2023年12月15日
ISO27017取得に必要な費用を徹底解剖
ISO27017にかかる費用は、トータルで200~3000万円ほどかかるのが一般的です。
費用には2種類あり、1つ目は審査費用です。これは審査をして貰う審査機関に支払う費用で、自社で新規認証を目指す場合でも必ず発生します。
2つ目はコンサルタント費用です。これは新規認証をサポートしてもらうコンサルタントに支払う費用であり、自社で認証を目指す場合には発生しません。
2024年3月14日
ISMSのコンサルタントは、専門的な知識や事例を基に、ノウハウの提供、アドバイス、文書作成などのサポートを行います。コンサルタントを利用する企業の特徴としては、①ISMSの運用に人的リソースを割くことができない、または、②ISMSに関するノウハウを持っていない、というケースが多いです。
目次
ISMS(ISO27001)コンサルタントとは、ISMS(ISO27001)の認証取得・運用・更新をサポートする専門家のことです。
ISMSに関する専門知識を持ち、その取得、運用、更新をより良い状態に導く役割を果たします。
自社の担当者がISMS業務を進めた場合、どうしても分からないことが出てきたり、忙しくて書類作成などの時間がとれなかったりします。
そんなときにコンサルタントによるサポートを利用すると、知識不足・ノウハウ不足・人手不足・時間不足を補ってもらうことができます。
そもそも「ISMSとは?」を再確認したい方はこちらの記事もご覧ください。
コンサルタントにサポートをお願いする目的はいくつかありますが、多くは3つのパターンにわかれます。
特に文書の作成も請け負ってもらえると、ISMSを勉強する工数と文書作成する工数を省けるのでスムーズに認証・運用が進みます。多くの企業がこの点を基準にコンサル会社を選んでいます。
具体的に言及すると、私たちがサポートする企業の多くは、
「情報資産の洗い出しに時間がかかる」
「洗い出した情報資産を台帳にまとめるのが手間だ」という問題に直面していました。
また、これらの問題を解決したとしても、内容に自信が持てず審査に進むことができない状況になっていました。
す。
むやみに情報資産を洗い出すのではなく、まずはルール(情報資産の定義)を決めるところから始める。
その後、情報資産を洗い出すという流れでサポートを行います。
これにより、「これほどスムーズに進行したことはない」「これまで無駄な時間を使っていた」といったお声をいただいております。
続いて、コンサルタントの役割についてです。
コンサルタントの役割には以下2つの要素があります。
ISMSにどのように取り組みたいかをヒアリングし、最適な運用に近づけるようサポートします。
具体的には、セキュリティ体制の整備、セキュリティリスクの軽減、課題の解決、ISMS運用に関する負担の軽減、ノウハウや他社事例の提供などを行います。
情報セキュリティマネジメントシステム(ISMS)が適切に構築、運用、監視、維持、改善されている状態へ導きます。また、ISOの内容は5年から10年ごとにアップデートされます。その変更にも対応できるよう、コンサルタントは最新の情報を常に収集しています。
つまり、企業の理想の状態を把握し、そのうえで要求事項を満たしている状態にすることが、コンサルタントの役割といえるでしょう。
審査費用は一概にいくらと記載することは難しく、会社の規模・拠点・適用業務によって大きく変動します。
従業員が100名以下であると、50万~100万円程度必要になると言われています。
また、審査機関によっても算出方法が異なるため、ISMS取得を検討する際には、正式に見積もりを依頼をする事をおすすめしております。
ご相談いただければ、当社から審査機関に見積りを依頼することも可能です。
コンサル会社によるサポート費用の相場も一概には言えません。数十万円から数百万円と幅広いです。
アドバイス中心のサポートの場合、年間30万円以下でサービスが提供されることもあります。
当社のように、アドバイスだけでなく書類の作成まで支援するタイプのサービスを行う会社では、金額には幅がありますが、年間50万円~300万円程度が相場となります。
どのようなサポートを求めているか、それに対して費用が妥当かという点で判断すると良いでしょう。
審査費用と同様、見積もりを依頼をすることをおすすめします。
単純に金額だけを比較するのではなく、求めるサポートを受けられるかまで確認しましょう。
ISMSの取得経験があり、その要求事項を把握している従業員がいる場合や、文書作成などの事前準備に習熟している場合、コンサル会社のサポートは必ずしも必要ではありません。
また、ISMSの業務を専門的に担当する従業員がいて、その人がISMSの要求事項を理解していれば、コンサル会社のサポートを必要としないこともあります。
しかし、ISMSの要求事項を理解している従業員がいない場合や、理解はしているが日々の業務が忙しくてISMSの業務に専念できない場合は、コンサル会社のサポートを利用することをお勧めします。
ISMSの認証取得において、コンサルティングサービスを活用することで、確実に認証を取得できるだけでなく、自社内のリソースの確保や取得までの時間を短縮できるといったメリットがあります。
ISMSの認証取得において、コンサルティングサービスを利用すると、その専門的な知識により認証取得のプロセスがスムーズに進むというメリットがあります。コンサルタントは企業の課題を詳細に把握し、ISMSの認証取得までの道のりを導いてくれます。
さらに、要件を満たすマネジメントシステムを構築することで、導入後もそのシステムを維持しやすい環境を作ることができます。特に大規模な組織では、導入から運用までのプロセスが複雑になりがちなので、全体を見渡すことができるコンサルティングサービスを活用することをおすすめします。
ISMSの認証取得において、自社だけで全てを手掛けるのと比べ、コンサルティングサービスを利用することで、時間、人材、費用といったリソースを確保することができます。
自社だけで認証・運用に取り組む場合、多くの人材や時間、費用を必要とし、通常業務に影響を及ぼす可能性があります。しかし、ISMSの認証取得を専門家に依頼することで、必要な時間や人材の削減が可能となり、本業への影響を最小限に抑えることができます。
コンサルティングサービスの利用には費用がかかりますが、リソースの有効活用を考慮すると、コストパフォーマンスは高いと評価できます。
ISMSの認証取得に際して、コンサルティングサービスを活用すると、取得までの期間を大幅に短縮できます。自社だけで取得を目指す場合、体制構築から従業員教育まで全てを自分たちで行う必要があり、専門的な知識がなければ体制構築に時間がかかり、運用まで手が回らない可能性もあります。
しかし、専門的な知識を持つコンサルタントがアドバイスを提供するコンサルティングサービスを利用すれば、自社の課題に応じた適切な指導を受けられ、効率的に認証取得が可能になります。そのため、専門的な知識がない企業でも、安心して認証取得から運用までを進めることができます。
また、専門的な知識がなく、体制も整っていない状態からISMSの認証取得を自社だけで進めると、1年以上かかることも珍しくありません。しかし、コンサルティングサービスを利用すれば、効率的に進めることができ、早ければ半年程度で認証取得が可能になります。
コンサル会社を比較する際には、以下の5つのポイントをチェックすると良いでしょう。
コンサル会社が多岐にわたるサービスを提供することにより、組織はISMSの導入に必要なあらゆるサポートを受けることができます。
評価や文書作成、従業員の教育、監査など、幅広いサービスが提供されているかどうかを確認しましょう。
また、ISO認証には、ISMSだけでなく、環境保護のISO14001や品質のISO9001など、多種多様な国際規格が存在します。
そのため、ISMS以外にも取得を検討しているISO認証がある場合、その認証の取得支援が可能かどうかを確認しておくと良いでしょう。
コンサル会社の利用を検討する際には、料金体系をしっかりと理解しておく必要があります。
各社から見積もりを取得し、それぞれの料金を比較して、最もコストパフォーマンスが良い会社を選ぶことをおすすめします。
また、料金を確認する際には、契約期間、出張費用、支援人数、支援内容など、いくつかのポイントに注目すると良いでしょう。
契約期間は通常半年から1年が一般的で、契約に制約がないかどうかを確認することが重要です。
遠方からの依頼の場合、出張費用が発生し、コンサルティングサービスを利用するたびに追加の費用がかかる可能性があるため、トータルのコストが増える可能性があります。
自社の担当者が対応した場合の手間や人件費を考慮に入れ、それよりもコンサル会社の料金が安いかどうかも考えてみましょう。これらを踏まえた上で、費用対効果を感じられる価格であるかを判断すると良いでしょう。
アドバイスのみを提供するタイプのコンサル会社は、クライアントに対して提案を行い、その後の実行はクライアントに任せるスタイルです。
そのため、認証取得までのスケジュールや対応速度は比較的遅く、プロジェクトが長期化する傾向があります。
また、複数の会社から見積もりを取る際には、サービスを依頼したときの対応を想定して、各社の対応方法を確認しましょう。
質問への返答速度をチェックすることで、通常時の迅速な対応がどの程度行われているのかを把握することができます。
ISMSの取得に際して、コンサル会社の専門知識と経験が非常に重要となります。コンサル会社は、過去の成功例や実績を踏まえ、情報セキュリティ領域における幅広い知識を持っています。
その専門性と経験は、戦略の策定から具体的な手順の実行、そして導入後の維持管理までの全過程において、大きな役割を果たします。
また、コンサルティング会社の信頼性については、提供するサービスの種類によって特徴があるわけではありませんが、実績の数が信頼性に直結すると考えることもできます。
個人や少数のコンサルタントがいる会社では、仕事が個人に依存し、個々の実績に基づいた提案が行われることが多いと言われています。
一方、規模の大きな会社では、多様な実績に基づいた事例が存在し、それが信頼性を高める要素となります。
コンサル会社を比較する際には、会社の規模や実績なども考慮するとよいでしょう。
個人や小規模のコンサル会社では、案件が特定の人に集中し、その人だけが案件の詳細を把握しているリスクがあります。しかし、規模が大きい会社では、チームでコンサルティングを行うため、複数の人が案件の状況を把握することができます。
コンサル会社を選ぶ際には、サポート体制もチェックすることをお勧めします。
なお、当社のコンサルティングサポートの内容につきましては、こちらをご覧ください。
ISMS(ISO27001) | 認証パートナー
ISMSとは、組織全体で情報セキュリティを管理するためのシステムを指します。
このシステムが適切に機能していると認められた場合、国際的な基準であるISOの認証を取得することができます。
ISMSには主にISO27001とISO27017の2つの認証制度が存在し、これらを取得することで、自社の情報セキュリティ体制が万全であることを外部に示すことができます。
多くのコンサル会社では、これらの認証審査に向けたサポートを行っています。
ISMS(ISO27001)の重要な要素は、情報の漏洩や改ざんを防ぐだけでなく、必要な時に迅速に情報を利用できる体制を整えることです。
リスクを避けるためのシステムを構築することはもちろん、それをスムーズに運用するための従業員教育など、組織内での浸透に向けた取り組みも重要な要素となります。
コンサルタントになるために必須の資格があるわけではありません。
この資格がないとISMS(ISO27001)のコンサルタントになれないということはないのです。
ただし、コンサルタントをする人の中には、ISMS(ISO27001)の審査員の資格や中小企業診断士、IPAのセキュリティに関わる資格などをもっている人もいます。
しかし、資格よりも経験や実績のほうが重要であり、資格があるから信頼できるということではありません。
現在サポートしている企業(お客様数)が多いコンサルタント会社に依頼することをおすすめします。
ISMSのコンサルとは、ISMSに関する課題を解決する専門家を指します。
コンサル会社にサポートしてもらうと、ISMS(ISO27001)取得・運用・更新がスムーズに進みます。
自分達だけでは取得・更新・維持運用が難しいかも…という方は、一度コンサル会社に無料相談を申し込んだり、資料を取り寄せてみるといいでしょう。
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください