会社で情報セキュリティ責任者(CISO)を務めた際ISO27001を取得後、監査前に問題なく監査が通るかを確認するために個人コンサルタントからコンサルを受けたことがあります。
来ていただいたのは知人からの紹介で、普段はコンサルタントではなくISOの審査企業で監査員をされていた方でした。
プロのコンサルタントではないので報酬や内容に決まりが無く
当方「お見積をいただけますでしょうか。」
相手「いくらでもいいですよ。」
当方「相場がわからないので、金額を提示してほしい。」
相手「内容はどうしましょうか。」
当方「こちらは初めてでよくわからないので、お勧めの内容でお願いします。」
のやり取りから始まってしまい「少し面倒だな…。」という雰囲気になっていました。
結果決まった金額はインターネットなどで調べた相場よりとても安かったので
「面倒だった分安くなったのだから良いか」と仕事をお願いすることになりました。
当日は来社いただき、雑談からコンサル開始となり、まずは担当者全員で機密保持契約の確認と押印をし
その後の内容としてはお決まりですが
文書や様式の確認、その年度の実施事項の確認と進み、その中でわからないことを都度質問していくような流れとでした。
自社のISOメンバーは特に経験があったわけではなくISO27001が初めてのISO認定だったので
実際わからないことがわからないとなってしまい、ほとんどお話を聞いているだけとなってしまいましたが。
必要な情報は伝えられて、かつ相手側も必要な情報は受け取ったという事で
後日レポートを提出していただき1回目のコンサルは終了という事になりました。
レポートも実際に監査を受けたような内容のレポートをいただき「さすが監査員!」というような仕上がりで
実施内容や規定など項目ごとに細かく記載されており、最後に「この点が一部不足しているので、次回の監査までに実施しておくこと。」
などアドバイスも記載されていたため、こちらとしては安心して本番の監査を迎えることができました。
本番の監査の際は数点指摘がありましたが、コンサルタントから頂いたレポートを提出し
監査員に納得していただくような場面もあり、外部コンサルタントのありがたみを感じました。
今回は、監査前に担当者が安心して監査を受けられるようにということで
経営者から予算をいただき、コンサルティングを受けさせていただきました。
その後ISOは継続していますが、この経験で担当者全員に自信がつき外部コンサルに頼ることなくISOを維持継続しています。
ただしコンサルティングを事業で行っていない方の場合金額や手続きが煩雑になってしまうため、次回からコンサルティングを依頼する際はプロの方にお願いしようかな、と思っています。