2023年12月15日
ISO27017取得に必要な費用を徹底解剖
ISO27017にかかる費用は、トータルで200~3000万円ほどかかるのが一般的です。
費用には2種類あり、1つ目は審査費用です。これは審査をして貰う審査機関に支払う費用で、自社で新規認証を目指す場合でも必ず発生します。
2つ目はコンサルタント費用です。これは新規認証をサポートしてもらうコンサルタントに支払う費用であり、自社で認証を目指す場合には発生しません。
2022年11月4日
ISMSのセキュリティ方針は「企業や組織にとっての情報セキュリティに関する基本的な考え方」になります。
①基準となる文章の用意 ②目的が適切かの確認 ③要求事項が含まれているかの確認。
この3つの手順でISMSのセキュリティ方針を作成し、社内の人も社外の人も閲覧できるようにしておきましょう。
ISMS(ISO27001)の情報セキュリティ方針とは、
①基本方針 ②対策基準 ③実施手順
で構成される企業や組織の方針(行動指針)です。
分かりやすく言うと
「企業や組織にとっての情報セキュリティに関する基本的な考え方」
を示したものが情報セキュリティ方針になります。
企業にとって情報セキュリティの基盤となるものなので、ISMSでも作成が義務付けられています。
情報セキュリティには3つの要素があります。
①機密性(Confidentiality):情報を外部に見せない、漏らさない
②完全性(Integrity) :改ざんや過不足のない正確な情報が保持されている状態
③可用性(Availability) :情報をいつでも使える状態
この3要素は英語の頭文字をとって「CIA」とも呼ばれます。
このCIAを保持することが情報セキュリティを守ることに繋がります。
「業務データの中でアクセス制限があるような情報は?」
「記載内容に誤りがあった場合影響が大きいものは?」
「業務中に1時間利用できなくなったら困るものは?」
難しい内容なので上記のような観点で考えてみるといいかもしれませんね。
ISMS(ISO27001)5.2の要求事項は以下の通りです。
トップマネジメントは、次の事項を満たす情報セキュリティ方針を確立しなければならない。
a)組織の目的に対して適切である。
b)情報セキュリティ目的(6.2参照)を含むか、又は情報セキュリティ目的の設定のための枠組みを示す。
c)情報セキュリティに関連する適用される要求事項を満たすことへのコミットメントを含む。
d)ISMSの継続的改善へのコミットメントを含む。情報セキュリティ方針は、次に示す事項を満たさなければならない。
e)文書化した情報として利用可能である。
f)組織内に伝達する。
g)必要に応じて、利害関係者が入手可能である。
「企業や組織にとっての情報セキュリティに関する基本的な考え方」を”文書として”確立し(文書化要求)、
社内の人も社外の人も閲覧できるようしておくことが求められています。
もちろん、ただなんとなく作成するのではなく、ISMSの規格要求に沿った内容で作成する必要があります。
すでにセキュリティポリシー等、企業独自で作成しているものがある場合、それがISMS(ISO27001)の規格要求に合致しているかどうか、加筆修正程度で良いでしょう。
何もない状態から作成する場合は、
①情報セキュリティ方針の概要
②規格要求事項に対しての自社の対応
の構成でシンプルにまとめるのが良いと思います。
ISMSの規格要求事項に囚われて、自社の経営理念等と乖離が見られることがないよう、
経営理念等と絡めながら作成すると良いでしょう。
また、自社の業務概要や業務内容に関わる情報資産を明記するのもおすすめです。
業務内容や経営理念に沿って作成することで、情報セキュリティ方針の位置づけや狙いが明確になります。
以下の観点から、要求事項を満たしているかどうか確認してみましょう。
a)組織の目的に対して適切である。
→【⑵目的が適切かの確認】で記載した通りです。
自社の経営理念等と乖離がないか確認しましょう。
b)情報セキュリティ目的(6.2参照)を含むか、又は情報セキュリティ目的の設定のための枠組みを示す。
→ここでいう情報セキュリティ「目的」は「目標」と同じ意味になります。
例えば「セキュリティ インシデント0件」が目標であれば、
”セキュリティ インシデントを防ぐ”といった文言を方針に盛り込みましょう。
c)情報セキュリティに関連する適用される要求事項を満たすことへのコミットメントを含む。
→自社の業務内容や特徴、あるいは課題を入れましょう。
d)ISMSの継続的改善へのコミットメントを含む。
→ISMSに関する取り組みを定期的に見直す旨を記載しましょう。
e)文書化した情報として利用可能である。
→文書として提出できる状態にしてください。
f)組織内に伝達する。
→従業員が閲覧できるようにしましょう。
g)必要に応じて、利害関係者が入手可能である。
→利害関係者が閲覧できるようにしましょう。
従業員がいつでも閲覧できるような場所に掲示し、掲示場所についても周知しましょう。
・社内ポータル等に掲示する
・事務所内に掲示する
・HPに掲載し、周知する
以下のように、利害関係者(顧客、株主、委託先、金融機関、従業員 等)
が情報セキュリティ方針を確認したい際に確認できるような措置が講じられていれば良いです。
・HPに掲載する
・事務所の受付台に設置する
・必要に応じてメールで送付する
情報セキュリティ方針は「企業や組織にとっての情報セキュリティに関する基本的な考え方」のことでISMS(ISO27001)でも作成が義務付けられています。
ISMSで求められている7つの必須項目は入れて作成しましょう。
また、作成後は社内の人も社外の人も閲覧できるようにしておきましょう。
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください