ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001) 認証・更新

ISMS(ISO27001)認証お役立ちコラム

ISMS(ISO27001)新規取得費用いくら見ればいいの?

スタッフ写真
スタッフ写真

2021年3月16日

ISMS(ISO27001)新規取得費用いくら見ればいいの?

ISMS(ISO27001)を新規取得するためにかかる費用は、審査費用とコンサルティング費用の2つです。
ISMS(ISO27001)新規取得にかかる費用とその算出方法を解説します。

目次

1.ISMS(ISO27001)新規取得費用とは

ISMS(ISO27001)新規取得費用とは、ISMS(ISO27001)を取得するにあたって支払う費用の合計のことを指しています。

自社のリソースのみで取得する場合は、
審査費用のみ必要です。
(担当者の人件費は追加になるかもしれませんが)

コンサル会社のサポートを利用する場合は、
審査費用+コンサルティング費用の合計金額が必要になってきます。

ちなみに、
よく「ISMS(ISO27001)取得しようと思ったら、なにかしらシステムを導入したり設備を入れたりしなきゃいけないんでしょう?」とご質問いただきますが、必要ないケースがほとんどです。
ISMS(ISO27001)を取得するからといって、高価なサーバや最新の入退管理設備を導入する必要はありません。
システム導入を強いるコンサル会社もあるようなので、ご注意ください。

2.審査費用とは

審査費用とは、審査を受けるために審査機関に支払う費用です。
ISMS(ISO27001)を取得しようと考えた場合、必ずかかる費用です。

一次審査(文書審査)、二次審査(現地審査)、登録料、審査員の交通費・宿泊費の合計金額になります。
これら全てが支払われてISOに登録されるため、忘れずに支払わなければなりません。

そして、この審査費用は審査機関によって異なり、また、申請する側の従業員人数、拠点数、業種によっても異なります。
多いときは審査機関によって数十万円もの差があることもありますので、複数の審査機関から見積りをとるとよいでしょう。

しかし、審査機関は国内に60程度あり、費用の他に、審査傾向や審査日程のとりやすさなどにも違いがあります。
初めての方や審査機関の違いについて詳しくない方は、審査機関の選定の際、是非無料相談をご利用ください。

プロのコンサルタントがお悩みをお伺いします!

3.審査費用の相場

前述の通り、審査費用は審査機関によって異なります。
また、従業員人数、拠点数、業種によっても異なるため、一概に「相場」と言っても難しいのですが、おおよその平均が下記の表になります。
あくまでも概算ですので、参考程度にご覧ください。

■審査費用(※概算)

従業員数 審査費用
1~10名 535,000円
11~25名 640,000円
26~45名 880,000円
45~65名 1,020,000円
66~85名 1,090,000円
86~125名 1,240,000円

※審査費用の平均のため、この金額と大きく異なる場合もあります。ここでいう審査費用とは、一次審査(文書審査)+二次審査(現地審査)+ISO登録料の合計を指します。審査員の交通費・宿泊費は含まれておりません。

4.ISMS取得コンサルティングとは

ISMS(ISO27001)のコンサルタントとは、ISMS取得に関する課題を解決してくれる人です。
コンサル会社のサポートを利用すると、知識不足・ノウハウ不足・人手不足・時間不足を補ってもらうことができます。


「社内にISMSの知識を持っている人がいない…」
「早く取得したい」
「プロの手を借りてスムーズに取得したい」
「人手が足りない」
といった場合は、専門家であるコンサル会社のサポートを検討するとよいでしょう。

取得支援のサポートを利用する場合、審査費用に加えて、コンサル会社に支払うコンサルティング費用がかかってきます。

よろしければこちらの記事もご覧ください。
ISMS(ISO27001)のコンサルって何をやる人?

5.コンサルティング費用の相場

コンサルティング費用はコンサル会社によって異なります。
また、御社の従業員数や拠点数によっても変わってくるでしょう。
年間数十万円の会社もあれば、数百万円のコンサル会社もあります。
審査費用と同様に、複数社から見積りをとって比較するのが一般的です。

コンサルティングサポートは、大まかに2種類あり、どちらに該当するかによって、
コンサルティング費用が大きく変わります。

 

⑴「アドバイスのみ」コンサル:30万円前後/年
10年以上前はこちらのコンサルが一般的でした。
アドバイスを受けながら担当者が見よう見まねで1から作ることが多く、無駄なルールが増えやすくなる為、
認証後の運用が大変になるケースが多いです。
取得後のサポートであれば、「アドバイスのみ」で良いかもしれません。
メリットとして、費用が安いことがあげられますが、デメリットとしてISMSの運用が重くなりがちです。

⑵「アドバイス+運用サポート」コンサル:40万円/年~150万円/年
アドバイスだけではなく、コンサルが最初の仕組み構築までやってくれるサポートになります。
最近ではこちらが主流になってきましたが、「アドバイスのみ」コンサルティングとは違い、
プロがお客様の現状をヒアリングしながら、文書・ルールを作成する為、必要最低限で実務に沿ったISMSの運用が可能になります。
「アドバイスのみ」と比べ費用がかかりますが、メリットとしてISMS担当者のご負担がかなり軽減されます。
 
認証パートナーでも「アドバイス+運用サポート」のコンサルをしております。
費用が気になる方はぜひこちらをご覧ください。

6.自社の従業員だけでISMS(ISO27001)の取得は可能か?

コンサル会社を使うと審査費用のほかにコンサルティング費用もかかるし、
多くの方は、「自社のリソースで取得できないだろうか?」と考えるでしょう。

もちろん自社で取得することも不可能ではありませんが、規格知識やノウハウが少ないためネットで調べたり勉強することからはじめることになり、構築に時間がかかるでしょう。
とくに日常業務と兼任でISMS取得を目指す場合は「非常に大変だった」というお声をいただくこともあります。

また、取得する時期にある程度余裕がないと、自社での取得は厳しいです。
取得を急いでいる場合はコンサル会社のサポートを利用したほうがよいでしょう。

そして、自社で取得となると、上記でもお伝えした通りご担当者様の作業時間および人件費の確保も必要になってきます。
また、取得時期が近ければ近いほど、構築や運用に当てる時間もありません。
費用と工数はトレードオフであることを踏まえて考えてみてください。

7.取得後も発生する費用・ランニングコストについて

ISMS(ISO27001)は一度取得したら終わりではなく、維持するためには毎年審査を受けなければなりません。
審査費用も毎年発生します。

ISMS(ISO27001)の有効期間は3年間なので、大きい審査(=更新審査)は3年ごとにやってきます。
更新審査では、3年分のISMS運用状況を見られ、ISO27001登録を更新するのに問題がないか、しっかり確認されます。

維持審査は主に、前回の審査以降の運用状況確認です。
更新審査と比べると、少し軽めの審査と考えてよいでしょう。

■4年目までの審査費用(※概算)

1年目 2年目 3年目 4年目
従業員数 初回審査 維持審査 維持審査 更新審査
1~10名 535,000円 210,000円 210,000円 400,000円
11~25名 640,000円 290,000円 290,000円 470,000円
26~45名 880,000円 340,000円 340,000円 600,000円
45~65名 1,020,000円 440,000円 440,000円 670,000円
66~85名 1,090,000円 440,000円 440,000円 790,000円
86~125名 1,240,000円 480,000円 480,000円 840,000円

※審査費用の平均のため、この金額と大きく異なる場合もあります。ここでいう審査費用とは、一次審査(文書審査)+二次審査(現地審査)+ISO登録料の合計を指します。審査員の交通費・宿泊費は含まれておりません。

 

そして、コンサル会社のサポートを利用している場合は、コンサルティング費用も毎年かかってきます。

 

8.クラウドセキュリティに関する規格「ISO27017」とは?認証費用は?

ISO27017とは、クラウドセキュリティに関する国際規格です。

クラウドサービスを提供している事業者、クラウドサービスを利用している事業者が取得できる規格ですが、前提としてISO27001取得が必須です。
つまり、すでにISO27001を取得済であるか、ISO27001とISO27017を同時取得するかどちらかである必要があります。

ISO27017は2015年に発行された比較的新しい規格なので、国内の取得企業数はおおよそ200社程度と言われています。

認証費用についてですが、ISO27017も審査費用は一律ではなく、審査機関によって異なりますので複数見積りをとるとよいでしょう。

こちらの記事でもISO27017について説明しておりますのでご覧ください。
【ISMS(ISO27001)】ISO27017:cloud(クラウド)サービスに対応した規格の取得で注意すべきポイント

まとめ

ISMS(ISO27001)の取得費用は事業規模・拠点数・審査機関・コンサル会社・担当者の知識レベルなどによって異なります。
審査機関、コンサルティング会社には複数社から見積りを取ってみてください。

また、「社内にISMSの知識を持っている人がいない…」「早く取得したい」「プロの手を借りてスムーズに取得したい」「人手が足りない」といった場合は、専門家であるコンサル会社のサポートを利用しましょう。

 
ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。
コンサルタント写真
 
ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。
コンサルタント写真

  ← 記事の内容をまとめた動画はこちら!!

\ フォローしてね /

認証パートナーの
Youtubeチャンネル

\あわせて読みたい記事/

  • ISMSセキュリティ方針の作り方を3つのポイントに分けて解説

    2022年11月4日

    ISMSセキュリティ方針の作り方を3つのポイントに分けて解説

    ISMSのセキュリティ方針は「企業や組織にとっての情報セキュリティに関する基本的な考え方」になります。
    ①基準となる文章の用意 ②目的が適切かの確認 ③要求事項が含まれているかの確認。
    この3つの手順でISMSのセキュリティ方針を作成し、社内の人も社外の人も閲覧できるようにしておきましょう。

  • ISMS(ISO27001)適用宣言書とは?実際の作り方と作成例を紹介!

    2023年9月15日

    ISMS(ISO27001)適用宣言書とは?実際の作り方と作成例を紹介!

    ISMS(ISO27001)の適用宣言書とは、組織が情報セキュリティ管理体制を策定し、それを適用することを公に宣言する文書です。
    ISMS(ISO27001)の適用宣言書の作り方として、①管理策の大枠を理解する、②業務内容から適用する管理策を選定する、③管理策内容を具体的に作成する、の3つのステップに分けると進めやすいでしょう。

  • 【結論】どっちを取得するのがいい!?PマークとISMSの違いを徹底比較!

    2023年8月25日

    【結論】どっちを取得するのがいい!?PマークとISMSの違いを徹底比較!

    プライバシーマークとISMS(ISO27001)のどちらを取得すべきか比較して、悩まれる方がたくさんいらっしゃいます。
    プライバシーマークもISMSも同じような情報セキュリティに関する認証のように思えますが、比較してみると、考え方や目的・準拠している規格・適用範囲等が違う全くの別物です。
    まずはプライバシーマークもISMSの違いを正しく認識し、御社の目的に合っているのはどちらなのか考えていきましょう。

一覧へ戻る

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け
資料請求する

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。