2024年11月14日
ISO27001取得の流れは?費用や期間、メリットも解説
ISO27001を認証取得するには、情報資産の洗い出し、リスク評価と対策の実施、内部監査、マネジメントレビューなど、PDCAサイクルに基づく取り組みを行った上で一次審査と二次審査を受けることが必要です。
ISO27001は国際的に認められた情報セキュリティマネジメントシステムの規格です。
認証取得することで、情報セキュリティ体制の確立、顧客からの信頼性向上、ビジネス機会の拡大といったメリットが期待できます。
2024年12月26日
ISMS(ISO27001)の更新費用は、審査工数あたりの単価が審査機関ごとに異なるため、選ぶ審査機関によって費用が異なります。また、ISMS(ISO27001)の更新費用は従業員数、拠点数、業種などの条件によっても変動します。
ISMS(ISO27001)は、認証を取得して終わりではなく、認証取得後も定期的な審査を受ける必要があります。
この定期審査には「維持審査」と「更新審査」の2種類があります。
維持審査 | 更新審査 | |
---|---|---|
目的 | 適切に運用されているかを確認するため | 認証の有効期限を延長するため |
実施頻度 | 毎年 | 3年ごと |
審査範囲 | 特定の範囲や重点項目を審査 | ISMS全体を詳細に審査 |
審査事項 | 短い | 長い |
指摘事項 | 有 | 有 |
維持審査は、認証を維持するために毎年実施される審査です。認証取得後から更新審査までの間(通常3年間)、毎年1回行われます。この審査では、ISMSが適切に運用されているかを確認するため、特定の範囲や重点項目に絞って審査が行われます。そのため、審査の範囲が限定的で、審査時間も比較的短いのが特徴です。
一方、更新審査は、認証の有効期限を延長するために実施される審査です。ISO27001の認証は通常3年間の有効期限が設定されており、この期間が終了する前に実施されます。更新審査では、初回認証審査と同様に、ISMS全体の運用状況や適合性が詳細に確認されます。そのため、審査の範囲が広く、審査時間も長いのが特徴です。
どちらの審査も、ISMSが適切に運用されているかを確認するために重要なプロセスです。
ただし、更新審査は維持審査に比べて、より広範囲で詳細な審査が行われる点が大きな違いです。
ISMS(ISO27001)を維持するためには、マネジメントシステムを運用し、PDCAサイクルを継続的に回し続ける必要があります。
その際、まず人件費が発生します。社内の担当者に兼務で関わってもらう場合、その工数や費用が必要となり、場合によっては残業手当が発生する可能性もあります。また、専任の担当者を新たに採用する場合には、1名あたり年間で300万円~600万円程度の費用がかかると見込まれます。
審査を受けるためには審査費用がかかります。
ISMS(ISO27001)は有効期限が3年間と定められており、3年ごとに更新審査を受けて更新しなければ認証が無効となります。また、更新審査に加えて、毎年維持審査も実施されるため、毎年審査費用が発生します。
審査費用は、審査工数あたりの単価が審査機関ごとに異なるため、審査機関によって費用が変わります。顧客や取引先から特定の審査機関を指定されていない場合は、2~3社に話を聞き、見積もりを取得することをお勧めします。
また、費用だけでなく以下の点も考慮して選定することが重要です。
これらを十分に確認した上で、適切な審査機関を選びましょう。
コンサルティング会社のサポートを利用する場合、費用はサービス内容や会社によって異なります。
社内に知識やノウハウが不足している、人手や時間が足りない、または専門家の意見が必要な場合には、コンサルティング会社のサポートを検討することが有効です。
アドバイスや提案を中心に行うコンサルティング会社では、サービス内容が多岐にわたるため、費用は70万円から120万円程度と幅広い傾向があります。
一方、業務を一括で任せたり、伴走型でサポートを提供する会社では、顧客の作業負担を軽減することを目的としており、費用相場は30万円から60万円程度です。
このように、コンサルティング会社の選定時には、費用だけでなくサービス内容や目的に応じた選択が重要です。
ISMS新規取得に必要な費用については、こちらの記事で詳しく説明しております。
ISMS(ISO27001)は、一度取得して終わりではなく、維持するためには毎年審査を受ける必要があります。
審査費用は、審査機関によって異なるだけでなく、従業員数や拠点数、業種などの条件によっても変動するため、一概に「相場」を示すことは難しいですが、以下の表におおよその平均をまとめました。
ISMS(ISO27001)の審査費用は、認証範囲によって異なります。また、拠点の規模や従業員数によっても費用が変動します。
例えば、東京、大阪、北海道の3拠点を持つ企業が1拠点のみで認証を取得する場合、費用は3拠点すべてで取得する場合の最大で3分の1程度になるケースもあります。
認証範囲は、拠点や部門、事業単位で設定することが可能です。
そのため、本当に必要な認証範囲がどこまでなのか、一度見直してみるのも良いかもしれません。
どの企業も、ISMS(ISO27001)の維持や更新にかかる費用をできるだけ抑えたいと考えるものです。
これらの費用は、「人件費」、「審査費用」、「コンサルティング費用」の3つに分けて考えることができます。
費用を最小限に抑えるためには、「コンサルタントに依頼して社内の工数を削減する」、「審査機関や認証範囲を見直す」、「最低限の設備で運用できる方法を検討する」といった対策を検討してみましょう。
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください