ISO27001(ISMS認証)の取得方法は?費用・スケジュールを徹底解説
ISO27001 は、組織においてさまざまな情報資産を守り、情報資産を守るために有効なマネジメントシステムの国際規格です。また、近年では問題視されることも多い情報漏洩の事故などを防ぐ意味でも、多くの組織が認証を受けています。
しかし、「ISO27001はどのように取得するのか」「ISO27001取得にかかる費用・期間はどの程度か」などの全体像がわからないという方も多いでしょう。ISO27001への理解を深め、取り組むべき方向性が見えることで、取得における難易度も下がります。
そこで、この記事ではISO27001(ISMS認証)の取得方法から取得費用・取得期間、実際の取得事例までをわかりやすく解説します。
目次
ISO27001とは
ISO27001とは、「組織の情報資産を守り、有効に活用するための情報マネジメントシステム(ISMS)の国際規格」です。「ISO27001」「ISO/IEC27001」「JIS Q 27001」といった呼び方がありますが、ほぼ同じ意味で使われます。
ISO27001は、情報の「機密性」「完全性」「可用性」という3つの要素をバランスよくマネジメントし、情報を適切に管理するための組織の枠組み作りの手段として利用されます。
数あるISMS認証の中でも、ISO27001は代表的な規格の一つです。
そもそもISMS認証とは、「規格ごとに定められた基準を満たすISMSを構築・運用していることを、認証機関(審査機関)の審査に合格することで与えられる認証」のことです。
ISO27001取得の流れ
ISO27001の認証を取得するためには、情報マネジメントシステムを構築し、運用し、審査を受ける必要があります。具体的には以下の13ステップを踏むことでISO27001認証を取得することが可能になります
- ISMS適用範囲の決定
- 情報セキュリティ方針、情報セキュリティ目的の作成
- リスクアセスメントの実施
- 文書構築(マニュアル、適用宣言書、手順書等)
- 帳票整備
- 運用+運用記録作成
- 内部監査
- マネジメントレビュー
- 是正処置
- 第一段階審査
- 第二段階審査
- 是正処置(該当する場合)
- 認証取得
また、ISO27001の認証取得後も認証を維持するために1年に1回~2回の維持審査(サーベイランス審査)、3年に1回の更新審査を受ける必要があります。
以下では、認証取得後のステップも合わせて詳しく解説していきます。
1.ISMS適用範囲の決定
情報セキュリティマネジメントシステムを構築する最初の段階は、「ISMSの適用範囲を決定すること」です。
ISO27001ではISMS適用範囲に制限はなく、「自社全体を対象とする」「指定した拠点・部署のみを対象とする」などと自社で定めることが可能です。
しかし、ISMS適用範囲は、自社内外の課題や利害関係者からのニーズ、使用するシステム・ネットワークなどを調査・分析したうえで、合理的な理由に基づいて決定することが求められています。
2.情報セキュリティ方針、情報セキュリティ目的の作成
次に、ISMSの方向性を定める「情報セキュリティ方針」と「情報セキュリティ目的」を決定します。
- 情報セキュリティ方針:情報セキュリティマネジメントシステムを構築する土台となる方針のこと
- 情報セキュリティ目的:情報セキュリティ方針と整合性が取れた計測可能な具体的な目的のこと
これらは、情報セキュリティマネジメントシステムの中でも中核となる文書となるため、組織の目的や内外の課題、組織の全体的な方針(経営理念や企業目的)と整合したものを作成するように心がけましょう。
3.リスクアセスメントの実施
情報セキュリティリスクアセスメントは、「どのようなリスクが存在し、どの程度発生する可能性があるか、発生した場合にどの程度の影響があるのかを明確にし、許容できるか・対策すべきかを決めるプロセス」のことです。
一般的な情報セキュリティアセスメントの手順をまとめました。
- リスク特定:リスクを洗い出すこと
- リスク分析:リスクが発生する可能性や発生時に受ける影響を分析すること
- リスク評価:リスク分析した結果、そのリスクを許容できるか・対策すべきかについて評価すること
- リスク対応:対策が必要と評価されたリスクに対して、適切に管理・対応するための計画を策定し、実行すること
4.文書構築(マニュアル、適用宣言書、手順書等)
ISO27001の運用や審査に必要となるISMS文書を作成します。
情報セキュリティマネジメントシステムを構築・運用し、継続的に改善するという一連のプロセスを明確にするために、以下の項目について文書化する必要があります。
- ISO27001の要求事項が求める情報:情報セキュリティ方針や適用宣言書、力量の証拠など
- 組織が必要と判断した情報:手順書やマニュアルなど
ISO認証のための文書としてではなく、実際に本業で活用できる形で文書化することが大切です。ただし、手順書、マニュアルの作成は規格では要求していません。
5.帳票整備
帳票整備は軽視されがちですが非常に重要なステップです。
このステップでは、見積書や契約書、仕様書など現場で使用する帳票のフォーマットの整備や保管方法、変更の管理方法などを決定します。
帳票整備が適切に行われなかった場合、審査時に指摘が入る可能性があります。その場合、運用ステップで対応方法や記録の方法が変わってしまうため、以下の要求事項を満たせるようにしっかりと帳票整備を行いましょう。
- 必要なときに,必要なところで,入手可能かつ利用に適した状態である。
- 情報が十分に保護されている。
- 配付,アクセス,検索及び利用が可能である。
- 読みやすさが保たれ、保管及び保存されている。
- 変更の管理がされている
- 保持及び廃棄方法が適切である
6.運用+運用記録作成
情報セキュリティ目的の達成を確実にするための情報セキュリティ計画を実行し、マネジメントシステムを運用します。運用フェーズはPDCAサイクルのD(実行)の部分に該当します。
運用の記録や検証の結果を作成した帳票に記入し、のちのち振り返りができるようにしておきましょう。
7.内部監査
ある程度の期間、情報セキュリティマネジメントシステムを運用したら、内部監査を行います。
内部監査とは、「組織内部の人間によってマネジメントシステムを評価する監査」のことです。内部監査員の選任が難しい場合や適切なアドバイスがほしい場合には、外部のISOコンサルタントに協力してもらうのも一つの手段です。
内部監査では「マネジメントシステムが規格要求事項に合致しているか、ルール通り運用されているか(適合性)」「ルールどおりに運用し、改善の役に立っているか(有効性)」を主に評価します。
8.マネジメントレビュー
内部監査が完了したら、内部監査の結果に基づいてマネジメントレビューを実施します。
マネジメントレビューとは、「トップマネジメントによって行われる情報セキュリティマネジメントシステムの評価」のことです。
マネジメントレビューでは、内部監査の結果や情報セキュリティ目的と情報セキュリティ計画の乖離、利害関係者からのフィードバックなどをもとにインプットとして報告し、「改善の機会」および「情報セキュリティマネジメントシステムのあらゆる変更の必要性」、「資源の必要性」についてアウトプットを経営層からもらいます。
9.是正処置
内部監査やマネジメントレビューの結果、是正処置が必要な場合(不適合があった場合)は是正処置を行います。
是正処置とは、「不適合があった場合に原因を除去し、再発を防止するために行うこと」です。
ここで注意しておきたいことは、取り急ぎ不適合を回避するための「修正」と「是正処置」を混同しないことです。有効な是正処置を実施することも内部監査員の重要な役割といえます。
10.第一段階審査
是正処置まで完了して、マネジメントシステムを約3か月~6か月間にわたって運用したら、いよいよ審査機関(認証機関)に審査を依頼します。
第一段階審査は文書審査とも言われており、マニュアルや手順書が要求事項を満たしているかどうかが確認されます。11.第二段階審査
一次審査の結果、文書類が要求事項を満たしていると判断された場合に二次審査に移行します。
二次審査では、一次審査で提出した文書類をもとに現地審査が行われます。
現地審査ではISOの担当者やトップマネジメントだけでなく、現場の作業員や情報セキュリティ責任者にも質問がされるため、想定される質問に対して適切に答えられるように準備をしておきましょう。
基本的には業務に関する質問であり、準備の必要がないことがほとんどです。
12.是正処置(該当する場合)
第一段階審査、第二段階審査後に発生する是正処置は、審査機関の審査で不適合があった場合に是正処置を行います。
指摘箇所に対して有効な是正処置を行うことで、認証を取得できます。第一段階審査では、不適合ではなく懸念事項がだされ、第二段階審査までの是正が求められます。
13.認証取得
二次審査の結果、情報セキュリティマネジメントシステムがISO27001規格要求事項を満たしていると判断された場合、認証が発行されます。
二次審査から約1か月で認証が発行されます。不適合があった場合は是正処置を行う必要があり、認証取得予定日もずれ込んでしまうため注意が必要です。
ISO27001の取得方法の詳細は以下の記事からご覧ください。
ISO27001取得期間・スケジュール
ISO27001の取得期間は、会社規模や適用範囲、自社で取得するかコンサルタントに依頼するかで、以下のように大きく異なります。
- 自社取得の場合:約1年~数年間
- コンサルタントに依頼した場合:約6か月~1年間
また、経験の多いコンサルタントへ依頼することで、経験のない自社で構築するよりも早いという違いも出てきます。取得したい時期や費用感などを踏まえて、最適な選択をする必要があります。
自社構築する場合は、機会損失がどの程度か明確にしておきましょう。コンサル依頼のように、外注費はかかりませんが、外注費以上の機会損失がでる可能性があります。
ISO27001取得にかかる費用
ISO27001の取得にかかる費用の内訳・相場を以下にまとめました。
- 審査機関へ支払う登録審査費用:約50万~150万円
- コンサルタント費用:約50万~200万円
ただし、どちらにおいても企業規模や業種などによって金額が異なります。そのため、複数の審査機関やコンサルティング会社から見積もりを取り、比較検討することがおすすめです。
また、サーバー代などのセキュリティ対策に必要となる設備投資費用が必要になる場合もあります。
ISO27001取得は難易度が高い?
ISO27001を取得するためには、定められた要求事項に則って仕組みを構築し、実際に運用していくことが求められます。その中で、ISOではここまでやれといった要求がなく、どこまでやるのかは自社で決める必要があります。
また、取得のためにさまざまな工程を踏む必要があるため、現状と乖離した仕組みを構築してしまうことも多く、従業員への負担が大きなものとなってしまうこともあります。
そのため、自社の実情に適した仕組みを検討することが、ISO27001取得の難易度を高くしている要因なのです。
ISO27001の取得方法は自社とコンサルどちらが良い?
ISO27001は自社の実情に合わせた導入が必要であることから、自社取得ではなく、コンサルタントに依頼して取得するケースも多くあります。
ここでは、自社取得とコンサルタントへの依頼のメリット・デメリットを解説したうえで、どちらがおすすめかを解説します。
自社取得のメリット・デメリット
自社で取得するメリットは、やはり「見えるコストが抑えられる」ということが挙げられます。コンサルタントに依頼すると、コンサル依頼料が発生しますが、自社で対応することによりコンサル費用は抑えられます。
また、ISO27001の取得は長期的に取り組む必要があるうえに、通常業務と兼務することが多く実施していく必要があります。そのため、コンサル会社の設定したスケジュールではなく自社のペースで取り組むことができることはメリットのひとつといえるでしょう。
しかし、専門知識がなければ取得までの手順でつまずくことも多く、スムーズに進まない可能性があるというデメリットが考えられます。
自社に必要な箇所と不要な箇所の見極めができずに作業工数が新たに発生する可能性があります。工数だけでなく、コスト面においてもコンサル費用という見えるコストは抑えることができても、人件費という見えづらいコストが多くかかってしまう可能性があります。
コンサル依頼のメリット・デメリット
コンサルに依頼する場合のメリットは、「確実に取得できる」「自社の実情に合った情報セキュリティマネジメントシステムの構築・運用を実現できる」という点が挙げられます。
専門家の支援やアドバイスのもとに進めていくことができるため、効率的に進められるだけではなく、自社に合わせた取得の形でISO27001の構築ができるコンサル会社が主導してくれるケースも存在します。
一方で、コンサル費用がかかるというデメリットはあります。
ただし、自社で取得する場合にも人件費がかかるため、取得スピードや取得後の運用における円滑さなどを考慮するとコンサルタントに依頼したほうが確実に費用対効果は高いといえるでしょう。
コンサル依頼がおすすめの企業の特徴
コンサルタントへの依頼がおすすめの企業の特徴を以下にまとめました。
- ISO27001に関する深い知見や経験がある人材が不足している企業
- 自社が行う工数を抑え、できる限り早くISO27001を取得したい企業
- 形式的な取得ではなく、有効に機能する情報セキュリティマネジメントシステムを構築・運用したい企業
- 確実な取得を目指したい企業
一つでも当てはまる場合には、一度コンサルティング会社に問い合わせてみることがおすすめです。
自社取得とコンサル取得の詳細は以下の記事をご覧ください。
ISO27001取得企業数と取得事例
情報マネジメントシステム認定センターによると、2025年7月11日現在のISO27001取得企業数は、8,164件(公表:7,862件)となっています。
ISO27001の取得企業数は、情報セキュリティに関する社会的ニーズの高まりとともに増加傾向にあります。そのため、取得することで「取引先や顧客からの信頼性の向上」などのメリットもつながるでしょう。
ここでは、実際のISO27001取得事例から「ISO27001を取得したきっかけ」「どのようにISO27001を取得したのか」「ISO27001を取得してからの変化・効果」について紹介します。ISO27001の取得を検討している企業の方は、ぜひ参考にしてください。
オンウェーブ株式会社
オンウェーブ株式会社は、主に製薬会社に特化した人材の採用支援を行う企業です。
在宅勤務の導入にあたり、一人ひとりのセキュリティ意識を高めることが重要と考えたことで、ISO27001を取得しました。
以下に、ISO27001を取得した方法やISO27001取得後の変化・効果についてまとめました。
| ISO27001を取得した方法 |
|
|---|---|
| ISO27001取得後の変化・効果 |
|
オンウェーブ株式会社の取得事例の詳細は、以下の記事をご覧ください。
アーズ総合開発株式会社
アーズ総合開発株式会社は、IT業務委託やソフトウェア開発を行うIT業の会社です。
官公庁の事業を受託する際、ISO27001の取得が応札条件となっていたため、ISO27001を取得しました。
以下に、ISO27001を取得した方法やISO27001取得後の変化・効果についてまとめました。
| ISO27001を取得した方法 |
|
|---|---|
| ISO27001取得後の変化・効果 |
|
アーズ総合開発株式会社の取得事例の詳細は、以下の記事をご覧ください。
株式会社クリエイション
株式会社クリエイションは、幅広い分野のシステム開発を請け負うアプリケーション・システム開発業の会社です。
自社開発に取り組むために適切な環境とセキュリティが必要であると考え、その基準として外部監査の入るISO27001を取得しました。
以下に、ISO27001を取得した方法やISO27001取得後の変化・効果についてまとめました。
| ISO27001を取得した方法 |
|
|---|---|
| ISO27001取得後の変化・効果 |
|
株式会社クリエイションの取得事例の詳細は、以下の記事をご覧ください。
まとめ
この記事では、ISO27001(ISMS認証)の取得方法から取得費用・取得期間、実際の取得事例までを解説しました。
ISO27001を取得するには、多くの手順を実施する必要があります。自社だけで取得するには、従業員に大きな負担がかかる可能性があるため、多くの企業はコンサルタントに取得サポートを依頼しています。
自社に適した情報マネジメントシステムの構築・運用を目指したい場合や、確実なISO27001の取得を目指したい場合、自社で取り組む工数を低減したい場合には、コンサルタントへの依頼を検討してみてはいかがでしょうか。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい