インフィニットと他社の違い
1 認証を取るのは当たり前、その先を見ています
ISMSを取得するのはなぜでしょうか?サイバーセキュリティの向上、情報漏洩を防ぐ、お客様と安心して取引をするためなど、様々な目的があります。
弊社では審査を通すことは当たり前であり、認証取得をゴールに置いていません。認証取得した後の運用が大切だと考えているからです。
そのためにもまずは経営者にお会いし、どんな組織にしたいのか、そしてどんな点に課題を感じているのかをお伺いします。
外資系コンサル会社での顧客満足度No.1の実績や会社経営で培ってきた経験を基に「実現性があり、効果が出る取り組み」を提案します。
2 机上の空論ではない現場に寄り添った並走型のコンサルを提供します
情報セキュリティのスキルを底上げするには「現場の理解と実行」が大事です。そこをきちんとしないと、形骸化してしまいます。
「経営者がどうしたいか」ということも大切ですが、実際に業務を行うのは現場にいる社員の方々です。経営者だけでなく、現場の視点でも考えます。
まずは、現場の方と一緒に時系列で業務フローを作り可視化を行います。この段階で現場の悩みと課題を把握し、それに合った提案をします。
例えば、「自分たちのやっていることが専門的過ぎて周りに理解されず社内のリテラシーが上がらない」と悩んでいる情シスの悩みに対しては「実現性があり、効果が出そうな取り組み」を提案いたします。
3 ISMSの「自走」が目標
コンサル会社に依存するのではなくお客様自身でISMSを運用できる状態、いわゆる自走することをゴールにしています。
弊社では直接的な答えは教えず、御社の社員の方々に考えていただきます。もちろんサポートはいたしますのでご安心ください。
御社の手間は増えてしまいますが、自分たちで考えるため社内にノウハウが残ります。そして、このような文化を作ることで「育成」に繋がり、強い情報セキュリティの維持と継続が実現されます。
このように弊社では何があってもお客様自身が「社内で考えて進められる」状態をゴールにしています
「とりあえず認証さえ取れればいい」そんなことを思っていませんか?
世の中には、やることが決められている安くて早い ” 格安の ” ISMS取得コンサルティング会社もあります。
認証取得する時についつい価格や認証取得までのスピードで選んでしまいがちです。面倒なことには時間もお金も最小限にしたい気持ちはよくわかります。
しかし、立ち止まって考えてみてください。時間もお金も最小限に抑えて認証取得して、御社の望んでいた結果が得られるのでしょうか?
ISMSを取得する際に、価格や認証のスピードだけでコンサル会社を選ぶと以下のような事態を引き起こしかねません。
-
高い情報セキュリティを自社だけで維持できない
格安パッケージは取得だけが目的であれば問題ありませんが、本当の意味で高い情報セキュリティを維持することは難しいです。コンサル会社ありきの運用になっており、依存し続ける運用になってしまいます。
-
不適切なツールで現場が疲弊
格安コンサルティング会社の中には「特定のツール利用を必須」としている場合があります。その結果、現場からしたら不要な作業が発生してしまうケースがあります。最悪の場合、入力作業が多く通常業務を圧迫してしまいます。
-
長期的に金額的にも損をする
中には月額3万円程度で取得できる格安のものもありますが、取得後もサポート費用としてお金がかかるケースがあります。長期的に見ると割高になる場合があるので注意が必要です。
ISMSを取得することで
生まれる価値
信頼に
つながる
新たな取引の
可能性
セキュリティ
の強化
ISMSを取得することで上記にあるような3つの価値が生まれます。
ISMSを取得しているということは外から見た時に、情報セキュリティに対する意識が高いことを証明しています。そして、情報漏洩のリスクも低いと認識されるので、これまで取引できなかった上場企業などと取引できる可能性もあるでしょう。こうした価値が生まれるのは外側だけではありません。情報セキュリティに対する取り組みをしっかり行うことで、情報漏洩による損害賠償など社会的信用を落とすリスクを減らし、会社の長期的な安定にもつながります。
コンサルティングの一例
1.ヒアリングとコンサルティングプログラムの作成
初回から認証取得までの回ごとの内容、スケジュール、作成するアウトプットをまとめたコンサルティングプログラムの策定。パッケージ化されたものでなく必ずお客様の状況に応じて個別に作成しています。
2.情報資産管理台帳の作成
業務プロセスごとに洗い出しを行い、資産価値を数値化した情報資産管理台帳を作成してリスク評価を決定します。作成していく中で改善点を見つけることも狙いです。
3.リスク評価の実施
見本として弊社が何例かリスク評価を実施します。その後、お客様にもリスク評価を何例か実施していただき、基準が合うまで繰り返していきます。
4.リスク対応計画書の作成支援
情報セキュリティ管理策の実践のための規範を基に管理策の作成を支援に加えて、優先順位の高いものをリスク対応計画書にリストアップして作成を行っています。こうすることで管理策で必要なツールの決済を通しやすくなります。
ご活用事例
A社 現場担当者様 日常業務との関連性が考慮されていました
インフィニットのコンサルティングは、最初の段階から「情報セキュリティが経営になぜ必要なのか」をわかりやすく説明してくれます。そのため認証取得だけでなく、経営戦略まで問い直すきっかけとなりました。
特にISMSの取得で重要なリスクアセスメント(今の職場に存在するセキュリティリスクの見積りなど)は、当社の日常業務との関連性を常に指摘しながら進めてもらえたのが印象的です。リスクアセスメントの作業は自分たちで進める必要があるものですが、そのサポートも手厚く、やり取りを何回も繰り返していただけます。
その体験もあり、いつの間にか現場のスタッフが情報セキュリティの基本を身につけていました。
A社 経営者様 経営視点から管理策が作られていました
リスクアセスメントを通して「世の中の動向からの脅威」と「我社の現状のセキュリティの取り組みの脆弱性」について、管理策の必要性を社長である私にも、経営観点からわかりやすく説明していただきました。そのおかげで、理解を深める事ができたと感じます。管理策についても「いま対策を打つべきかどうか」の基準も明確であったため、判断も容易に出来てありがたかったです。
また、インフィニットは、当初から認証取得後の運用をいかに楽にするかということも視野に入れ、「ISMSの導入を社員教育の一環」として扱い、社員の育成にも貢献してくれました。これからも当社の成長に関わってもらいたいと思っています。
コンサルタントのプロフィール
櫻田 一展
外資系のコンサルティング会社において入社3年目で顧客満足度第1位を獲得。複数エリアを統括する責任者と8年間で100社を超えるISOの認証取得と内部統制のコンサルティングを実施。同時に累計で500超の組織の審査を行っている。独立後は、ISMSの認証取得とステップアップのコンサル、内部監査員セミナーの講師としても活動している。
こんな方には合っていません
- とにかく早く認証取得をしたい方
- 認証取得のコストをとにかく安くしたい方
- 認証取得さえすれば良いと考えている方
こんな方には合っています
- 社内のセキュリティのリテラシーを上げたい方
- 自社にあった提案して欲しい方
- 認証取得だけでなく運用後のことを考えて欲しい方
契約の流れ
1 お問い合わせ
まずはお問い合わせフォームよりご相談ください。ご相談内容を確認した後、3営業日以内にご連絡します。
2 ヒアリング・提案
Web会議あるいは、御社に伺いお客様の状況と課題をヒアリングさせていただきます。その後、内容とスケジュールを提案します。
3 ご契約・サービス開始
本サービスに関する契約書を送付します。さらにお客様とコミュニケーションを取りながら御社が認証取得する上で必要な内容を整理していきます。