2022年1月9日
ISMS(ISO27001)の取得および維持・更新には費用がいくらくらいかかるのでしょうか。ISMS(ISO27001)の費用に関して詳しく解説していきます。
1.ISMS(ISO27001)の新規取得に必要な費用とは?
ISMS(ISO27001)を取得するにあたってどのくらい費用がかかるのでしょうか。
自社のリソースのみで取得する場合は、
審査費用のみ必要です。
(担当者の人件費は追加になるかもしれませんが)
コンサル会社のサポートを利用する場合は、
審査費用+コンサルティング費用の合計金額が必要になってきます。
ちなみに、
「ISMS(ISO27001)取得しようと思ったら、なにかしらシステムを導入したり設備を入れたりしなきゃいけないんでしょう?」
とよくご質問をいただきますが、必要ないケースがほとんどです。
ISMS(ISO27001)を取得するからといって、高価なサーバや最新の入退管理設備を導入する必要はありません。
新規取得の費用についてはこちらのコラムで詳しく解説しております。
2.ISMS(ISO27001)の維持・更新にかかる費用とは?
①マネジメントシステム運用費用
ISMS(ISO27001)を維持するにあたり、マネジメントシステムを運用し、PDCAサイクルを回し続けなくてはなりません。
そのためにはまず、人件費が必要になってきます。兼務で担当者を社内の人に関わってもらう必要があるため、そこにかかる工数や費用が必要になります。兼務で担当者を任命した場合、残業手当などがかかってくる可能性があります。専任の担当者を新たに雇うなら、1名あたり300万円~600万円がかかるでしょう。
社内に知識やノウハウがない、人手が足りない、時間が足りない、専門家の意見が欲しい、といった場合はコンサルティング会社のサポートを利用することも検討すると思います。そのコンサルティング費用もここに含まれます。
認証パートナーの場合は、月額4万円~でお手伝いいたします。
②審査費用
次に、審査を受けるための審査費用です。
ISMS(ISO27001)は3年という有効期限があるので3年ごとに更新審査を受けて更新しないと無効になってしまいます。また、更新審査に加えて維持審査という審査もあるため、毎年審査を受けることになります。
つまり、毎年審査費用が発生するのです。
審査工数あたりの単価は審査機関ごとに違いますので、審査機関ごとに審査費用は違います。顧客や取引先から審査機関の指定がない限りは、2~3社は話を聞いて、見積もりをとりましょう。
また、費用だけでなく
・審査のやり方や傾向
・審査日程を早くとれるか
・レスポンスの早さ ・リモートでの審査は可能か
などにも違いがあります。
良く話を聞いて選ぶようにしましょう。
③設備投資・諸経費
お客様からよく、
「ISMS(ISO27001)取得しようと思ったら、なにかしらシステムを導入したり設備を入れたりしなきゃいけないんでしょう?」
とご質問いただきますが、必要ないケースも多いです。
セキュリティソフト導入や機密性の高い情報を取り扱う、物理的なセキュリティのエリア、仕切りの設置など認証範囲次第で費用、工数は変わってきます。
基本的にはあまり費用をかけずやりたい場合は現状維持でもよいのですが、リスクがあるものを放っておくのはまずいです。
リスク受容するか慎重に判断し、必要に応じて設備投資をするようにしましょう。
3.ISMS(ISO27001)認証範囲と費用の関係
ISMS(ISO27001)は、認証範囲によって審査費用が変わります。
拠点の規模や、人数によって費用の変動があります。
例えば、東京、大阪、北海道と3拠点ある会社で、1拠点だけ取得の場合、費用は3拠点で取得する場合のおおよそ3分の1と考えてください。
拠点や部門、事業などで認証範囲を設定することができますので、本当に必要な認証範囲はどこからどこまでなのか、一度見直してもよいかもしれません。
4.ISMS(ISO27001)コンサルティング会社のサポート費用の相場
コンサルティング会社のサポート費用の相場は、年間40万円~100万円です。
コンサルティング会社によってサービス内容や打合せ回数などが異なります。
詳しくはこちらの記事をご覧ください。
5.プライバシーマーク(Pマーク)とISMS(ISO27001)の違いについて
プライバシーマーク(Pマーク)とISMS(ISO27001)では、保護する対象が異なります。
プライバシーマーク(Pマーク)では個人情報、ISMS(ISO27001)では情報資産すべてが対象になります。
費用については、プライバシーマークのほうが安いケースがほとんどですが、気になる場合は両方の見積りをとって比較してみるのをおすすめします。
詳しくはこちらの記事をご覧ください。
6.ISMSクラウドセキュリティ認証(ISO27017)とは?認証費用はどれくらい?
クラウドセキュリティ認証(ISO27017)とは、通常のISMS(ISO27001)認証に加え、クラウドサービスの管理策が適切に導入、運用されていることを認証する規格となります。
規格の目的は、「企業あるいは一般ユーザーが安心してクラウドサービスを利用できること」です。
SaaS、IaaS系のサービス提供している企業はクラウドセキュリティ認証(ISO27017)を取得するケースが非常に多くなっており、関心度が高まっております。2021年は新たにISO27017を取得する企業が100社以上となっています。
まとめ
どの企業もISMS(ISO27001)の維持・更新についての費用をできるだけおさえたいと思います。費用を、マネジメントシステム維持運用、審査費用、設備投資・諸経費の3つに分けて考えてみましょう。
費用を最小限にするためには、「コンサルタントへ依頼して社内の工数を削減する」、「審査機関と認証範囲を見直す」、「最低限の設備で運用できないか検討する」の3つを考えてみましょう。
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから全国どこでもオンラインで対応!
気軽にご相談ください!相談予約は
こちらから
お電話受付:平日9:30〜17:00
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ