ISO27001 COLUMNISO規格の知識コラム(ISO27001)
ISO27001 コラム
近頃耳にすることも増えたISMS認証。
実際どのような役割を果たしているのか、どのような流れで認証が取得できるかなど気になる方は多いのではないでしょうか。
「きっと難しいのだろう」「面倒くさいのでは」と感じるかもしれません。
ここでは、皆様が疑問に思っているISMS認定取得について解説していきます。
取得を検討中の企業のご担当者様はぜひ参考にしてみてください。
ISMSとは、組織にまつわる情報のセキュリティ・管理方法・マネジメント方法と、それらについての規格のことを指します。
さらに、その規格を守っているかの審査に合格することが認証です。
認証のためには、「機密性」「完全性」「可用性」の3つが重要となります。
ISMSの基本的な用語の解説と整理は、次の記事をご参照ください。
ISMS(情報セキュリティマネジメントシステム)とは?あいまいになりがちな用語も整理して解説
ISO27001とISMSは同じ意味で使われることも多くあります。
しかし厳密には違いがあります。
ISMSは情報セキュリティを高めるための「組織を守るための仕組み」であるのに対し、ISO27001はどのようにISMSを構築・運用するのかを示した「国際規格」です。
Pマークとは、日本産業規格が定める「個人情報保護マネジメントシステム―要求事項」に適合し、適切な体制を整えていることの証明です。
「プライバシーマーク」とも言われています。
以下にISMSとの違いをまとめます。
そのほかISMSはシステムの開発や運用を行うITシステム業の取得が多いのが特徴ですが、Pマークはサービス業や人材派遣業などの取得が多くなっています。
ISMSとPマークの違いは、次の記事で解説しています。
個人情報保護が目的?ISO27001(ISMS)とプライバシーマークの違い
ISMS認証を取得するメリットとしては次の点が挙げられます。
ではデメリットも確認しておきましょう。
下記のデメリットが存在します。
ISMSのメリットとデメリットについては以下の記事で解説しています。
ISO27001(ISMS)を取得するメリット・デメリット
ISMS認証の取得費用は、大きく3つに分けることができます。
まず審査機関への費用です。
審査機関によって料金体系が異なるほか、認定を受ける企業の規模や業種によっても異なります。
ケースバイケースにはなりますが、50万~100万円が目安です。
コンサルタントに依頼する場合はその費用も必要です。50万~150万円が目安です。
アドバイスのみ、運用込みなど、依頼する内容・期間によっても異なります。
コンサルタントを利用する企業が多いので、多数の企業がコンサルタント費もコストに組み込んでいます。
さらに取得した後も更新までの間毎年、サーベイランス審査(維持審査)の費用が必要です。
そのほか、担当する社員の人件費、機器を導入した場合はその費用なども取得費用と言えるでしょう。
ISOの取得費用については、次の記事で解説しています。
ISO取得に必要な費用について【審査費用とコンサル費用】
申請から認定まで最短でも3か月程度かかります。
さらにそれにプラスして、申請までの準備期間も必要です。
そのため、準備から取得までトータルで半年~1年が目安となります。
以下、具体的な流れを概観します。
全社でなく部署単位でも取得できるので、どの範囲で取得するか決めましょう。
情報セキュリティにどう取り組むかの基本方針を決めて文書化します。
審査員の対応、金額、必要日数などを参考に選定しましょう。いずれも審査機関により異なります。
リスクアセスメントとは、セキュリティリスクを洗い出し、そのリスクを評価して評価内容に応じて対応する仕組みのことです。
その仕組みを作ります。
マニュアル通りに運用できているかなどを社内またはコンサルタントが確認、検査結果などを経営陣に報告します。
認証機関に申請します。
文書の審査(一次審査)、実際の運用のチェック(二次審査)があります。
取得してからも、毎年「サーベイランス審査(維持審査)」があります。
継続して問題点の改善やブラッシュアップが必要です。
更新する場合は3年ごとに再認証審査を受けます。
審査の詳細は以下の記事で解説しています。
ISMSの審査の全体像を把握したい!概要をISO審査員が解説します
ISO27001(ISMS)の規格要求事項とは?
2023年時点で、7,000社を超える企業がISMS認証を取得しています。
業種で多いのは情報技術関連で、半数以上を占めています。
さらにサービス業が続きます。
そのほか、BtoBのビジネスを行う企業、自治体などと取引する企業の取得が多くなっています。
取得企業の特徴などは次の記事でくわしく解説しています。
ISMS(ISO27001)認証の取得企業について知る!業種など特徴と検索方法とは
最後にこの記事のまとめを見ていきましょう。
ISMSの取得にかかる費用は、審査機関への費用が50万~100万円、コンサルタントに依頼する場合はその費用として50万~150万円、さらに取得後もサーベイランス審査(維持審査)、再認証審査の費用、担当者の人件費なども必要です。
取得にかかる時間は、申請から認定まで最短でも3か月程度、さらに申請までの準備期間を加えるとトータルで半年~1年が目安です。
私どもジーサーティーではこれまで話してきたすべてにしっかりとしたサポート体制を整えております。
「お客様に負担のかからないISO取得を」一度お気軽にご相談ください。
SNSでシェアする
株式会社GCERTI-JAPANは
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。
一審査員として、社会貢献ができるよう努めてまいります。 また、営業面ではお客様にとって、より良い提案ができるよう、お客様とのコミュニケーションを大事にしております。
お問い合わせはこちら