ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜17:00

ISMS(ISO27001)認証お役立ちコラム

ISO27017取得に必要な費用を徹底解剖

スタッフ写真
スタッフ写真

2023年12月15日

ISO27017取得に必要な費用を徹底解剖

ISO27017にかかる費用は、トータルで200~3000万円ほどかかるのが一般的です。
費用には2種類あり、1つ目は審査費用です。これは審査をして貰う審査機関に支払う費用で、自社で新規認証を目指す場合でも必ず発生します。
2つ目はコンサルタント費用です。これは新規認証をサポートしてもらうコンサルタントに支払う費用であり、自社で認証を目指す場合には発生しません。

1.ISO27017とは




ISO27017とは、クラウドセキュリティに関する国際標準規格です。
位置づけとしては、情報セキュリティに関する国際標準規格であるISO/IEC 27001のアドオン規格になります。
つまり、ベースはISO/IEC 27001(=ISMS)であり、そこに追加で認証する規格です。

言い換えると、ISO27017のみで認証することはできず、必ずISO/IEC 27001(=ISMS)と合わせて取得する必要があります。

2.ISO27017認証に必要な費用の種類

ISO27017認証に必要な費用の種類は大きく2つです。
1つ目は審査費用です。
これは審査をしてもらう審査機関に支払う費用で、ISO27017の認証を目指すので
あれば必ず発生する費用です。

2つ目はコンサルタント費用です。
これはISO27017新規認証を
目指すうえでサポートをしてもらうコンサルタントに支払う費用で、当然ですが、コンサルタントを利用せず、自社で取得を目指す場合には発生しません。

しかし、新規認証の難易度や工数を考えると、どのような形であれコンサルタントを利用することを
おすすめします。

3.ISO27017認証取得の費用相場

ISO27017認証取得の費用相場の概算は、以下の通りです。


従業員10名
1拠点
従業員100名
1拠点
ISMS新規認証
+ISO27017新規認証
約200万円約350万円
内訳
①審査費用:約100万円
②コンサル費用:約100万円
内訳
①審査費用:約250万円
②コンサル費用:約100万円
ISMS取得済み
+ISO27017新規認証
約105万円約160万円
内訳
①審査費用:約45万円
②コンサル費用:約60万円
内訳
①審査費用:約 100万円
②コンサル費用:約60万円

例えば、ISO27001も同時に認証取得、従業員数10名、1拠点の場合だと、
審査費用:80万円~150万円
コンサルタント費用:80万円~150万円
程度の費用がかかるイメージです。

これは、審査機関やコンサルタントによって変わってきますので
自社のニーズに合った審査機関、コンサルタントを選んでください。

審査機関の選び方は、こちらのコラムを参考にご覧ください。
ISMS認証機関の賢い選び方|重要な3つのポイント

4.設備投資は必要なのか

ISO27017を認証するために設備投資は必須ではありません。
基本的には「ルールの作り方」で対応が可能です。

しかし、ISO27017の認証を取得するためには、業務上のリスクが高い場合、そのリスクを軽減するための設備投資が必要になることもあります。そんな場合は、本当に必要な設備投資なのかをよく吟味し決めてください。

ISO27017認証のためだけの設備投資はおすすめしません。

5.ISO27017のメリット

ISO27017のメリットは大きく3つあります。
1つ目は対外的なアピールです。
「自社のクラウドサービスが国際標準に適合している」と宣言することになるので、他社との差別化にもつながり、対外的なアピールになります。

2つ目はISO27017認証が参加要件になっている入札案件に参加することができることです。
今まではPマーク、ISO27001認証が参加要件になっていたことが多かったのですが
近年ではクラウドサービスの流行に伴い、ISO27017認証を参加要件に入れている自治体も多くあります。

3つ目はセキュリティチェックシートへの対応が可能になることです。
特に大手企業では取引の際にセキュリティチェックシート、アンケートなどを必ず行います。
その際、ISO27017認証を取得していれば回答が免除されたり、省略されたりする場合もあります。
これも今まではPマーク、ISO27001(=ISMS)認証が対象でしたが、ISO27017も対象になってきています。

6.ISO27018との違い

ISO27018という類似規格があります。

ISO27017とISO27018の違いは、ISO27017はクラウドセキュリティに関する国際標準規格であることに対し、ISO27018については、クラウドサービスを提供している企業が行うクラウド上での個人情報の取り扱いに関する国際標準規格です。

基本的にはISO27017だけで事足りることが多いです。

7.ISO27017を取得にあたって必要なこと

ISO27017を取得するにあたって必要なことは、まず、ISO27001を取得することです。

前項でお伝えしたように、ISO27017はISO27001のアドオン規格です。

ISO27001、ISO27017を同時に取得することも可能です。

なお、ISO27001の取得方法についてはこちらの記事に記載しております。
初心者のISO27001ガイド:認証取得への道のり

8.認証取得に必要な期間

認証取得に必要な期間は、ISO27001を既に取得している企業と、これから取得する企業で少し差が出ます。

ISO27001を既に取得している企業であれば、6か月程度、
ISO27001、ISO27017の同時取得を目指す企業なら、8か月〜10か月程度がISO27017認証取得に必要な目安の期間です。

9.ISO27017の取得方法

ISO27017の取得方法は大まかには以下のような流れになります。
①ISO27001に基づきルールを作成する
②作成したルールにISO27017の要求事項をアドオン(追加)する
③作成したルールに基づき運用する
④審査機関から審査を受ける

詳細についてはこちらのコラムをご参考ください↓
ISO27017:クラウドセキュリティ認証取得の手順やポイントを解説

10.ISO27017認証の要求事項

ISO27017認証の要求事項は、基本的にはISO27001と同様です。
ですが、提供しているクラウドサービスに適応するためには以下の7つの管理策を追加することが求められています。

CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
CLD.8.1.5 クラウドサービスカスタマの資産の除去
CLD.9.5.1 仮想コンピューティング環境における分離
CLD.9.5.2 仮想マシンの要塞化 CLD.12.1.5 実務管理者の運用のセキュリティ
CLD.12.4.5 クラウドサービスの監視
CLD.13.1.4 仮想及び物理ネットワークセキュリティ管理の整合

まとめ

ISO270017取得にかかる費用は大きく分けて2つあります。1つ目は審査費用です。

これは審査をしてもらう審査機関に支払う費用で、自社で新規認証を目指す場合でも必ず発生します。

2つ目はコンサルタント費用です。

これは新規認証をサポートしてもらうコンサルタントに支払う費用で当たり前ですが自社で認証を目指す場合には発生しません。

ISO27017の需要は年々増えており、取得企業の少ない今が、他社との差別化のチャンスです。
取得をご検討している方はこちらからお問い合わせください。

ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。
コンサルタント写真
ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜17:00
0120-068-268
お電話受付:平日9:30〜17:00

認証パートナーのサービスご説明資料

8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。

資料の内容

  • ・当社のサポート内容
  • ・規格の概要
  • ・取得までに必要な審査費用

ISMS(ISO27001)認証パートナー
サービスのご案内認証パートナーロゴ

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。