルタントだと“技術的管理策”の内容が理解できないことが多いです。
(審査員の立場で)新規認証審査を担当することが多いですが、“技術的管理策”に関する規定や手順の記述を見ると、コンサルタントのITスキルがだいたいわかります。こういう人は、規格要求事項をオウム返しする、ひどいとコピペです。認証登録証がほしいだけの組織なら文句も言わないでしょうが…。
コンサルタントを選定する時、複数のコンサルタントから提案を受け、自社にとってベストなコンサルタントを選ぶと思いますが、その際には、ぜひITに関するスキル、知識も確認していただきたいもです。では、どうやって、確認するか…続きは次回のお楽しみ。
