「ISMS認証(ISO27001)を取得するにはどのくらい費用がかかるか知りたい」
これからISMSを取得しようとお考えの情報システム担当者の中には、そのようなお考えになる方もいらっしゃるのではないでしょうか。
この記事では、ISMSの取得にかかる費用について解説します。
これからISMSを取得しようとお考えの担当者は、ぜひこの記事を参考にしていただき、審査機関やコンサルティング会社選びの参考にしてみてください。
目次
ISMSは取得すべき?
ISMSを取得すると、対外的・社内的双方に多くのメリットがあるため、ぜひ取得することをおすすめします。具体的には、以下のようなメリットがあります。
【対外的メリット】
対外的な最大のメリットは、顧客からの信頼性が上がる点です。昨今、システムのセキュリティに関するトラブル(例:顧客情報の流出など)が散見されます。セキュリティに関するトラブルが発生すると、社会的信用が損なわれ企業業績にも悪影響を与えかねません。
そのため、各企業とも情報セキュリティへの関心が強くなっています。ISMSを取得することにより、一定レベルの情報セキュリティ対策がなされていることを顧客にアピールできるため、顧客からの信頼性の向上が期待できます。
【社内的メリット】
社内的なメリットとしては、社員の情報セキュリティに関する意識やモラルが向上することによって、自社の情報セキュリティリスクが低減する点です。
自社内には、顧客情報などさまざまな企業秘密があります。社員の意識・モラルが向上することにより、機密情報を適切に取り扱うことができます。
ISMS取得に必要な費用とは
ISMSを取得するためには、主に以下3つの費用が必要です。
- 審査費用
- コンサルティング費用
- セキュリティ対策費用
審査費用とは、審査機関に支払う費用のことで、ISMSを取得するためには必須です。
コンサルティング費用とは、取得に向けた準備をコンサルティング会社にサポートしてもらったときに、コンサルティング会社へ支払う費用のことです。
コンサルティング会社を使わなければ費用はかかりませんが、自社のリソースだけでISMSを取得するのはとてもむずかしいため、コンサルティング会社にサポートしてもらったほうが安心です。
セキュリティ対策費用とは、情報セキュリティレベルを上げるためのセキュリティ対策ソフトやツールの導入にかかる費用のことです。ISMSを取得するのに、特定のソフトやツールを導入することは必須ではありませんが、予算が許すのであれば、適切なツールを導入することはより実効力のあるISMSの実現につながります。
上記3つの費用について、以下でそれぞれ詳しく解説します。
審査費用
審査費用とは、ISMSを取得するための審査にかかる費用のことで、審査機関に支払うものですが、実はこの審査費用は審査機関ごとに異なります。
ISMS認証の審査機関は、国内で30社ほど存在します。
(参考:一般社団法人情報マネジメントシステム認定センター「認証機関一覧」)
審査費用の主な内訳は下記のとおりです。
- 申請費用
- 第一段階審査(文書確認が中心)
- 第二段階審査(運用確認が中心)
- 審査員の交通費・宿泊費
- 年間維持料
上記の合計が審査費用ということになりますが、拠点数や従業員数により審査工数が決まり、審査工数に応じて審査料金が決定されます。
ですから審査費用がいくらくらいなのかと、明確に出すことは困難ですが、数名の企業で60万円前後、100名程度の企業で100万円前後、数百名規模の企業で200万円前後はかかると考えていただきたいです。
当社では、複数の審査機関に対して仮見積りを取得するサービスを行っております。ぜひお問い合わせください。
コンサルティング費用
コンサルティング費用とは、ISMSの取得に向けた準備を、コンサルティング会社に支援してもらうための費用のことですが、こちらも、コンサルティング会社や、支援してもらう内容によって金額が変わります。
ISMSの認証を受けるためには、以下のプロセスが必要です。
- 情報資産の洗い出しとリスク評価
- ISO27001に則った組織体制と規程の作成
- 規程に基づいた社内運用
- 社員教育
- 内部監査
- マネジメントレビュー
- 審査対応
上記を自社のリソースだけで行うためには、専門の知識を持った社員が必要ですが、ほとんどの場合、そのような社員のいる会社は少ないです。
また、自社で準備を進めたはいいものの、審査基準を満たすものができず、審査に通らないことも多いです。
そのため、多くはコンサルティング会社の支援を受けることになります。
コンサルティング費用も、審査費用と同じように、企業の拠点数や従業員数によって変わってきます。
こちらも料金相場を出すのはむずかしいですが、参考までに弊社の事例を紹介すると毎月4万円~となります。
なお、弊社の場合は取得後も定期訪問し、運用をサポートしています。
セキュリティ対策費用
セキュリティ対策費用とは、情報セキュリティレベルを上げるために必要なソフトやツールの導入にかかる費用のことです。
主に以下のような物品やシステムの導入費用のことを言います。
(最低限必要なもの)
- 来客から情報が丸見えにならないための対策
- 机の引き出しやキャビネットの鍵
- Web入力フォームの暗号化
- 常設するIT機器のラックへの収容やワイヤーロックでの施錠
(その他にもあった方がいいもの)
- アクセスログ取得ツール
- ファイル送信用暗号化ツール
- 監視カメラ など
「最低限必要なもの」は、多額の出費を伴うものではないことがご理解いただけると思います。ISMSは特別なセキュリティ対策ツールを必要とはしておらず、通常のWindowsなどの基本機能(パスワード認証など)をきちんと活用すれば取得できるようになっています。ただし、予算が許すのであれば、上記の「その他にもあった方がいいもの」に記載されたようなセキュリティ対策ソフトやツールを導入することをお勧めしたいです。
ISMS更新に必要な費用とは
ISMS認証は有効期間が3年間であることから、3年に1度更新審査を受ける必要があります。更新審査に合格するためには、審査対象機関によってヒアリングや情報セキュリティを担保するために必要な書類の確認などが行われます。
そのため、新規取得の時と同様にコンサル会社に依頼をした方が、スムーズに審査が進みます。
弊社のコンサル費用の目安としては、毎月4万円(税別)~となっています。
ISMS新規取得費用を節約する方法
ISMSの取得には高額な費用がかかるため、「できれば少しでも安くおさえたい」と
お考えの担当者もいらっしゃるのではないでしょうか。
そこで、ISMSを取るための費用を少しでも節約できる方法について解説します。
補助金・助成金の利用
ISMSの取得に関する費用については、新しく取るときのみ、本社所在地のある自治体で、補助金や助成金を支給しているところがあります。
制度がある自治体では、以下の費用に対して補助を行っています。
- 申請料
- 審査料
- 登録料
- コンサルタント委託料
「コンサルタント委託料」とは、コンサルティング会社による支援にかかる費用のことで、こちらも対象となる場合が多いようです。
ただし、補助金額については「対象経費の1/2以内(上限50万円)」などの上限を設けていることが多いです。
詳しくは、各自治体に問い合わせてみるほか、別の記事でも詳しく説明していますので参考にしてみてください。
【注意】雇用関係助成金を使ってISMS取得費用を削減するコンサル業者には要注意
ISMS取得費用を最小限に抑えたいと考えている方は、「雇用関係助成金を活用してISMS取得費用を削減できる」というコンサル業者の主張には注意してください。
なぜなら、「雇用関係助成金」は、雇用の確保や働き方改革、人材育成などにかかる費用を援助する助成金であり、PマークやISMS取得費用に対する助成金ではないからです。
このような手法は、最悪の場合、詐欺罪等で摘発される可能性もある危険なものです。したがって、そのようなコンサル業者には十分に注意してください。
ISMS取得・更新のご相談ならオプティマ・ソリューションズへ!
弊社は創業後の20年間で3,500件を超える支援を行ってきました。
さらに、弊社には次の強みがあります。
- メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
- 月々定額の分割払いができる
- 東京、大阪、名古屋に支社がある
- オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
- 使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
弊社ではISMS認証の取得・更新をする以上に、御社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。
お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。
これからISMS認証を取得される、または、更新をご希望される事業者様はぜひ、お気軽にご相談下さい。
