2023年11月21日
ISMS適合性評価制度とは?概要をわかりやすく解説
ISMS適合性評価制度は、情報セキュリティマネジメントシステム(ISMS)が適切に運用されているかを評価・認証する制度です。企業が情報資産を適切に管理し、情報セキュリティ対策を実施していることを証明するための重要な手段となります。この制度を通じて、企業は情報セキュリティの信頼性と透明性を向上させることができます。
2024年7月3日
ISMS(ISO27001)を新規取得するためにかかる費用は、審査費用とコンサルティング費用の2つです。
ISMS(ISO27001)新規取得にかかる費用とその算出方法を解説します。
ISMS(ISO27001)新規取得費用とは、ISMS(ISO27001)を取得するにあたって支払う費用の合計のことを指しています。
自社のリソースのみで取得する場合は、
審査費用のみ必要です。
(担当者の人件費は追加になるかもしれませんが)
コンサル会社のサポートを利用する場合は、
審査費用+コンサルティング費用の合計金額が必要になってきます。
ちなみに、
よく「ISMS(ISO27001)取得しようと思ったら、なにかしらシステムを導入したり設備を入れたりしなきゃいけないんでしょう?」とご質問いただきますが、必要ないケースがほとんどです。
ISMS(ISO27001)を取得するからといって、高価なサーバや最新の入退管理設備を導入する必要はありません。
システム導入を強いるコンサル会社もあるようなので、ご注意ください。
審査費用とは、審査を受けるために審査機関に支払う費用です。
ISMS(ISO27001)を取得しようと考えた場合、必ずかかる費用です。
一次審査(文書審査)、二次審査(現地審査)、登録料、審査員の交通費・宿泊費の合計金額になります。
これら全てが支払われてISOに登録されるため、忘れずに支払わなければなりません。
そして、この審査費用は審査機関によって異なり、また、申請する側の従業員人数、拠点数、業種によっても異なります。
多いときは審査機関によって数十万円もの差があることもありますので、複数の審査機関から見積りをとるとよいでしょう。
しかし、審査機関は国内に60程度あり、費用の他に、審査傾向や審査日程のとりやすさなどにも違いがあります。
初めての方や審査機関の違いについて詳しくない方は、審査機関の選定の際、是非無料相談をご利用ください。
前述の通り、審査費用は審査機関によって異なります。
また、従業員人数、拠点数、業種によっても異なるため、一概に「相場」と言っても難しいのですが、おおよその平均が下記の表になります。
あくまでも概算ですので、参考程度にご覧ください。
■審査費用(※概算)
従業員数 | 審査費用 |
---|---|
1~10名 | 535,000円 |
11~25名 | 640,000円 |
26~45名 | 880,000円 |
45~65名 | 1,020,000円 |
66~85名 | 1,090,000円 |
86~125名 | 1,240,000円 |
※審査費用の平均のため、この金額と大きく異なる場合もあります。ここでいう審査費用とは、一次審査(文書審査)+二次審査(現地審査)+ISO登録料の合計を指します。審査員の交通費・宿泊費は含まれておりません。
ISMS(ISO27001)のコンサルタントとは、ISMS取得に関する課題を解決してくれる人です。
コンサル会社のサポートを利用すると、知識不足・ノウハウ不足・人手不足・時間不足を補ってもらうことができます。
「社内にISMSの知識を持っている人がいない…」
「早く取得したい」
「プロの手を借りてスムーズに取得したい」
「人手が足りない」
といった場合は、専門家であるコンサル会社のサポートを検討するとよいでしょう。
取得支援のサポートを利用する場合、審査費用に加えて、コンサル会社に支払うコンサルティング費用がかかってきます。
よろしければこちらの記事もご覧ください。
コンサルティングサポートは、大まかに2種類あり、どちらに該当するかによって、
コンサルティング費用が大きく変わります。
⑴「アドバイスのみ」コンサル:30万円前後/年
10年以上前はこちらのコンサルが一般的でした。
アドバイスを受けながら担当者が見よう見まねで1から作ることが多く、無駄なルールが増えやすくなる為、
認証後の運用が大変になるケースが多いです。
取得後のサポートであれば、「アドバイスのみ」で良いかもしれません。
メリットとして、費用が安いことがあげられますが、デメリットとしてISMSの運用が重くなりがちです。
⑵「アドバイス+運用サポート」コンサル:40万円/年~150万円/年
アドバイスだけではなく、コンサルが最初の仕組み構築までやってくれるサポートになります。
最近ではこちらが主流になってきましたが、「アドバイスのみ」コンサルティングとは違い、
プロがお客様の現状をヒアリングしながら、文書・ルールを作成する為、必要最低限で実務に沿ったISMSの運用が可能になります。
「アドバイスのみ」と比べ費用がかかりますが、メリットとしてISMS担当者のご負担がかなり軽減されます。
認証パートナーでも「アドバイス+運用サポート」のコンサルをしております。
費用が気になる方はぜひこちらをご覧ください。
コンサル会社を使うと審査費用のほかにコンサルティング費用もかかるし、
多くの方は、「自社のリソースで取得できないだろうか?」と考えるでしょう。
もちろん自社で取得することも不可能ではありませんが、規格知識やノウハウが少ないためネットで調べたり勉強することからはじめることになり、構築に時間がかかるでしょう。
とくに日常業務と兼任でISMS取得を目指す場合は「非常に大変だった」というお声をいただくこともあります。
また、取得する時期にある程度余裕がないと、自社での取得は厳しいです。
取得を急いでいる場合はコンサル会社のサポートを利用したほうがよいでしょう。
そして、自社で取得となると、上記でもお伝えした通りご担当者様の作業時間および人件費の確保も必要になってきます。
また、取得時期が近ければ近いほど、構築や運用に当てる時間もありません。
費用と工数はトレードオフであることを踏まえて考えてみてください。
ISMS(ISO27001)は一度取得したら終わりではなく、維持するためには毎年審査を受けなければなりません。
審査費用も毎年発生します。
ISMS(ISO27001)の有効期間は3年間なので、大きい審査(=更新審査)は3年ごとにやってきます。
更新審査では、3年分のISMS運用状況を見られ、ISO27001登録を更新するのに問題がないか、しっかり確認されます。
維持審査は主に、前回の審査以降の運用状況確認です。
更新審査と比べると、少し軽めの審査と考えてよいでしょう。
■4年目までの審査費用(※概算)
1年目 | 2年目 | 3年目 | 4年目 | |
---|---|---|---|---|
従業員数 | 初回審査 | 維持審査 | 維持審査 | 更新審査 |
1~10名 | 535,000円 | 210,000円 | 210,000円 | 400,000円 |
11~25名 | 640,000円 | 290,000円 | 290,000円 | 470,000円 |
26~45名 | 880,000円 | 340,000円 | 340,000円 | 600,000円 |
45~65名 | 1,020,000円 | 440,000円 | 440,000円 | 670,000円 |
66~85名 | 1,090,000円 | 440,000円 | 440,000円 | 790,000円 |
86~125名 | 1,240,000円 | 480,000円 | 480,000円 | 840,000円 |
※審査費用の平均のため、この金額と大きく異なる場合もあります。ここでいう審査費用とは、一次審査(文書審査)+二次審査(現地審査)+ISO登録料の合計を指します。審査員の交通費・宿泊費は含まれておりません。
そして、コンサル会社のサポートを利用している場合は、コンサルティング費用も毎年かかってきます。
ISO27017とは、クラウドセキュリティに関する国際規格です。
クラウドサービスを提供している事業者、クラウドサービスを利用している事業者が取得できる規格ですが、前提としてISO27001取得が必須です。
つまり、すでにISO27001を取得済であるか、ISO27001とISO27017を同時取得するかどちらかである必要があります。
ISO27017は2015年に発行された比較的新しい規格なので、国内の取得企業数はおおよそ200社程度と言われています。
認証費用についてですが、ISO27017も審査費用は一律ではなく、審査機関によって異なりますので複数見積りをとるとよいでしょう。
こちらの記事でもISO27017について説明しておりますのでご覧ください。
ISMS(ISO27001)の取得費用は事業規模・拠点数・審査機関・コンサル会社・担当者の知識レベルなどによって異なります。
審査機関、コンサルティング会社には複数社から見積りを取ってみてください。
また、「社内にISMSの知識を持っている人がいない…」「早く取得したい」「プロの手を借りてスムーズに取得したい」「人手が足りない」といった場合は、専門家であるコンサル会社のサポートを利用しましょう。
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください