column お役立ちコンテンツ

ISMS

基本知識

ISMS認証取得の費用はどれくらい?費用相場と安く抑えるためのポイント

ISMS取得にかかる費用の種類

ISMS認証の取得にかかる費用は組織規模、導入状況、コンサルタントの選定などによって大きく異なります。

また費用の内訳は、ISMS認証取得のサポートが必要な場合に必要な『コンサルタント費用』と、ISMS認証取得の審査をして貰うために『審査機関に支払う費用』です。

ISMS認証取得のコンサルサービスは様々あり費用も様々。どれくらいの予算が必要かよく確認しましょう

\【10秒で完了】あなたの会社に必要なISMS取得費用が分かる!/
ISMS取得費用見積シュミレーション

ISMS取得にかかる費用の内訳

ISMS取得にかかる費用の種類

ISMS認証に必要な費用の種類は大きく2つです。

コンサルタント費用

ISMS認証の取得や運用、更新をサポートしてくれる専門家に支払う費用です。

自社の従業員のみでISMSの構築・運用を進める場合には発生しません。

しかし、不明点が出てきたり、必要な文書を作成する時間が取れず審査までの工程を中々進められないケースも多々あります。そうした事態に対応するために、コンサルタントの利用をおすすめします。

▼コンサルタント費用の契約形態は以下の2つが一般的です。

  • 期間固定型:認証取得までの期間にかかわらず期間契約(6か月、18か月など)または年間契約
  • 月額型:認証取得と取得後のサポートも含め月額契約

契約形態は、コンサル会社によって異なります。サポートの内容と費用をよく確認して自社に合ったコンサルタント会社を選択しましょう。

審査費用

審査費用は、審査機関に支払う費用です。自社で認証取得を目指す場合でも、審査費用は必ず発生します。

審査費用は、企業規模やどの規格を取得するか、また一度に何種類の規格認証を受けるかにより変動します。基本的には一つの規格を取得するのに、従業員が10名程度の企業であれば50万~100万円くらい、従業員が100人以上の企業であれば120万円程度と想定しておくと良いでしょう。

【注意】導入・運用費用がかかることもある

すでにセキュリティ対策がしっかりしているIT企業などは、今のシステムをほとんど変えずに取得できるかもしれません。しかし、多くの企業では、認証取得のために組織や業務システムの見直しが必要になります。

オフィスのレイアウト変更や新しい機器の導入が必要になる場合もありますが、中小企業では、セキュリティ対策ソフトの導入や、書類の保管場所の変更など、比較的低コストで対応できる場合も多いでしょう。

さらに、セキュリティ基準に合わない古いソフトやシステムを使っている場合は、新しいITツールを導入する必要も出てきます。場合によっては、コンサルタント費用や審査費用よりも、ITツールの導入費用の方が高くなることもあります。

ISMS取得の費用相場

ISMS認証取得にかかる費用相場は、以下の通りです。

従業員10名・1拠点従業員100名・1拠点
一般的な費用相場200万
[内訳]
①コンサル費用:約100万
②審査費用:約100万
350万
[内訳]
①コンサル費用:約100万
②審査費用:約250万
ISMS認証取得にかかる費用相場

費用はあくまでも相場であり、どのコンサルタント会社にするか、どの程度の設備投資を必要とするのかによって大きく変わることを覚えておきましょう。また、審査機関によっても、実際の審査費用に違いが出てきます。

ISMS認証の審査費用は、認証機関の規模や審査体制、組織の規模・業種によって数十万円単位で変動します。複数の認証機関から見積もりを取り、比較検討することが重要です。

取得費用を抑えるポイント

これまで見てきたように、ISMS認証取得にかかる費用というのは決して安いものではありません。少しでも安く抑えることができるのであれば、それに越したことはありません。

費用を安く抑えるポイントは以下の通りです。

1.コンサルタントの選定

コンサルタントを依頼する際は、信頼できる会社を選ぶべきです。

実績があるコンサルタントでも、数十万円の料金差が出るのは珍しいことではありません。一社だけを見てすぐに決めるのではなく、複数のコンサルティング会社を比較検討して、信頼できるかという点に加えて料金を比較することがポイントです。

また、どの審査機関を選ぶかも大事なポイントです。

ISMS認証は一度取ったら終わりではなく、毎年定期審査があります。定期的に審査費用がかかることを意味していますので、その後のことも考えて審査機関を選ぶべきです。

ISMS認証(ISO27001)取得にあたり、同時に幾つかのISO規格を取得する予定があるのであれば、一度にまとめた方が1個1個取得するよりも総額が安く抑えることができるという点も抑えておきましょう。審査手数料はそう変わりませんが、コンサル料や導入にかかる費用を抑えられる可能性が高くなります。複数を一気に取得する事は新しいルールの導入や運用変更などを繰り返さなくてすみますので、費用以外のメリットも大きいでしょう。

2.不要な設備投資は避ける

最新のITツールを導入したり、大規模な業務システムの改修をしたりすると相当の費用がかかります。もちろん、それが企業にとっても認証取得にとっても必須であればしょうがありませんが、必要性が低いのにあえてすることはないでしょう。認証取得を機に設備投資をしたいという気持ちが出るのは自然ですが、本当に必要なものなのかを慎重に考えるべきです。

また、コンサルタントが認証取得を目的とするために過度なセキュリティ対策やツールの導入を推奨する可能性もあります。コンサルタントとよく話し合い、自社にあった認証取得を目指しましょう。

まとめ

ISMS認証取得は国際規格のため、どうしてもそれなりの費用と作業負担が発生してしまいます。少しでも予算や作業負担を抑えるには複数のコンサル企業を比較検討することが重要です。

コンサル企業によっては過度な設備投資や運用ルールを進められる場合もあるので、コンサル費用だけではなくトータル的な費用や作業負担に関しても確認しましょう。

稟議を通す場合にも、わかりやすい費用内訳や追加の設備投資が少ないほうが会社の納得度合いも高くなるでしょう。