ISO27001 COLUMNISO規格の知識コラム(ISO27001)

ISO27001 コラム

ISO27001

ISMS認証とは?メリットとデメリット・費用・取得方法【5分でわかる】

2025.02.03
ISMS認証とは?メリットとデメリット・費用・取得方法【5分でわかる】

この記事の3つのポイント

  1. ISMSは情報のセキュリティ・管理方法・マネジメント方法
  2. ISMSの取得は情報セキュリティのリスク低減と信頼度向上が大きなメリット
  3. トータルで半年~1年で取得可能


近頃耳にすることも増えたISMS認証
実際どのような役割を果たしているのか、どのような流れで認証が取得できるかなど気になる方は多いのではないでしょうか。

「きっと難しいのだろう」「面倒くさいのでは」と感じるかもしれません。

ここでは、皆様が疑問に思っているISMS認定取得について解説していきます。

取得を検討中の企業のご担当者様はぜひ参考にしてみてください。

ISO・ISMS審査に関するご質問は
お気軽にお問い合わせください!お問い合わせフォーム

ISMS認証とは

ISMSとは、組織にまつわる情報のセキュリティ・管理方法・マネジメント方法と、それらについての規格のことを指します。

さらに、その規格を守っているかの審査に合格することが認証です。

認証のためには、「機密性」「完全性」「可用性」の3つが重要となります。

ISMSの基本的な用語の解説と整理は、次の記事をご参照ください。
ISMS(情報セキュリティマネジメントシステム)とは?あいまいになりがちな用語も整理して解説

ISO27001との違い

ISO27001ISMSは同じ意味で使われることも多くあります。

しかし厳密には違いがあります。

ISMSは情報セキュリティを高めるための「組織を守るための仕組み」であるのに対し、ISO27001はどのようにISMSを構築・運用するのかを示した「国際規格」です。

Pマークとの違い

Pマークとは、日本産業規格が定める「個人情報保護マネジメントシステム―要求事項」に適合し、適切な体制を整えていることの証明です。

「プライバシーマーク」とも言われています。

以下にISMSとの違いをまとめます。

  • 対象: ISMSは、財務情報・技術情報・人事情報など多岐に渡るのに対し、Pマークは個人情報のみ
  • 取得範囲: ISMSは部門単位で取得可能なのに対し、Pマークは一部のみの取得はできず全社のみ
  • 通用する範囲: ISMSがグローバルな規格なのに対し、Pマークは日本国内でのみ通用
  • 情報の管理方法: ISMSは具体的な管理法が定められておらず審査ポイントをもとに自社の体制に合わせてルールや文書を作成するが、Pマークは「JIS Q15001」で決められた規格通りに行う

そのほかISMSはシステムの開発や運用を行うITシステム業の取得が多いのが特徴ですが、Pマークはサービス業や人材派遣業などの取得が多くなっています。

ISMSとPマークの違いは、次の記事で解説しています。
個人情報保護が目的?ISO27001(ISMS)とプライバシーマークの違い

ISMS認証取得のメリット

ISMS認証を取得するメリットとしては次の点が挙げられます。

ISMS認証取得のメリット

ISMS認証取得のデメリット

ではデメリットも確認しておきましょう。
下記のデメリットが存在します。

ISMS認証取得のデメリット

ISMSのメリットとデメリットについては以下の記事で解説しています。
ISO27001(ISMS)を取得するメリット・デメリット

ISMS認証の取得の費用

ISMS認証の取得費用は、大きく3つに分けることができます。

まず審査機関への費用です。

審査機関によって料金体系が異なるほか、認定を受ける企業の規模や業種によっても異なります。

ケースバイケースにはなりますが、50万~100万円が目安です。

コンサルタントに依頼する場合はその費用も必要です。50万~150万円が目安です。

アドバイスのみ、運用込みなど、依頼する内容・期間によっても異なります。

コンサルタントを利用する企業が多いので、多数の企業がコンサルタント費もコストに組み込んでいます。

さらに取得した後も更新までの間毎年、サーベイランス審査(維持審査)の費用が必要です。

そのほか、担当する社員の人件費、機器を導入した場合はその費用なども取得費用と言えるでしょう。

ISOの取得費用については、次の記事で解説しています。
ISO取得に必要な費用について【審査費用とコンサル費用】

管理策

申請から認定まで最短でも3か月程度かかります。

さらにそれにプラスして、申請までの準備期間も必要です。

そのため、準備から取得までトータルで半年~1年が目安となります。

以下、具体的な流れを概観します。

1. 適用範囲の決定

全社でなく部署単位でも取得できるので、どの範囲で取得するか決めましょう。

2. 情報セキュリティーポリシーの策定

情報セキュリティにどう取り組むかの基本方針を決めて文書化します。

3. 認証機関の選定

審査員の対応、金額、必要日数などを参考に選定しましょう。いずれも審査機関により異なります。

4. リスクアセスメント

リスクアセスメントとは、セキュリティリスクを洗い出し、そのリスクを評価して評価内容に応じて対応する仕組みのことです。
その仕組みを作ります。

5. 内部監査とマネジメントレビュー

マニュアル通りに運用できているかなどを社内またはコンサルタントが確認、検査結果などを経営陣に報告します。

6. 認定審査

認証機関に申請します。
文書の審査(一次審査)、実際の運用のチェック(二次審査)があります。

7. 認定以降はPDCAの継続

取得してからも、毎年「サーベイランス審査(維持審査)」があります。
継続して問題点の改善やブラッシュアップが必要です。
更新する場合は3年ごとに再認証審査を受けます。

審査の詳細は以下の記事で解説しています。
ISMSの審査の全体像を把握したい!概要をISO審査員が解説します
ISO27001(ISMS)の規格要求事項とは?

GCERTIのISO27001(ISMS)審査は審査がスピーディ・審査料が安い・お客様の負担が少ない

ISMS認証の取得企業

2023年時点で、7,000社を超える企業がISMS認証を取得しています。

業種で多いのは情報技術関連で、半数以上を占めています。

さらにサービス業が続きます。

そのほか、BtoBのビジネスを行う企業、自治体などと取引する企業の取得が多くなっています。

取得企業の特徴などは次の記事でくわしく解説しています。
ISMS(ISO27001)認証の取得企業について知る!業種など特徴と検索方法とは

まとめ

最後にこの記事のまとめを見ていきましょう。

ISMSの取得にかかる費用は、審査機関への費用が50万~100万円コンサルタントに依頼する場合はその費用として50万~150万円、さらに取得後もサーベイランス審査(維持審査)、再認証審査の費用、担当者の人件費なども必要です。

取得にかかる時間は、申請から認定まで最短でも3か月程度、さらに申請までの準備期間を加えるとトータルで半年~1年が目安です。

私どもジーサーティーではこれまで話してきたすべてにしっかりとしたサポート体制を整えております。

「お客様に負担のかからないISO取得を」一度お気軽にご相談ください。

  • SNSでシェアする

1分でカンタン!
なんでも質問フォーム

株式会社GCERTI-JAPAN
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。

小林 卓慈
小林 卓慈ISO審査員

一審査員として、社会貢献ができるよう努めてまいります。 また、営業面ではお客様にとって、より良い提案ができるよう、お客様とのコミュニケーションを大事にしております。

お問い合わせはこちら
お問い合わせはこちら
お見積もり依頼 お問い合わせ

Social media & sharing icons powered by UltimatelySocial