2023年12月15日
ISO27017にかかる費用は、トータルで200~3000万円ほどかかるのが一般的です。
費用には2種類あり、1つ目は審査費用です。これは審査をして貰う審査機関に支払う費用で、自社で新規認証を目指す場合でも必ず発生します。
2つ目はコンサルタント費用です。これは新規認証をサポートしてもらうコンサルタントに支払う費用であり、自社で認証を目指す場合には発生しません。
1.ISO27017とは
ISO27017とは、クラウドセキュリティに関する国際標準規格です。
位置づけとしては、情報セキュリティに関する国際標準規格であるISO/IEC 27001のアドオン規格になります。
つまり、ベースはISO/IEC 27001(=ISMS)であり、そこに追加で認証する規格です。
言い換えると、ISO27017のみで認証することはできず、必ずISO/IEC 27001(=ISMS)と合わせて取得する必要があります。
2.ISO27017認証に必要な費用の種類
ISO27017認証に必要な費用の種類は大きく2つです。
1つ目は審査費用です。
これは審査をしてもらう審査機関に支払う費用で、ISO27017の認証を目指すので
あれば必ず発生する費用です。
2つ目はコンサルタント費用です。
これはISO27017新規認証を
目指すうえでサポートをしてもらうコンサルタントに支払う費用で、当然ですが、コンサルタントを利用せず、自社で取得を目指す場合には発生しません。
しかし、新規認証の難易度や工数を考えると、どのような形であれコンサルタントを利用することを
おすすめします。
3.ISO27017認証取得の費用相場
ISO27017認証取得の費用相場の概算は、以下の通りです。
| 従業員10名 1拠点 | 従業員100名 1拠点 |
|
|---|---|---|
| ISMS新規認証 +ISO27017新規認証 | 約200万円 | 約350万円 |
| 内訳 ①審査費用:約100万円 ②コンサル費用:約100万円 | 内訳 ①審査費用:約250万円 ②コンサル費用:約100万円 |
|
| ISMS取得済み +ISO27017新規認証 | 約105万円 | 約160万円 |
| 内訳 ①審査費用:約45万円 ②コンサル費用:約60万円 | 内訳 ①審査費用:約 100万円 ②コンサル費用:約60万円 |
例えば、ISO27001も同時に認証取得、従業員数10名、1拠点の場合だと、
審査費用:80万円~150万円
コンサルタント費用:80万円~150万円
程度の費用がかかるイメージです。
これは、審査機関やコンサルタントによって変わってきますので
自社のニーズに合った審査機関、コンサルタントを選んでください。
審査機関の選び方は、こちらのコラムを参考にご覧ください。
ISMS認証機関の賢い選び方|重要な3つのポイント
4.設備投資は必要なのか
ISO27017を認証するために設備投資は必須ではありません。
基本的には「ルールの作り方」で対応が可能です。
しかし、ISO27017の認証を取得するためには、業務上のリスクが高い場合、そのリスクを軽減するための設備投資が必要になることもあります。そんな場合は、本当に必要な設備投資なのかをよく吟味し決めてください。
ISO27017認証のためだけの設備投資はおすすめしません。
5.ISO27017のメリット
ISO27017のメリットは大きく3つあります。
1つ目は対外的なアピールです。
「自社のクラウドサービスが国際標準に適合している」と宣言することになるので、他社との差別化にもつながり、対外的なアピールになります。
2つ目はISO27017認証が参加要件になっている入札案件に参加することができることです。
今まではPマーク、ISO27001認証が参加要件になっていたことが多かったのですが
近年ではクラウドサービスの流行に伴い、ISO27017認証を参加要件に入れている自治体も多くあります。
3つ目はセキュリティチェックシートへの対応が可能になることです。
特に大手企業では取引の際にセキュリティチェックシート、アンケートなどを必ず行います。
その際、ISO27017認証を取得していれば回答が免除されたり、省略されたりする場合もあります。
これも今まではPマーク、ISO27001(=ISMS)認証が対象でしたが、ISO27017も対象になってきています。
6.ISO27018との違い
ISO27018という類似規格があります。
ISO27017とISO27018の違いは、ISO27017はクラウドセキュリティに関する国際標準規格であることに対し、ISO27018については、クラウドサービスを提供している企業が行うクラウド上での個人情報の取り扱いに関する国際標準規格です。
基本的にはISO27017だけで事足りることが多いです。
7.ISO27017を取得にあたって必要なこと
ISO27017を取得するにあたって必要なことは、まず、ISO27001を取得することです。
前項でお伝えしたように、ISO27017はISO27001のアドオン規格です。
ISO27001、ISO27017を同時に取得することも可能です。
なお、ISO27001の取得方法についてはこちらの記事に記載しております。
初心者のISO27001ガイド:認証取得への道のり
8.認証取得に必要な期間
認証取得に必要な期間は、ISO27001を既に取得している企業と、これから取得する企業で少し差が出ます。
ISO27001を既に取得している企業であれば、6か月程度、
ISO27001、ISO27017の同時取得を目指す企業なら、8か月〜10か月程度がISO27017認証取得に必要な目安の期間です。
9.ISO27017の取得方法
ISO27017の取得方法は大まかには以下のような流れになります。
①ISO27001に基づきルールを作成する
②作成したルールにISO27017の要求事項をアドオン(追加)する
③作成したルールに基づき運用する
④審査機関から審査を受ける
詳細についてはこちらのコラムをご参考ください↓
ISO27017:クラウドセキュリティ認証取得の手順やポイントを解説
10.ISO27017認証の要求事項
ISO27017認証の要求事項は、基本的にはISO27001と同様です。
ですが、提供しているクラウドサービスに適応するためには以下の7つの管理策を追加することが求められています。
CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
CLD.8.1.5 クラウドサービスカスタマの資産の除去
CLD.9.5.1 仮想コンピューティング環境における分離
CLD.9.5.2 仮想マシンの要塞化 CLD.12.1.5 実務管理者の運用のセキュリティ
CLD.12.4.5 クラウドサービスの監視
CLD.13.1.4 仮想及び物理ネットワークセキュリティ管理の整合
まとめ
ISO270017取得にかかる費用は大きく分けて2つあります。1つ目は審査費用です。
これは審査をしてもらう審査機関に支払う費用で、自社で新規認証を目指す場合でも必ず発生します。
2つ目はコンサルタント費用です。
これは新規認証をサポートしてもらうコンサルタントに支払う費用で当たり前ですが自社で認証を目指す場合には発生しません。
ISO27017の需要は年々増えており、取得企業の少ない今が、他社との差別化のチャンスです。
取得をご検討している方はこちらからお問い合わせください。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ