【保存版】ISMS認証(ISO27001)取得にかかる費用は?コンサル費用相場も紹介
- ISMSは企業の情報資産を保護するための仕組みのこと
- ISMS認証を取得するには、ISO27001の要求事項に沿ったマネジメントシステムの構築・運用が必要となる
企業の保有する資産にはヒト、カネ、モノなどさまざまなものがありますが、その中でも個人情報や機密情報といった情報資産の重要性がこの情報化社会の中で高まってきています。
こうしたプライバシーの保護や情報漏洩を防ぐためには、セキュリティ管理が非常に大切ですが、皆様の会社では、しっかりと情報セキュリティのルールは整備されておりますでしょうか?
今回はそんな情報資産を保護するために大切な情報セキュリティに関してのISO 規格 、ISO27001 ( ISMS 認証)の概要や取得かかる費用をご紹介していきます。
目次
ISMSとISO27001の関係性
まず、ISMSとISO27001の概要や両者の関係性について解説します。
ISMSとは
ISMS(Information Security Management System)とは、情報セキュリティマネジメントシステムのことです。企業が保有する情報資産を、情報流出や不正アクセスなどの情報リスクから保護するため、情報セキュリティを合理的に管理する仕組みを構築・運用することを指しています。
ISMSを構築・運用することで、自社の情報セキュリティを強固にできるとともに、従業員の情報セキュリティへの意識を高められます。
ISMS構築するメリットの詳細は、以下の記事をご覧ください。
よく混同しやすい制度として、プライバシーマーク(Pマーク)があります。プライバシーマークは、日本国内で有効な、個人情報保護マネジメントシステム(PMS:Personal information protection Management Systems)のことです。
ISMSとPMSの違いは、対象範囲の違いと国内外で有効かどうかという点です。
プライバシーマークの詳細については、以下の記事をご覧ください。
ISO27001とは
ISO27001とは、ISMSに関する国際規格です。有効なISMSを構築・運用するための要求事項を示しています。
ISO27001を取得すると、国際的な基準を満たすISMSを構築・運用しているということを社内外に証明できます。そのため、情報セキュリティリスクの低減といった社内だけの影響だけでなく、消費者からの信頼の醸成や取引先の拡大など、社外に対しても良い影響を与えられます。
ISMSとISO27001の関係
ISMSとISO27001は、それぞれ「仕組み」と「国際規格」であり別物です。しかし、両者はほぼ同義語で使用されることもあります。
わかりやすく説明すると、「情報セキュリティを高められるISMSの構築・運用方法を示したもの」がISO27001になります。また、ISMS認証の代表的な規格がISO27001であるため、ISO27001のことをISMS認証としている場合もあります。
以下の記事で、ISMSとISO27001の違いをわかりやすくまとめています。
情報セキュリティを構成する3要素
ISMS認証であるISO27001を取得するには、情報セキュリティを構成する「機密性 」「完全性 」「可用性」という3要素をバランスよく高めていくことが必要です。ここでは、3要素について解説します。
機密性
「機密性」とは、企業が持っている情報が外部に漏れないように管理・保護することです。
たとえばパソコンに各自でパスワードをかけることや、フォルダのアクセス権限を関係者のみに制限するといったことがこの機密性の対策にあたります。
完全性
「完全性」とは、持っている情報が常に新しく正しい状態であることを指します。
情報が古かったり、間違っていたりする場合、情報を適切に活用できません。そうしたことを防ぐために、定期的に情報の確認や更新を行う、データが改ざんされないようセキュリティ対策ソフトを入れて保護することなどがこの完全性の対策になります。
可用性
「可用性」とは、情報を使いたい時に使えるような状態にしておくことです。
いくら大切な情報といえども、必要な時に必要な人が使えなければ意味がありません。システムダウンや自然災害時にもすぐに復旧できるようバックアップを取ったり、個人情報や機密情報が管理されているキャビネットを整理したりすることなどがこの可用性の対策になることでしょう。
ISMS認証(ISO27001)取得費用を左右する要素
ここまで、ISMS認証(ISO27001)についてご紹介しました。ここからはISMS認証の取得費用を左右する要素について解説します。
自社取得かコンサル取得か
ISMS認証取得を自社のみで行うか、コンサルティングサービスに依頼して取得するかによって、大きく取得費用が変わってきます。
コンサルティング業者に依頼する場合には、コンサルティング費用が月額でかかってきます。依頼料は、企業規模や認証範囲、取得支援の内容によって異なることが多くあります。いくら費用がかかったのかが一目で把握できるでしょう。
一方、自社取得の場合、ISO担当者が取得にかかるすべての工程を実施することになります。その場合、取得にかかった期間におけるISO担当者の人数分の人件費が、取得にかかった費用となります。この場合には、通常時と変わらない人件費しか発生しないため、一見すると費用がかかっていないように感じます。
しかし、ISO担当者の本来の業務ができなくなるため、見えない損失が発生しています。ISMS認証取得にかかる人件費を抑えられるかどうかは、ISO担当者の経験やノウハウによって大きく変動するでしょう。
そのため、自社取得かコンサル取得かによって、取得費用は大幅に変わってくるのです。
審査機関
ISMS認証を取得するには、基本的に各国に一つだけ存在する認定 機関からの認証を受けた審査機関(認証機関)に、取得審査(認証審査)を依頼する必要があります。ISO審査員による審査機関によって料金が変わってくることから、取得費用を左右する要素の一つなのです。
取得後も、適切に運用できているかを確認する審査を毎年受ける必要があるため、審査機関の選定は慎重に行うことがおすすめです。
ISMS構築にかかる費用
上記以外に、ISMS構築のために機器や設備を導入した場合には、費用が別途かかります。ただし、こちらは必須ではないため、この記事では取り上げません。必要かどうか迷う機器がある場合には、自社の情報セキュリティ方針に沿って、導入すべきかどうかを決めていきましょう。
ISMS認証(ISO27001)取得にかかる費用相場
次に、ISMS認証(ISO27001)取得にかかる費用について解説します。以下に自社取得とコンサルタントを利用した場合の費用イメージをまとめました。事業規模やコンサル業者によって費用相場は異なるため、参考程度にご覧ください。
自社取得の場合には、人件費(担当者の人数×給与×取得に費やした期間)がかかります。一方、コンサルタントを利用した場合には、年間でおよそ45~150万円程度のコンサルティング依頼料がかかります。
自社取得した場合の目に見えにくいコストを考えると、コンサルティング会社へ依頼することがおすすめです。
また、どちらの取得方法の場合であっても、審査費用がかかってきます。ISMS認証の場合、一般的な相場は50~100万円程度です。下記は業種別、規模別のISMS認証の審査費用です。実際にISOプロで取った見積もりのため、参考にしていただければと思います。
| 業種 | 1-20名 | 21-50名 | 51-100名 | 101名以上 |
|---|---|---|---|---|
| 製造業・加工業 | 51万円 | 73万円 | 103万円 | 123万円 |
| 建築・建設業 | 51万円 | 71万円 | 97万円 | 129万円 |
| ITサービス | 54万円 | 76万円 | 98万円 | 120万円 |
| システム開発 | 53万円 | 74万円 | 97万円 | 120万円 |
| WEB制作 | 55万円 | 81万円 | 97万円 | – |
| 卸売業・小売業 | 52万円 | 77万円 | 104万円 | 114万円 |
| コンサル業 | 51万円 | 82万円 | 95万円 | 103万円 |
| 保険業 | 58万円 | – | 100万円 | 113万円 |
| 不動産 | 62万円 | – | 97万円 | 113万円 |
ISMS認証のコンサルタントの必要性については以下の記事をご覧ください。
ISMS認証(ISO27001)運用時にかかる費用相場
次に、ISMS認証(ISO27001)運用時にかかる費用について解説します。ISMS認証は、取得時のみでなく運用後も以下の審査を受ける必要があります。
定期審査
1年ごとに行われる審査です。ISMSが有効に機能しているかを確認します。取得審査の1/3程度の料金相場になります。例えば、取得審査が100万円だった場合には、30万円程度がかかるでしょう。
更新審査
3年ごとに行われる審査です。ISMS認証の有効期限が3年であることから、取得審査と同程度の工数がかかります。費用相場は、取得審査の2/3程度となっています。例えば、取得審査が100万円だった場合には、60万円程度がかかるでしょう。
そのほかのISO認証取得にかかる費用の詳細は、以下の記事をご覧ください。
ISMS認証を取得するメリット
こうした費用をかけてISMS認証取得することにより、どのようなメリットが得られるのでしょうか?ここでは、ISMS認証を取得するメリットについて解説します。
対外的にアピールできる
最大のメリットが、取引先などに情報セキュリティに対する意識の高さをアピールできることです。
ISMS認証を取得したということは、第三者の立場である認証機関にISO27001に適合した運用をしていることが認定されています。そのため、他社に対し「自社でしっかりと情報セキュリティについて取り組みを行っている」というアピールができます。企業としての信用性がアップし、安心感を与えられるでしょう。
従業員の意識向上
ISMSの認証取得にあたって、情報セキュリティに関するルールの作成や社内周知が必要なことから、従業員の情報セキュリティに対する意識の向上が見込めます。
取得前はなんとなく行っていた情報セキュリティに関して、ISMSの取得は従業員の中で意識を向上させる絶好の機会になるでしょう。
また、ISMSでは運用の取り組みにおいて社員教育や内部監査の実施が求められています。そのため、自社のセキュリティ管理に対する行動や意識が間違っていれば、改める機会が設けられているのです。
情報セキュリティリスクの低減
ISMS認証は、情報セキュリティ管理を強固する規格であるため、情報セキュリティのリスクが低減されます。
ISMS認証では、組織にある個人情報や機密情報などの情報資産や業務フローをもとに、定期的なリスクアセスメントを実施することを求めています。情報セキュリティリスクを把握し、そのリスクへの対応の計画を立てることで、今まで対応できていなかったことや気づけていなかった問題点の把握もできるようになるでしょう。
まとめ
ISO27001(ISMS認証)を取得するためには、決して少なくない時間や費用が必要になります。しかし、情報セキュリティに関してしっかりと取り組みを行っていくことが昨今の情報化社会では求められています。そのため、たった一度の情報漏洩によって会社が倒産してしまうというような事態は決して珍しい話ではありません。
しっかりと規格に沿った情報セキュリティを構築・運用し、定期的に第三者機関の審査を受けることで、セキュリティリスクを大幅に低減できるでしょう。
企業の未来を守っていくためにも、個人情報や顧客の機密情報などを扱うような業務であれば、一度ISMSの導入を検討してみてはいかがでしょうか?
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい