１．ISMS（ISO27001）新規取得費用とは

ISMS（ISO27001）新規取得費用とは、ISMS（ISO27001）を取得するにあたって支払う費用の合計のことを指しています。

自社のリソースのみで取得する場合は、
審査費用のみ必要です。
（担当者の人件費は追加になるかもしれませんが）

コンサル会社のサポートを利用する場合は、
審査費用＋コンサルティング費用の合計金額が必要になってきます。

ちなみに、
よく「ISMS（ISO27001）取得しようと思ったら、なにかしらシステムを導入したり設備を入れたりしなきゃいけないんでしょう？」とご質問いただきますが、必要ないケースがほとんどです。
ISMS（ISO27001）を取得するからといって、高価なサーバや最新の入退管理設備を導入する必要はありません。
システム導入を強いるコンサル会社もあるようなので、ご注意ください。

２．審査費用とは

審査費用とは、審査を受けるために審査機関に支払う費用です。
ISMS（ISO27001）を取得しようと考えた場合、必ずかかる費用です。

一次審査（文書審査）、二次審査（現地審査）、登録料、審査員の交通費・宿泊費の合計金額になります。
これら全てが支払われてISOに登録されるため、忘れずに支払わなければなりません。

そして、この審査費用は審査機関によって異なり、また、申請する側の従業員人数、拠点数、業種によっても異なります。
多いときは審査機関によって数十万円もの差があることもありますので、複数の審査機関から見積りをとるとよいでしょう。

しかし、審査機関は国内に60程度あり、費用の他に、審査傾向や審査日程のとりやすさなどにも違いがあります。
初めての方や審査機関の違いについて詳しくない方は、審査機関の選定の際、是非無料相談をご利用ください。

３．審査費用の相場

前述の通り、審査費用は審査機関によって異なります。
また、従業員人数、拠点数、業種によっても異なるため、一概に「相場」と言っても難しいのですが、おおよその平均が下記の表になります。
あくまでも概算ですので、参考程度にご覧ください。

■審査費用（※概算）

※審査費用の平均のため、この金額と大きく異なる場合もあります。ここでいう審査費用とは、一次審査（文書審査）＋二次審査（現地審査）＋ISO登録料の合計を指します。審査員の交通費・宿泊費は含まれておりません。

４．ISMS取得コンサルティングとは

ISMS（ISO27001）のコンサルタントとは、ISMS取得に関する課題を解決してくれる人です。
コンサル会社のサポートを利用すると、知識不足・ノウハウ不足・人手不足・時間不足を補ってもらうことができます。

「社内にISMSの知識を持っている人がいない…」
「早く取得したい」
「プロの手を借りてスムーズに取得したい」
「人手が足りない」
といった場合は、専門家であるコンサル会社のサポートを検討するとよいでしょう。

取得支援のサポートを利用する場合、審査費用に加えて、コンサル会社に支払うコンサルティング費用がかかってきます。

よろしければこちらの記事もご覧ください。
ISMS（ISO27001）のコンサルって何をやる人？

５．コンサルティング費用の相場

コンサルティング費用はコンサル会社によって異なります。
また、御社の従業員数や拠点数によっても変わってくるでしょう。
年間数十万円の会社もあれば、数百万円のコンサル会社もあります。
審査費用と同様に、複数社から見積りをとって比較するのが一般的です。

コンサルティングサポートは、大まかに２種類あり、どちらに該当するかによって、
コンサルティング費用が大きく変わります。

⑴「アドバイスのみ」コンサル：30万円前後/年
１０年以上前はこちらのコンサルが一般的でした。
アドバイスを受けながら担当者が見よう見まねで１から作ることが多く、無駄なルールが増えやすくなる為、
認証後の運用が大変になるケースが多いです。
取得後のサポートであれば、「アドバイスのみ」で良いかもしれません。
メリットとして、費用が安いことがあげられますが、デメリットとしてISMSの運用が重くなりがちです。

⑵「アドバイス+運用サポート」コンサル：40万円/年～150万円/年
アドバイスだけではなく、コンサルが最初の仕組み構築までやってくれるサポートになります。
最近ではこちらが主流になってきましたが、「アドバイスのみ」コンサルティングとは違い、
プロがお客様の現状をヒアリングしながら、文書・ルールを作成する為、必要最低限で実務に沿ったISMSの運用が可能になります。
「アドバイスのみ」と比べ費用がかかりますが、メリットとしてISMS担当者のご負担がかなり軽減されます。
 
認証パートナーでも「アドバイス+運用サポート」のコンサルをしております。
費用が気になる方はぜひこちらをご覧ください。

６．自社の従業員だけでISMS（ISO27001）の取得は可能か？

コンサル会社を使うと審査費用のほかにコンサルティング費用もかかるし、
多くの方は、「自社のリソースで取得できないだろうか？」と考えるでしょう。

もちろん自社で取得することも不可能ではありませんが、規格知識やノウハウが少ないためネットで調べたり勉強することからはじめることになり、構築に時間がかかるでしょう。
とくに日常業務と兼任でISMS取得を目指す場合は「非常に大変だった」というお声をいただくこともあります。

また、取得する時期にある程度余裕がないと、自社での取得は厳しいです。
取得を急いでいる場合はコンサル会社のサポートを利用したほうがよいでしょう。

そして、自社で取得となると、上記でもお伝えした通りご担当者様の作業時間および人件費の確保も必要になってきます。
また、取得時期が近ければ近いほど、構築や運用に当てる時間もありません。
費用と工数はトレードオフであることを踏まえて考えてみてください。

７．取得後も発生する費用・ランニングコストについて

ISMS（ISO27001）は一度取得したら終わりではなく、維持するためには毎年審査を受けなければなりません。
審査費用も毎年発生します。

ISMS（ISO27001）の有効期間は３年間なので、大きい審査（＝更新審査）は３年ごとにやってきます。
更新審査では、３年分のISMS運用状況を見られ、ISO27001登録を更新するのに問題がないか、しっかり確認されます。

維持審査は主に、前回の審査以降の運用状況確認です。
更新審査と比べると、少し軽めの審査と考えてよいでしょう。

■４年目までの審査費用（※概算）

※審査費用の平均のため、この金額と大きく異なる場合もあります。ここでいう審査費用とは、一次審査（文書審査）＋二次審査（現地審査）＋ISO登録料の合計を指します。審査員の交通費・宿泊費は含まれておりません。

そして、コンサル会社のサポートを利用している場合は、コンサルティング費用も毎年かかってきます。

８．クラウドセキュリティに関する規格「ISO27017」とは？認証費用は？

ISO27017とは、クラウドセキュリティに関する国際規格です。

クラウドサービスを提供している事業者、クラウドサービスを利用している事業者が取得できる規格ですが、前提としてISO27001取得が必須です。
つまり、すでにISO27001を取得済であるか、ISO27001とISO27017を同時取得するかどちらかである必要があります。

ISO27017は2015年に発行された比較的新しい規格なので、国内の取得企業数はおおよそ200社程度と言われています。

認証費用についてですが、ISO27017も審査費用は一律ではなく、審査機関によって異なりますので複数見積りをとるとよいでしょう。

こちらの記事でもISO27017について説明しておりますのでご覧ください。
【ISMS（ISO27001）】ISO27017：cloud（クラウド）サービスに対応した規格の取得で注意すべきポイント

まとめ

ISMS（ISO27001）の取得費用は事業規模・拠点数・審査機関・コンサル会社・担当者の知識レベルなどによって異なります。
審査機関、コンサルティング会社には複数社から見積りを取ってみてください。

また、「社内にISMSの知識を持っている人がいない…」「早く取得したい」「プロの手を借りてスムーズに取得したい」「人手が足りない」といった場合は、専門家であるコンサル会社のサポートを利用しましょう。