ISO27001(ISMS認証)の取得方法は?費用・スケジュールを徹底解説
FAQISO27001取得方法に関するよくある質問
ISO27001はどうやって取得するの?
ISO27001の要求事項に沿ったISMSを構築・運用し、審査に合格するとISO27001認証を取得することができます。
ISO27001とISMS認証って何が違うの?
ISO27001は、ISMSに関する国際規格(国際的なルールのようなもの)です。 ISMS認証は、ISMS規格の要求事項を満たしていることを、審査機関の審査によって証明するもので、ISO27001認証はISMS認証のひとつです。
ISO27001 は、組織においてさまざまな情報資産を守るために有効なマネジメントシステムの国際規格です。また、近年では問題視されることも多い情報漏洩の事故などを防ぐ意味でも、多くの組織が認証を受けています。
しかし、「ISO27001はどのように取得するのか」「ISO27001取得にかかる費用・期間はどの程度か」などの全体像がわからないという方も多いでしょう。ISO27001への理解を深め、取り組むべき方向性が見えることで、取得における難易度も下がります。
そこで、この記事ではISO27001(ISMS認証)の取得方法から取得費用・取得期間、実際の取得事例までをわかりやすく解説します。
目次
ISO27001とは?
ISO27001とは、「組織の情報資産を守り、有効に活用するための情報マネジメントシステム(ISMS)の国際規格」です。他にも、「ISO/IEC27001」「JIS Q 27001」などの呼び方がありますが、ほぼ同じ意味で使われます。
ISO27001では、以下の情報セキュリティ三要素をバランスよく管理することが求められます。
- 機密性:アクセス権限のない人に、情報を見せたり漏らしたりしないこと
- 完全性:情報が改ざんされず、常に正確な状態で保たれていること
- 可用性:必要なときに、必要な人が情報を利用できる状態を維持すること
ISO27001を取得することは、「国際基準に達した情報セキュリティ管理体制を構築・運用している企業である」と、第三者機関から客観的に認められたことを意味します。
そのため、取引先や顧客へのアピールにもつながります。
ISMS(情報セキュリティマネジメントシステム)とは?
ISMS(情報セキュリティマネジメントシステム)とは、情報セキュリティを管理するための仕組みそのものを意味します。情報資産の取扱いに関するルールを整備するだけでなく、リスク評価、教育、運用、改善といった一連の流れを含む考え方です。
つまり、ISMSは情報セキュリティに関するツール・ルール集ではなく、組織として「情報をどのように守り」「どのように運用し」「どのように改善し続けるか」を定めた仕組みといえます。
ISO27001とISMS認証の違い
ISO27001とISMS認証は混同されやすい言葉ですが、厳密には以下の違いがあります。
- ISO27001:ISMSに関する国際規格(国際的な基準そのもの)
- ISMS認証:ISO27001の要求事項を満たしていることを、審査機関の審査によって証明すること
つまり、ISO27001を基準としてISMSを構築・運用し、審査に合格すると「ISMS認証」を取得したという関係になります。
ISO27001の取得方法と流れ
ISO27001の認証を取得するためには、情報マネジメントシステムを構築し、運用し、審査を受ける必要があります。具体的には以下の13ステップを踏むことでISO27001認証を取得することが可能になります。
- ISMS適用範囲の決定
- 情報セキュリティ方針、情報セキュリティ目的の作成
- リスクアセスメントの実施
- 文書構築(マニュアル、適用宣言書、手順書等)
- 帳票整備
- 運用+運用記録作成
- 内部監査
- マネジメントレビュー
- 是正処置
- 第一段階審査
- 第二段階審査
- 是正処置(該当する場合)
- 認証取得
また、ISO27001の認証取得後も認証を維持するために1年に1回~2回の維持審査(サーベイランス審査)、3年に1回の更新審査を受ける必要があります。
以下では、認証取得後のステップも合わせて詳しく解説していきます。
1.ISMS適用範囲の決定
情報セキュリティマネジメントシステムを構築する最初の段階は、「ISMSの適用範囲を決定すること」です。
ISO27001ではISMS適用範囲に制限はなく、「自社全体を対象とする」「指定した拠点・部署のみを対象とする」などと自社で定めることが可能です。
しかし、ISMS適用範囲は、自社内外の課題や利害関係者からのニーズ、使用するシステム・ネットワークなどを調査・分析したうえで、合理的な理由に基づいて決定することが求められています。
2.情報セキュリティ方針、情報セキュリティ目的の作成
次に、ISMSの方向性を定める「情報セキュリティ方針」と「情報セキュリティ目的」を決定します。
- 情報セキュリティ方針:情報セキュリティマネジメントシステムを構築する土台となる方針のこと
- 情報セキュリティ目的:情報セキュリティ方針と整合性が取れた計測可能な具体的な目的のこと
これらは、情報セキュリティマネジメントシステムの中でも中核となる文書となるため、組織の目的や内外の課題、組織の全体的な方針(経営理念や企業目的)と整合したものを作成するように心がけましょう。
3.リスクアセスメントの実施
情報セキュリティリスクアセスメントは、「どのようなリスクが存在し、どの程度発生する可能性があるか、発生した場合にどの程度の影響があるのかを明確にし、許容できるか・対策すべきかを決めるプロセス」のことです。
一般的な情報セキュリティアセスメントの手順をまとめました。
- リスク特定:リスクを洗い出すこと
- リスク分析:リスクが発生する可能性や発生時に受ける影響を分析すること
- リスク評価:リスク分析した結果、そのリスクを許容できるか・対策すべきかについて評価すること
- リスク対応:対策が必要と評価されたリスクに対して、適切に管理・対応するための計画を策定し、実行すること
4.文書構築(マニュアル、適用宣言書、手順書等)
ISO27001の運用や審査に必要となるISMS文書を作成します。
情報セキュリティマネジメントシステムを構築・運用し、継続的に改善するという一連のプロセスを明確にするために、以下の項目について文書化する必要があります。
- ISO27001の要求事項が求める情報:情報セキュリティ方針や適用宣言書、力量の証拠など
- 組織が必要と判断した情報:手順書やマニュアルなど
ISO認証のための文書としてではなく、実際に本業で活用できる形で文書化することが大切です。ただし、手順書、マニュアルの作成は規格では要求していません。
5.帳票整備
帳票整備は軽視されがちですが非常に重要なステップです。
このステップでは、見積書や契約書、仕様書など現場で使用する帳票のフォーマットの整備や保管方法、変更の管理方法などを決定します。
帳票整備が適切に行われなかった場合、審査時に指摘が入る可能性があります。その場合、運用ステップで対応方法や記録の方法が変わってしまうため、以下の要求事項を満たせるようにしっかりと帳票整備を行いましょう。
- 必要なときに、必要なところで、入手可能かつ利用に適した状態である。
- 情報が十分に保護されている。
- 配付、アクセス、検索及び利用が可能である。
- 読みやすさが保たれ、保管及び保存されている。
- 変更の管理がされている
- 保持及び廃棄方法が適切である
6.運用+運用記録作成
情報セキュリティ目的の達成を確実にするための情報セキュリティ計画を実行し、マネジメントシステムを運用します。運用フェーズはPDCAサイクルのD(実行)の部分に該当します。
運用の記録や検証の結果を作成した帳票に記入し、のちのち振り返りができるようにしておきましょう。
7.内部監査
ある程度の期間、情報セキュリティマネジメントシステムを運用したら、内部監査を行います。
内部監査とは、「組織内部の人間によってマネジメントシステムを評価する監査」のことです。内部監査員の選任が難しい場合や適切なアドバイスがほしい場合には、外部のISOコンサルタントに協力してもらうのも一つの手段です。
内部監査では「マネジメントシステムが規格要求事項に合致しているか、ルール通り運用されているか(適合性)」「ルールどおりに運用し、改善の役に立っているか(有効性)」を主に評価します。
8.マネジメントレビュー
内部監査が完了したら、内部監査の結果に基づいてマネジメントレビューを実施します。
マネジメントレビューとは、「トップマネジメントによって行われる情報セキュリティマネジメントシステムの評価」のことです。
マネジメントレビューでは、内部監査の結果や情報セキュリティ目的と情報セキュリティ計画の乖離、利害関係者からのフィードバックなどをもとにインプットとして報告し、「改善の機会」および「情報セキュリティマネジメントシステムのあらゆる変更の必要性」、「資源の必要性」についてアウトプットを経営層からもらいます。
9.是正処置
内部監査やマネジメントレビューの結果、是正処置が必要な場合(不適合があった場合)は是正処置を行います。
是正処置とは、「不適合があった場合に原因を除去し、再発を防止するために行うこと」です。
ここで注意しておきたいことは、取り急ぎ不適合を回避するための「修正」と「是正処置」を混同しないことです。有効な是正処置を実施することも内部監査員の重要な役割といえます。
10.第一段階審査
是正処置まで完了して、マネジメントシステムを約3か月~6か月間にわたって運用したら、いよいよ審査機関(認証機関)に審査を依頼します。
第一段階審査は文書審査とも言われており、マニュアルや手順書が要求事項を満たしているかどうかが確認されます。11.第二段階審査
一次審査の結果、文書類が要求事項を満たしていると判断された場合に二次審査に移行します。
二次審査では、一次審査で提出した文書類をもとに現地審査が行われます。
現地審査ではISOの担当者やトップマネジメントだけでなく、現場の作業員や情報セキュリティ責任者にも質問がされるため、想定される質問に対して適切に答えられるように準備をしておきましょう。
基本的には業務に関する質問であり、準備の必要がないことがほとんどです。
12.是正処置(該当する場合)
第一段階審査、第二段階審査後に発生する是正処置は、審査機関の審査で不適合があった場合に是正処置を行います。
指摘箇所に対して有効な是正処置を行うことで、認証を取得できます。第一段階審査では、不適合ではなく懸念事項がだされ、第二段階審査までの是正が求められます。
13.認証取得
二次審査の結果、情報セキュリティマネジメントシステムがISO27001規格要求事項を満たしていると判断された場合、認証が発行されます。
二次審査から約1か月で認証が発行されます。不適合があった場合は是正処置を行う必要があり、認証取得予定日もずれ込んでしまうため注意が必要です。
ISO27001の取得方法の詳細は以下の記事からご覧ください。
ISO27001取得でつまずきやすいポイント
ISO27001の取得でつまずきやすいポイントは、以下の3つ挙げられます。
- 要求事項の正しい理解
- 必要なISMS文書の作成・整備
- 従業員への教育・訓練
ここでは、ISO27001にはじめて取り組む企業がつまずきやすいポイントに関して、その理由と対応策について解説します。
要求事項の正しい理解
ISO27001取得で最もつまずきやすいのが、要求事項を正しく理解することです。
ISO27001の要求事項は、あらゆる組織に対応できるように汎用性が高い表現が使われています。その一方、要求事項を読んだだけでは「自社の場合、何をすればよいのか」がわかりにくいと感じる企業も多くあります。
規格の解釈に迷った結果、表面的に「こう書いてあるから、こうしなければならない」と自己流で解釈してしまうと、実態に合わないルールになりがちです。反対に、「このくらいでいいかな」と取り組んだ結果、要求事項を満たせていないと判断されれば、登録審査時に指摘される可能性もあります。
そのため、要求事項の内容を正しく理解したうえで、自社に合った形に落とし込むことが大切です。
必要なISMS文書の作成・整備
ISO27001では、必要な文書の作成・整備につまずきやすいポイントがあります。「形だけ文書を用意する」「とりあえず雛形に当てはめる」といった対応では、審査で不適合を指摘される原因になりやすい点に注意が必要です。
ISO27001では、情報セキュリティ方針や規程、手順書、記録類など、要求事項に沿ったISMS文書の作成と管理が求められます。
一方、要求事項を満たすためだけに、膨大な量のISMS文書を作成してしまう企業も少なくありません。要求事項と実態がずれた文書は、運用時に担当者にかかる負担が増大する可能性があります。
「要求されている内容を満たしているか」「実際の運用と一致しているか」を意識しながら、文書を整備していくことが、ISMS構築の重要なポイントです。
従業員への教育・訓練
よくあるつまずきとして、「ルールは整備したが、現場に浸透していない」というケースが挙げられます。ISO27001では、情報セキュリティは一部の担当者だけのものではなく、ISMSに関わるすべての人が取り組むべきものと位置づけられています。
どれほど文書が整っていても、従業員が内容を理解していなければ、情報漏えいや事故のリスクは防げないのです。
そのため、ISO27001では継続的な教育・訓練を行うことで、情報セキュリティに対する意識を組織全体に根づかせていくことを求めています。ISMSが形骸化しないためにも、従業員への教育・訓練は非常に重要です。
ISO27001取得期間・スケジュール
ISO27001の取得期間の目安は、約6か月~数年程度です。会社規模や適用範囲、自社で取得するかコンサルタントに依頼するかで、以下のように大きく異なります。
- 自社取得の場合:約1年~数年間
- コンサルタントに依頼した場合:約6か月~1年間
また、経験の多いコンサルタントへ依頼することで、経験のない自社で構築する場合よりも、早く取得できるという違いも出てきます。取得したい時期や費用感などを踏まえて、最適な選択をする必要があります。
自社構築する場合は、機会損失がどの程度か明確にしておきましょう。コンサル依頼のように外注費はかかりませんが、外注費以上の機会損失が発生する可能性があります。
ISO27001取得にかかる費用
ISO27001の取得にかかる費用の相場は、50万円~150万円です。ただし、コンサルタントを活用する場合は費用が加算されるため、高くなる傾向にあります。
- 審査機関へ支払う登録審査費用:約50万~150万円
- コンサルタント費用:約50万~200万円
どちらにおいても企業規模や業種などによって金額が異なります。そのため、複数の審査機関やコンサルティング会社から見積もりを取り、比較検討することがおすすめです。
また、サーバー代などのセキュリティ対策に必要となる設備投資費用が必要になる場合もあります。
ISO27001取得は難易度が高い?
はじめて認証取得に挑む企業の場合、ISO27001の取得難易度は高くなる傾向にあります。ISO27001を取得するためには、定められた要求事項に則って仕組みを構築し、実際に運用していくことが求められます。
その中で、ISOではここまでやれといった要求がなく、どこまでやるのかは自社で決める必要があります。
知見がないために、実際は70点で審査が通過するところを、100点まで作り込んでしまうことも少なくありません。それにより現状と乖離した仕組みを構築してしまうことも多く、従業員への負担が大きなものとなってしまうこともあります。
そのため、自社の実情に適した仕組みを検討することが、ISO27001取得の難易度を高くしている要因なのです。コンサルの活用も検討しながら、業務負担とコスト負担のバランスを取る必要があります。
ISO27001取得は、自社取得とコンサルへの依頼のどちらにすべき?
ISO27001を取得する場合、多くの企業にとっては、コンサルタントに取得サポートを依頼する方がおすすめです。ただし、社内体制や経験によっては、自社取得が向いているケースもあります。
ISO27001を取得するには、「自社の社員だけで取得する方法(自社取得)」と、「専門のISOコンサルタントにサポートを依頼して取得する方法」の2つがあります。
ここでは、自社取得とコンサルタントに取得サポートを依頼すべき企業の特徴を解説します。
自社取得がおすすめの企業
以下のような条件がそろっている場合は、自社取得も十分に検討できます。
| 1 | ISO27001やISMSに関する知識・実務経験を持つ担当者が社内にいる |
|---|---|
| 2 | 情報セキュリティに関する既存ルールや運用がある程度整っている |
| 3 | 取得までのスケジュールや人員に余裕がある |
| 4 | 社内でノウハウを蓄積したいと考えている |
コンサルへの依頼がおすすめの企業
以下のような特徴をもつ企業は、コンサルタントへの依頼を検討することをおすすめします。
| 1 | ISO27001に関する深い知見や経験がある人材が不足している企業 |
|---|---|
| 2 | 自社の負担を抑えつつ、できる限り短期間で取得したい企業 |
| 3 | 形式的な取得ではなく、しっかり機能する情報セキュリティマネジメントシステムを構築・運用したい企業 |
| 4 | 確実な取得を目指したい企業 |
一つでも当てはまる場合は、まずはコンサルティング会社に相談してみると、自社に合った取得方法が明確になります。
自社取得とコンサル取得の詳細は以下の記事をご覧ください。
ISO27001取得企業数と取得事例
情報マネジメントシステム認定センターによると、2025年12月19日現在のISO27001取得企業数は、8,323件(公表:8,050件)となっています。
ISO27001の取得企業数は、情報セキュリティに関する社会的ニーズの高まりとともに増加傾向にあります。そのため、取得することで「取引先や顧客からの信頼性の向上」などのメリットもつながるでしょう。
ここでは、実際のISO27001取得事例から「ISO27001を取得したきっかけ」「どのようにISO27001を取得したのか」「ISO27001を取得してからの変化・効果」について紹介します。ISO27001の取得を検討している企業の方は、ぜひ参考にしてください。
オンウェーブ株式会社
オンウェーブ株式会社は、主に製薬会社に特化した人材の採用支援を行う企業です。
在宅勤務の導入にあたり、一人ひとりのセキュリティ意識を高めることが重要と考えたことで、ISO27001を取得しました。
以下に、ISO27001を取得した方法やISO27001取得後の変化・効果についてまとめました。
| ISO27001を取得した方法 |
|
|---|---|
| ISO27001取得後の変化・効果 |
|
オンウェーブ株式会社の取得事例の詳細は、以下の記事をご覧ください。
アーズ総合開発株式会社
アーズ総合開発株式会社は、IT業務委託やソフトウェア開発を行うIT業の会社です。
官公庁の事業を受託する際、ISO27001の取得が応札条件となっていたため、ISO27001を取得しました。
以下に、ISO27001を取得した方法やISO27001取得後の変化・効果についてまとめました。
| ISO27001を取得した方法 |
|
|---|---|
| ISO27001取得後の変化・効果 |
|
アーズ総合開発株式会社の取得事例の詳細は、以下の記事をご覧ください。
株式会社クリエイション
株式会社クリエイションは、幅広い分野のシステム開発を請け負うアプリケーション・システム開発業の会社です。
自社開発に取り組むために適切な環境とセキュリティが必要であると考え、その基準として外部監査の入るISO27001を取得しました。
以下に、ISO27001を取得した方法やISO27001取得後の変化・効果についてまとめました。
| ISO27001を取得した方法 |
|
|---|---|
| ISO27001取得後の変化・効果 |
|
株式会社クリエイションの取得事例の詳細は、以下の記事をご覧ください。
まとめ
この記事では、ISO27001(ISMS認証)の取得方法から取得費用・取得期間、実際の取得事例までを解説しました。
ISO27001を取得するには、多くの手順を実施する必要があります。自社だけで取得するには、従業員に大きな負担がかかる可能性があるため、多くの企業はコンサルタントに取得サポートを依頼しています。
自社に適した情報マネジメントシステムの構築・運用を目指したい場合や、確実なISO27001の取得を目指したい場合、自社で取り組む工数を低減したい場合には、コンサルタントへの依頼を検討してみてはいかがでしょうか。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい