○○マーク認証取得の企業コンサルで、代表者から、「他社も取得している。みんなと一緒がいい。乗り遅れたくない。認証を取得しないと取引先から除外すると言われた。」から、“認証マークがほしい。”このような本音があります。
外部コンサルに依存してまで認証マーク取得にお金を掛けるより、具体的対策に掛けるほうがいいのは当然です。
自社（組織）のリスク対策は自社で行うべきで、部分的に外部のコンサルなどに依存することがあっても、コアになるところは自前実施でしょう。但し、それなりの人材教育が重要です。
外部に委託する部分が多ければその分リスクを持つことになります。
委託部分の管理が内部統制並みに出来る保証はありません。基本は、自己防衛です。
及び、仕組みだけ作っても何の意味もありません。運用（教育、利用、抜き打ち検査、分析、評価、・・・）は当然自主運営です。
内部への教育を行い、社内にノウハウを蓄積することが重要です。
マキコーポレーション「公認情報セキュリティマネージャー（ＣＩＳＭ）システムノーティス」より