2024年9月2日
ISMAP-LIUにかかる費用と費用対効果を解説
ISMAP-LIUとは、政府機関等による調達リストに掲載されるために必要な認証です。対象をSaaS事業者に絞っているため、認証にかかる費用を抑えられます。
類似のISMAPの認証には3,000〜5,000万円ほど費用が発生するケースが多いですが、ISMAP-LIUだと費用が1,000〜3,000万円程度に抑えられると言われています。
2024年11月7日
ISMS取得企業については、インターネット検索やホームページ、名刺、会社パンフレットを確認することで調べることができます。そもそもISMS(ISO27001)の取得企業とは、情報セキュリティマネジメントシステムを構築・運用し、審査機関による審査を受けて認証を得た企業のことを指します。
目次
ISMS取得企業とは、ISMSの規格要求事項(JIS Q 27001:2023)に基づいて情報セキュリティマネジメントシステムを確立し、審査機関の審査を経て認証を受けた企業のことです。
これらの企業は、規格要求事項(JIS Q 27001:2023)の各管理策に対して技術的な対策を講じ、リスクアセスメントを実施して必要なセキュリティレベルを設定し、計画、運用、改善を通じてシステムを運用しています。
※ISMS(ISO 27001)とは
情報セキュリティマネジメントシステムのことで、情報セキュリティに関するISO規格の一つです。
※JIS Q 27001:2023(ISO/IEC 27001)とは
組織がISMS(ISO 27001)を確立、実施、維持、継続的に改善するための指針を提供することを目的とした規格です。ISMSの確立および実施において、組織が何をどのように行うべきかを示しています。
ISMS(ISO27001)については、こちらの記事で詳しく説明しております。
2024年10月時点で、日本のISMS(ISO27001)を取得している企業数は7,956社です。
そのうち、取得を公表している企業は7,549社です。
この取得企業数は、ISO規格の認定を行っている公益財団法人日本適合性認定協会(JAB)が定期的に調査し、発表しています。
ISMS(ISO27001)を取得している企業は、2002年には約140社でしたが、2019年には約6,000社、2024年には7,500社以上に増加しています。
この推移から、ISMSを取得したいと考える企業が依然として多く、世間のニーズが高まっていることがうかがえます。
ISMS認証を取得している企業を業種別でみると、「情報技術業」に属する企業が53.3%と半分以上の割合を占めています。
引用:ISMS適合性評価制度に関する調査報告書 P3『図1 法人の業種』
(一般社団法人情報マネジメントシステム認定センター)
ISMS適合性評価制度に関するアンケート調査報告書 2024 年 7月
また、ISMS認証を取得している企業を従業員数で分類すると、「100人超、300人以下」の企業が23.0%で最も多く、次いで「20人超、50人以下」が21.9%、「50人超、100人以下」が18.7%となっています。
引用:ISMS適合性評価制度に関する調査報告書 P6『図4 従業員数』
(一般社団法人情報マネジメントシステム認定センター)
ISMS適合性評価制度に関するアンケート調査報告書 2024 年 7月
ISMSを取得している企業には、いくつかの共通した特徴があります。
まず、BtoBを主とする企業は、BtoC企業よりもISMS認証を取得する傾向があります。これは、多くのBtoB企業が委託や外注を通じて顧客企業の機密情報や消費者の個人情報を扱うことが多いためです。信頼できる委託先や外注先を選ぶ際に、ISMS認証を取得して情報を適切に取り扱えることを示すことが、競争上の優位性となります。
次に、IT業界や情報通信業界の企業は、システム開発において個人情報や機密情報を多く取り扱います。さらに、インターネットやクラウドを活用するため、不正アクセスや情報漏洩のリスクが高まります。そのため、これらの企業はISMSを取得することが多いです。
また、大企業では、多くの人が関与する組織で効率的かつ効果的に情報セキュリティ体制を整えるために、ISMSのような仕組みが必要です。企業規模が大きいほど、顧客や取引先といったステークホルダーも増えるため、これらの要請に応じてISMS認証を取得することもあります。
このように、ISMSを取得している企業には、「顧客の機密情報や個人情報を扱う企業」や「情報を正しく扱う必要がある企業」といった共通の特徴が見られます。
ISMSを日本の認証機関で取得した企業については、情報マネジメントシステムセンターの「ISMS認証取得組織検索」で確認することができます。
情報マネジメントシステムセンター:ISMS認証取得組織検索
ISMSは、日本の認証機関以外の審査機関でも取得可能なため、ISMSを取得していても「ISMS認証取得組織検索」に掲載されていないことがあります。そのため、企業のホームページを確認して「ISMS(ISO27001)認証」を取得しているかどうかを確認するのも一つの方法です。
ISMSを取得した企業は、認証後に各認証機関や審査機関のロゴマークを使用することが許可されます。
多くの企業は、社内外へのアピールとして、会社のホームページに認証情報を掲載しています。
ホームページにISMS認証取得を掲載している場合、以下の3つのページに記載されていることが多いです。
審査機関のロゴマークが掲載されていることがあります。
「認証資格」などの項目があれば、そこに記載されていることがあります。
企業のセキュリティ方針の一部として記載されていることがあります。
ISMSを取得していても、会社のホームページに記載する義務はありません。
そのため、ホームページに情報がない場合は、名刺や会社パンフレットに記載がないか確認してみると良いでしょう。
なお、各認証機関や審査機関によって、ロゴマークの使用に関するルールや手順が定められているため、使用には注意が必要です。これらのルールや手順に誤りがあると、不適合とされる場合があります。
ISMSを取得する目的として、以下の理由がよく挙げられます。
また、一般社団法人情報マネジメントシステム認定センターが実施したアンケート調査では、ISMS導入の目的や動機について、11の項目に対して「該当する」、「やや該当する」、「あまり該当しない」、「該当しない」の4段階で回答を求めました。
その結果、全項目の中で「該当する」との回答が最も多かったのは「顧客からの信頼を確保するため」(84.7%)でした。次いで「組織の情報セキュリティ対策の強化のため」(81.2%)と「組織の情報セキュリティ管理体制の強化のため」(80.3%)が続きます。
一方、「該当する」との回答が最も少なかったのは「同業他社との差別化、営業上の優位性の確保のため」(51.9%)です。
引用:ISMS適合性評価制度に関する調査報告書 P13『図11 導入の目的又は動機』
(一般社団法人情報マネジメントシステム認定センター)
ISMS適合性評価制度に関するアンケート調査報告書 2024 年 7月
以下の3点は、必ず実施しなければならない項目です。
社内での情報資産(個人情報を含む)の取り扱いや、社外との情報共有時のセキュリティ対策、各システムにおけるアクセス権の管理や監視などの対策を策定する必要があります。また、マニュアル(手順書)を作成し、従業員がいつでも閲覧できるようにしておかなければなりません。
従業員や派遣社員、アルバイト、パート、個人事業主に対して、自社の情報セキュリティ対策についての教育を年に1回以上実施しなければなりません。また、情報セキュリティ事故に関する教育や注意喚起、周知も行う必要があります。
トップマネジメントは、情報セキュリティに関する方針や目標(目的)を策定し、従業員に周知しなければなりません。
これらは重要なポイントに絞ったものですが、他にも実施しなければならないことがあります。
ISMS(ISO27001)の取得や運用でお困りの方は、ぜひ一度ご相談ください。
ISMS(ISO27001)の取得は、意味がないと聞くことはありませんでしょうか?
実際は、そんなことはありません。しかし、ISMS(ISO27001)を効果的に活用できている組織は多くありません。
意味のあるISMS(ISO27001)にするために重要なのは、「ISMSのためだけのルールを構築段階で作らないこと」です。
多くの組織が、ISMS(ISO27001)のためだけのルールを作ってしまっているのが現状です。
自社の既存のルールをそのままISMSのルールにすることで、意味のある運用に変わっていきます。
ISMSを取得する意味については、こちらの記事で詳しく説明しております。
新しく担当者になった方がよく陥るのは、ISMS(ISO27001)の審査に合格するためだけに新しいルールを過剰に作ってしまうことです。
ルールを多く作りすぎると、業務がやりにくくなったり、手間が増えてしまうことがあります。
それでは本末転倒です。
現在の自社のルールを活かしながら構築・運用し、審査で指摘を受けた箇所を改善するというスタンスで審査に臨むのが良いでしょう。
ISMSを取得する際の注意事項については、こちらの記事で詳しく説明しております。
ISMSを取得することで、以下のようなメリットがあります。
自社が取り扱う情報について、適切に管理し、セキュリティ対策を実施していることの証明となります。
ISMS(ISO27001)を取得することで、情報セキュリティ対策を行っていることをアピールでき、取引先との契約締結がしやすくなります。
社内で情報セキュリティに関する各種対策を実施することで、従業員のコンプライアンス意識の向上が期待できます。
一方で、取得することによるデメリットも存在します。
ISMSを取得するメリット・デメリットについては、こちらの記事で詳しく説明しております。
ISMS(ISO27001)取得企業とは、情報セキュリティに関するマネジメントシステムを確立し、審査機関による審査を受けて認証を得た企業のことです。
ISMS取得企業は、インターネット検索や企業のホームページ、名刺、会社パンフレットなどで確認することができます。
ISMSを取得している企業は、以下の3点を必ず実施しています。
また、ISMSの取得には、「取引先や顧客からの信頼を得られる」「売上拡大のチャンスが生まれる」「社内のコンプライアンス意識が向上する」などのメリットがあります。
ISMS(ISO27001)取得に関してお困りの方、ISMSのために時間を取られ通常業務に支障が出ている方、またISMSのための実施事項が増え、業務実態に合わないルールになっている方は、ぜひ一度ご相談ください。
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください