2023年12月15日
ISO27017取得に必要な費用を徹底解剖
ISO27017にかかる費用は、トータルで200~3000万円ほどかかるのが一般的です。
費用には2種類あり、1つ目は審査費用です。これは審査をして貰う審査機関に支払う費用で、自社で新規認証を目指す場合でも必ず発生します。
2つ目はコンサルタント費用です。これは新規認証をサポートしてもらうコンサルタントに支払う費用であり、自社で認証を目指す場合には発生しません。
2023年6月22日
ISO27001の要求事項には、「ISO27001を取得するために企業が実現するべき要件」が明記されています。社内で管理する情報、社外に持ち出す情報などさまざまな場面での情報セキュリティに関する方針を決定すること、また内部監査などのルールなどが挙げられます。
目次
ISO27001とは、「ISO27001を取得するために企業が実現するべき要件」を指します。
ISMSとは、情報セキュリティマネジメントシステムそのものを指します。
ISO27001には、構築のための方法や手順が「要求事項」という形で定められています。
企業はこれらに則って情報管理システムを社内に作り運用することで、構築できるようになります。
ISO27001とは「規格要求」を指し、ISMSとは「マネジメントシステム」を指します。 認証の名称としてはISO27001が正しいですが、ISMSと通称されるケースもあります。
ISO27001で要求されていることは、大きく分けて3点あります。
①「構築」→②「運用」→③「改善」
要求事項を満たすことが①〜③のサイクルを回すことに繋がります。
ISO27001を取得するには要求事項に沿った運用が求められ、例えば「方針の掲示」/「内部監査の実施」/「マネジメントレビューの実施」等が実施項目として挙げられます。
「要求事項」とは、ISMS(ISO27001)の中で求められている「ISMS(ISO27001)を取得するために企業が実現するべき要件」のことを指します。
ISMS(ISO27001)の具体的な要求事項は、10項にまとめられています。
0項~10項の項目はISMS(ISO27001)本文で求められているもので、どんな組織でも必ず適用させることがもとめられている内容です。
付属書A(管理策)
管理策とは、特定のリスクを目的とした対策を示したガイドラインのようなものでリスク評価をし、どの管理策を当てはめて対応していくのかを決めます。
ISO27001の主要な要求事項では、どんなことが要求されているのか、順番にみていきましょう。
組織内外の課題や利害関係者のニーズ把握を行った上で、適用範囲を決めることが要求されています。
組織内の場合、従業員の声やニーズ等を、組織外の場合は、取引先だけでなく外注先や購買先等を、広く定義しています。
適用範囲の中で組織を指揮する最高責任者がコミットメントしないといけないということが要求されています。
コミットメントとは、「約束を必ず果たす」ということです。
担当者まかせではなく、最高責任者がリーダーシップを発揮しなければなりません。
PDCAサイクルの『P』の部分です。
リスクアセスメントを行い、情報セキュリティの目的とそれを達成するための計画を作るよう、求められています。
※PDCAサイクル=Plan(計画)、Do(実行)、Check(評価)、Action(改善)の頭文字を取ったものです。
どのような知識、経験等を持つ必要があるかを定め、担当者がその知識を有しているかを確認しなければなりません。
もし、力量が不足していると判断された場合は、教育など、何らかの処置を講じる必要があります。
PDCAサイクルの『D』の部分です。
6項で定めたリスクアセスメントやリスク対応を実施するため、計画、実施、管理が必要です。
また、実施するだけでなく、計画通り実行できているのか、確認が取れる状態にあるかを文書として作成する必要があります。
PDCAサイクルの『C』の部分です。
パフォーマンス及び有効性評価を定めています。
評価を行うためプロセスと管理策、監視、測定、分析及び評価方法、実施時期、評価時期の決定が必要です。
また、「内部監査」と「マネジメントレビュー」も規定されています。
PDCAサイクルの『A』の部分です。
不適合が発生した場合の是正処置(再発防止への対応)の手順を明確にし、修正(適合の状態に戻す対応)と、その結果の影響を把握し、フォローし、記録しなければなりません。
付属書Aとは、ISO27002の要点をまとめた内容であり、管理策実践の規範を指します。
管理策とは、リモートワークのルール規定等、情報漏洩を防ぐに当たっての情報資産の取り扱い方法を記したものです。
ここでは各条件で具体的に何をすべきかについて解説します。
4.ISO27001の要求事項とは?でも説明した通り、ISMS(ISO27001)には次のように10項目の要求事項が定められており、自分たちで手順を定めてマネジメントシステムを構築することが求められています。
それぞれの要求事項の解説については5.主要なISO27001の要求事項の解説をご覧ください。
ISMS(ISO27001)を導入する際にまずは管理責任者など役割を任命しておく必要があります。
舵を切る人やそれをフォローする人など体制を整え、構築が完了したらようやく運用へと移ります。
運用については構築したルールに沿って実行していきますが、運用に漏れはないか、ルールに問題はないかなどを内部監査で再度確認しましょう。
また、審査では運用の記録を確認されるため、実行した運用記録は適切に保管しましょう。
審査を受けるに当たっては2つ決めることがあります。
1つ目は審査機関です。
国内にも ISOの審査機関は50以上あります。最低でも2社以上から見積もりを取ること、窓口に連絡するなどして適切な審査機関を選定していきましょう。
2つ目は認証範囲です。
ISOの場合は1部署あるいは一部の拠点でも認証取得が可能です。
「総務部だけ」、「〇〇支店だけ」、「本社だけ」、など一社全体でなく一部だけで取得しているという企業も多くあります。どの範囲で認証するかを決め、登録する対象の業務内容を文言にして審査を依頼する必要があります。
ちなみに、ISMS(ISO27001)と同時に検討される方も多いプライバシーマーク(Pマーク)は、部署や拠点を絞った認証はできません。
プライバシーマーク(Pマーク)付与は法人単位となっており、全従業者を適用範囲としなければなりません。
詳しくはこちらの記事をご覧ください。
審査をした場合や無事にISOの認証が下りた場合は、審査機関に支払う費用が発生します。
費用を支払わないとISOには登録できないままです。
審査機関から請求がきたら対応するようにしましょう。
審査では不適合が出ますがこれを放置してしまうと審査完了とはならず、ISO認証は下りません。
また、審査で不適合が発生した際には審査機関の規定に基づいた是正期間や指定フォーマットがあります。
審査員の指示のもと是正処置を行い、期間内に完了させるようにしましょう。
「審査で落とされることはあるの?」という疑問を持つ方も少なくないと思いますが、
審査で「重大な不適合」だと判断された場合、実際に審査に“落ちる”ことはあります。
不適合には「重大な不適合」と「軽微な不適合」の2種類あります。
運用の1つが漏れていたりマネジメントシステム上大きな問題がないものは「軽微な不適合」として是正処置を完了させれば良いのですが、「重大な不適合」と言われれば審査が中断されたり継続できなくなります。
「重大な不適合」となるケースは、構築したルールがISMS(ISO27001)の要求事項に沿ってない場合や、構築をしたものの運用ができていない場合(特に内部監査やマネジメントレビュー)など、改善の余地がないと審査員が判断したものです。
7.ISO27001の取得・維持更新のためにするべきこと4つに記載をした
①要求事項に沿って情報セキュリティマネジメントシステム(ISMS)を構築していること
②情報セキュリティマネジメントシステムの体制が整備され、運用をしていること
を確実に実施して審査に臨みましょう。
ISMS(ISO27001)を取得するには情報セキュリティマネジメントシステムを構築し、運用すること、審査費用を支払うこと、審査で出た不適合は是正処置を行う、この4つの条件が必要です。
構築や運用など、審査を受ける前にやるべきことがたくさんありますので、一度コンサルティング会社に相談してみるのもいいでしょう。
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください