ISO27017取得に必要な費用を徹底解剖

HOME

ISMS

コラム一覧

基本の知識

ISO27017取得に必要な費用を徹底解剖

2023年12月15日

ISO27017にかかる費用は、トータルで200～3000万円ほどかかるのが一般的です。
費用には２種類あり、１つ目は審査費用です。これは審査をして貰う審査機関に支払う費用で、自社で新規認証を目指す場合でも必ず発生します。
２つ目はコンサルタント費用です。これは新規認証をサポートしてもらうコンサルタントに支払う費用であり、自社で認証を目指す場合には発生しません。

１．ISO27017とは
２．ISO27017認証に必要な費用の種類
３．ISO27017認証取得の費用相場
４．設備投資は必要なのか
５．ISO27017のメリット
６．ISO27018との違い
７．ISO27017を取得にあたって必要なこと
８．認証取得に必要な期間
９．ISO27017の取得方法
10．ISO27017認証の要求事項
まとめ

１．ISO27017とは

ISO27017とは、クラウドセキュリティに関する国際標準規格です。
位置づけとしては、情報セキュリティに関する国際標準規格であるISO/IEC 27001のアドオン規格になります。
つまり、ベースはISO/IEC 27001（＝ISMS）であり、そこに追加で認証する規格です。

言い換えると、ISO27017のみで認証することはできず、必ずISO/IEC 27001（＝ISMS）と合わせて取得する必要があります。

２．ISO27017認証に必要な費用の種類

ISO27017認証に必要な費用の種類は大きく２つです。
１つ目は審査費用です。
これは審査をしてもらう審査機関に支払う費用で、ISO27017の認証を目指すので
あれば必ず発生する費用です。

２つ目はコンサルタント費用です。
これはISO27017新規認証を
目指すうえでサポートをしてもらうコンサルタントに支払う費用で、当然ですが、コンサルタントを利用せず、自社で取得を目指す場合には発生しません。

しかし、新規認証の難易度や工数を考えると、どのような形であれコンサルタントを利用することを
おすすめします。

３．ISO27017認証取得の費用相場

ISO27017認証取得の費用相場の概算は、以下の通りです。

	従業員10名 1拠点	従業員100名 1拠点
ISMS新規認証 +ISO27017新規認証	約200万円	約350万円
ISMS新規認証 +ISO27017新規認証	内訳 ①審査費用：約100万円 ②コンサル費用：約100万円	内訳 ①審査費用：約250万円 ②コンサル費用：約100万円
ISMS取得済み +ISO27017新規認証	約105万円	約160万円
ISMS取得済み +ISO27017新規認証	内訳 ①審査費用：約45万円 ②コンサル費用：約60万円	内訳 ①審査費用：約 100万円 ②コンサル費用：約60万円

例えば、ISO27001も同時に認証取得、従業員数10名、1拠点の場合だと、
審査費用：80万円～150万円
コンサルタント費用：80万円～150万円
程度の費用がかかるイメージです。

これは、審査機関やコンサルタントによって変わってきますので
自社のニーズに合った審査機関、コンサルタントを選んでください。

審査機関の選び方は、こちらのコラムを参考にご覧ください。

ISMS認証機関の賢い選び方｜重要な３つのポイント

１．ISMSの認証機関（審査機関）とは ISMSの認証機関とは、ISMSの認証取得条件となる審査を行う機関のことで、ISMSの認証機関（＝審査機関）は国内に60社ほど存在しています。企業の現場へ実際…

４．設備投資は必要なのか

ISO27017を認証するために設備投資は必須ではありません。
基本的には「ルールの作り方」で対応が可能です。

しかし、ISO27017の認証を取得するためには、業務上のリスクが高い場合、そのリスクを軽減するための設備投資が必要になることもあります。そんな場合は、本当に必要な設備投資なのかをよく吟味し決めてください。

ISO27017認証のためだけの設備投資はおすすめしません。

５．ISO27017のメリット

ISO27017のメリットは大きく３つあります。
１つ目は対外的なアピールです。
「自社のクラウドサービスが国際標準に適合している」と宣言することになるので、他社との差別化にもつながり、対外的なアピールになります。

２つ目はISO27017認証が参加要件になっている入札案件に参加することができることです。
今まではPマーク、ISO27001認証が参加要件になっていたことが多かったのですが
近年ではクラウドサービスの流行に伴い、ISO27017認証を参加要件に入れている自治体も多くあります。

３つ目はセキュリティチェックシートへの対応が可能になることです。
特に大手企業では取引の際にセキュリティチェックシート、アンケートなどを必ず行います。
その際、ISO27017認証を取得していれば回答が免除されたり、省略されたりする場合もあります。
これも今まではPマーク、ISO27001（＝ISMS）認証が対象でしたが、ISO27017も対象になってきています。

６．ISO27018との違い

ISO27018という類似規格があります。

ISO27017とISO27018の違いは、ISO27017はクラウドセキュリティに関する国際標準規格であることに対し、ISO27018については、クラウドサービスを提供している企業が行うクラウド上での個人情報の取り扱いに関する国際標準規格です。

基本的にはISO27017だけで事足りることが多いです。

７．ISO27017を取得にあたって必要なこと

ISO27017を取得するにあたって必要なことは、まず、ISO27001を取得することです。

前項でお伝えしたように、ISO27017はISO27001のアドオン規格です。

ISO27001、ISO27017を同時に取得することも可能です。

なお、ISO27001の取得方法についてはこちらの記事に記載しております。

ISO27001取得の流れは？費用や期間、メリットも解説

１．ISO27001とは？ [images_50] [/images_50] (1)ISO27001とは ISO27001とは、情報セキュリティマネジメントシステム（ISMS）の国際標準規格です。情報…

８．認証取得に必要な期間

認証取得に必要な期間は、ISO27001を既に取得している企業と、これから取得する企業で少し差が出ます。

ISO27001を既に取得している企業であれば、6か月程度、
ISO27001、ISO27017の同時取得を目指す企業なら、8か月〜10か月程度がISO27017認証取得に必要な目安の期間です。

９．ISO27017の取得方法

ISO27017の取得方法は大まかには以下のような流れになります。
①ISO27001に基づきルールを作成する
②作成したルールにISO27017の要求事項をアドオン（追加）する
③作成したルールに基づき運用する
④審査機関から審査を受ける

詳細についてはこちらのコラムをご参考ください

ISO27017：クラウドセキュリティ認証取得の手順やポイントを解説

１．そもそもISO27017とは？ ISO27017の正式名称は『ISO/IEC 27017』で、クラウドサービスにおける情報セキュリティ管理策のガイドライン規格です。 2015年に発行され、国内では…

10．ISO27017認証の要求事項

ISO27017認証の要求事項は、基本的にはISO27001と同様です。
ですが、提供しているクラウドサービスに適応するためには以下の7つの管理策を追加することが求められています。

CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
CLD.8.1.5 クラウドサービスカスタマの資産の除去
CLD.9.5.1 仮想コンピューティング環境における分離
CLD.9.5.2 仮想マシンの要塞化 CLD.12.1.5 実務管理者の運用のセキュリティ
CLD.12.4.5 クラウドサービスの監視
CLD.13.1.4 仮想及び物理ネットワークセキュリティ管理の整合

まとめ

ISO270017取得にかかる費用は大きく分けて２つあります。１つ目は審査費用です。

これは審査をしてもらう審査機関に支払う費用で、自社で新規認証を目指す場合でも必ず発生します。

２つ目はコンサルタント費用です。

これは新規認証をサポートしてもらうコンサルタントに支払う費用で当たり前ですが自社で認証を目指す場合には発生しません。

ISO27017の需要は年々増えており、取得企業の少ない今が、他社との差別化のチャンスです。
取得をご検討している方はこちらからお問い合わせください。

ISO・Pマーク認証更新でお悩みの方へ

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

＼SNSでシェアしてね／