自社の情報セキュリティ体制を強化すべく、ISMS認証の新規取得を目指す組織が増えつつある。しかし、情報セキュリティ関連の認証を取得する際には、既存のIT資産の棚卸はもちろん、セキュリティルール策定や内部監査対応などでさまざまな文書を作成、整備する必要があり、自社リソースだけでは対応が難しい。
こうした状況において、認証取得に向けた取り組みを外部から支援するコンサルティング会社も数多く登場している。コンサルティング会社を選定する際、単にコストパフォーマンスだけで判断すると、プロジェクトの進捗が大幅に遅延してしまったり、規定やマニュアルを全て自社で作成することになってしまったりするなど、後々落とし穴に陥ることになりかねない。
それでは、自社に適したコンサルティング会社を選ぶにはどうしたらよいだろうか。 本資料では、コンサルティング会社を選定する際のポイントについて解説する。併せて、望ましくないコンサルティング会社と契約してしまったことで発生した失敗談も例示しているので、ぜひ参考にしてほしい。