【図解】ISMS認証取得ロードマップ:初めての挑戦で失敗しないための手順解説
ISMS(情報セキュリティマネジメントシステム)は、ISO/IEC 27001に基づき、組織が情報セキュリティを体系的に管理する仕組みとなります。このISO/IEC 27001に基づく認証を取得することで、組織の信頼性が向上し、顧客や取引先からの信頼を獲得することができます。
認証取得するには、「具体的に何を、どのように進めれば良いのか?」といった全体像を把握することが重要です。
本記事では、初めて実務を担当する方が迷わず進められるよう、認証取得支援の実務現場で培ったノウハウを元に6つのフェーズに分け、「失敗しない手順」と「審査員が重視する重要ポイント」を解説します。
ISMS認証取得プロセスを成功させるため、体制構築から教育、運用、そして最終的な審査に至るまでのフェーズごとの核心的なポイントを整理しました。
この記事で解決できること
- ISMS認証取得までの全体像と期間の把握
- 各フェーズで「何をすべきか」の明確化
- 挫折しやすい「躓きポイント」の回避
- 効率的に短期間で取得するためのノウハウ
- 取得にかかる費用の見積もり
目次
ISMS(ISO 27001)取得の全体像と、取得にかかる一般的な期間
ISMS認証の取得は、企業の信頼性を高めるために不可欠ですが、初めての挑戦は多くのつまずきポイントが存在します。
認証取得までの流れは、「1.事前確認」「2.教育」「3.規定・計画策定」「4.リスクマネジメント」「5.運用」「6.審査」の6つのフェーズで構成されています。
取得までの道のりは、組織の規模や既存の管理体制によって異なりますが、一般的には8ヶ月〜12カ月程度の期間を要します。スムーズな認証取得には、共通して押さえるべき基本的なステップと重要なマイルストーンを把握することが不可欠です。
【標準的】取得までのスケジュール目安
| フェーズ | 期間目安 | 主なタスク |
|---|---|---|
| 1. 事前確認 | 1-2ヶ月 | 体制構築・方針策定・適用範囲決定 |
| 2. 教育 | 1ヶ月 | 導入教育・内部監査員養成 |
| 3. 規定・計画 | 2-3ヶ月 | マニュアル整備・リスク規定策定 |
| 4. リスクマネジメント | 2-3ヶ月 | 資産特定・リスク評価・適用宣言書 |
| 5. 運用 | 3ヶ月 | 実運用・内部監査・経営層の見直し |
| 6. 審査 | 1-2ヶ月 | 書類審査・実地審査 |
以下の図の流れに沿って、「どの時期に・何を行うべきか」という全体像をつかみ、自社に最適な認証取得計画を立てるためのガイドラインとしてご活用ください。
※画像クリックでPDF形式の活動計画表が表示されます
ステップ1:事前確認と体制構築
最初のステップでは、組織全体でISMS認証取得に取り組むための土台作りを行います。
【成功の鉄則とよくある指摘】
このステップで作られる「ネットワーク図」や「業務フロー」などの適用範囲関連資料もISMSに関連するものです。一度作って終わりではありません。組織変更やシステム導入時に連動して更新するルールも同時に決めておきましょう。審査では、文書上の範囲と実際の業務範囲が一致しているかが厳しく見られます。
① スケジュールの確認
ISMS(ISO/IEC 27001)の認証取得に向けた取得活動のためのタスクスケジュール(計画)を立てます。ISO27001の認証取得活動は、稀に5ヶ月といった短期間で認証取得される組織もありますが、通常は、文書の作成およびその運用実績が必要となるため、8ヶ月から12ヶ月程度かかります。無理のないスケジューリングを行いましょう。
実施のポイント
- エクセル形式のサンプル活動計画表(簡易版)などのテンプレートを利用すると計画しやすい。
- 認証機関の選択も併せて行い、審査費用や審査スケジュールなども確認しましょう。
② ワーキンググループの設置
ISMS(ISO/IEC 27001)認証取得活動を進めるための推進チーム(ワーキンググループ)を設置します。その際、グループのリーダーも決めておきます。
実施のポイント
- リーダーは、ISMS運用開始後、管理責任者として、ISMS運用を行う実質の責任者となります。
- グループメンバーは、運営をスムーズに行うために、関連部門の代表者が良いでしょう。
③ 情報セキュリティ基本方針の作成
「情報セキュリティ基本方針」とは、組織のISMSに対する基本的な考え方を示すと同時に、組織として情報セキュリティに関する要求事項に対して責任を負うという意思表示という重要な文書となります。よって、通常は、ISMSの対象範囲である「トップ」(会社であれば、代表者。部門であれば、部門長。)が作成することとなります。
実施のポイント
- 「情報セキュリティ基本方針(見本)」を参考に作ると効率的に作成できます。
④ キックオフ宣言
ISMSの適用範囲の代表者は、朝礼や掲示、配布などといった方法で、関連する全てのスタッフに協力を要請する意図も込め、ISMS導入スタートを示します。
⑤ 組織の内外部の課題と利害関係者のニーズの理解
組織の目的に関連し、かつISMSに影響を与え得る外部及び内部の課題を決定します。また、関連する利害関係者およびそれらに関連する要求事項(法的及び規制の要求事項並びに契約上の義務など)とISMSを通して取り組むべきものも決定します。
実施のポイント
- 「内外の課題及び利害関係者のニーズ」は、適用範囲の決定(ステップ1:⑥)やリスクアセスメント(ステップ4)にも関連します。
- 確認ができるような文書(「組織状況管理表」など)を作成すると、運用がしやすくなります。
⑥ 適用範囲の確認と関連資料の作成
組織の内外部の課題と利害関係者のニーズを踏まえ、適用範囲内にある重要な情報資産の取扱いが適正に保たれるよう、1つの組織体としてISMSの適用範囲を決定する必要があります。ISMSが適用される物理的および組織上の境界線(組織図、周辺地図・ビル全体図、フロア図、ネットワーク図、業務フロー図など)を設定することを要求されています。
実施のポイント
- 「組織の内部及び外部の課題と利害関係者のニーズ」を踏まえ、どの範囲にするかを決定します。
- サンプル文書が用意する「適用範囲関連資料(見本)」を参考にするとスムーズに作成できます。
💡 自力取得のための体制構築 Q&A
当社のサポート窓口には、自力での取得を目指す担当者様から切実な相談が寄せられます。取得後にも関わってくる体制の質問も紹介します。
Q. 「ISMS推進体制図」の作成はISOの必須要求事項?
A. 規格(ISO/IEC 27001)自体に「体制図という形式で残せ」という直接的な明記はありません。しかし、要求事項にある「役割、責任及び権限の割り当て」を審査員に証明し、社内に周知するためには、体制図として視覚化しておくのが最も確実かつスマートです。
Q. インシデント管理体制の「情報セキュリティ推進責任者」とは?
A. 全社を統括する「管理責任者」とは別に、各部門(現場)でインシデントの一次対応や報告を迅速に行うためのリーダーです。自力取得の際は、各部署の長などを任命することで、現場へのルール浸透がスムーズになります。
Q. 緊急連絡網兼体制図はポータルサイト等への掲載は必須?
A. 作成するだけでなく「スタッフがいつでも見られる状態(周知)」にすることが規格上重要です。社内ポータルへの掲載や、共有サーバーへの常時配置など、自社の規模に合わせた最適な方法で共有してください。
ステップ2:全社員への教育と意識向上
ISMSは「文書があるだけ」では取得できません。全てのスタッフがルールを理解し、実行できる状態を作ります。
① 導入教育(ワーキンググループ向け)
ワーキンググループは、ISMSに関すること及び情報漏えいにより、組織および関連組織などにどのような被害が起こるか、どのようにすれば情報漏えいが防げるかを、事前に勉強会などを行い学びます。
実施のポイント
- 教育テキストを利用した勉強会のほか、書籍やインターネット、セミナーなどによる知識収録の方法があります。
② 教育・啓蒙(認証範囲の従業員向け)
ワーキンググループ以外の社員は、ISMSがどのようなルールのもとに成り立っているのか分かっていないため、ワーキンググループは、運用開始にあたり、規程書等を利用し、各部門で説明会などを開き、運用の支援を行います。
実施のポイント
- ISMSの認証範囲に含まれる全ての従業員を対象に、情報セキュリティ教育を実施します。
- 集合研修やeラーニングなどを活用し、組織全体のリテラシーを底上げします。
- カスタマイズ可能な教育テキストなどを利用すると、自社の規定に即した教育を実施できます。
- 理解度テストをセットで行うと良いでしょう。
③ 内部監査員の育成
内部監査を実施するための内部監査員候補者を選定し、内部監査員を養成します。初めての運用の場合は、ワーキンググループメンバーが内部監査員としての役割を担うと良いでしょう。
実施のポイント
- 内部監査員は、社内認定で構いません。
- 社内で教育テキストなどを利用して、内部監査員を認定します。
- 社内認定の場合、力量評価基準(社内テストの結果や教育記録など)を客観的に示せるようにしておく必要があります。
💡 自力取得のための教育・監査員育成 Q&A
コストをかけずとも、内部監査員の育成、教育の実施は可能です。独自の教材を一から作ると時間がかかりすぎるため、専門の教育用テキストやテスト問題を活用し、配布・回収の仕組みを先に整えるのがコツです。
Q. 内部監査員は外部研修の受講が必須?
A. 必須ではありません。自社内での教育・認定でも十分に審査を通せます。ただし、審査員に対して「なぜこの人を監査員として認めたのか」の力量評価基準(社内テストの結果や教育記録など)を客観的に示せるようにしておく必要があります。
Q. 市販や当店の「社員教育テキスト」を社内e-ラーニング等に転載していい?
A. 当店のテキストは、購入された組織内(グループ内)での利用であれば、e-ラーニングシステムへの転載やPDF配布、独自のテスト集計に自由にご活用いただけます。自社に合わせた柔軟な運用が、自力取得のコストを抑える鍵です。
ステップ3:各種規程・目的・計画書の作成
ISMSに関するルールを定めた文書を作成します。ISMSで作成する文書には、大きく分けて、ベース規定(フレームワーク的なもの)と情報セキュリティの管理策に関する規程、リスクマネジメントに関する規程があります。
実施のポイント
- 一から作成するよりは、信頼できるサンプル文書(雛形)をベースに自社の実態に合わせるのが効率的です。
① ベース規定の整備
要求事項に基づいた基本規程を整備します。項目が多岐にわたるため、網羅的なテンプレートの使用を推奨します。
- ISMSマニュアル
- 運営管理のための規定
- セキュリティ事件および事故
- 事業継続
- 法的要求事項への遵守
- プライバシー及び個人情報(PII)の保護
- 内部規程への違反
- 文書管理
- 苦情及び相談への対応
- 点検及び内部監査
- 代表者の見直し
- 不適合及び是正処置
② 管理策に関する規定の整備
情報セキュリティ対策のルールを具体的に定めます。こちらも一から作成するよりは、信頼できるサンプル文書(雛形)をベースに自社の実態に合わせるのが効率的です。
- 人的対策に関する規定(教育および力量など)
- 物理的および環境的対策に関する規定(入対室管理、資産持ち出し、作業報告など)
- 技術的対策に関する規定(ハードウェア、ソフトウェア、アカウント、システム開発及び保守など)
③ リスクマネジメントの規定作成
確定された情報資産のリスクアセスメントおよびその結果に対するリスク対応に関する規定を作成します。ISO/IEC 27001規格では、「リスクアセスメントの方法は、組織が自由に決めてよい」とされているため、一から手順を作るのではなく、信頼できるサンプル文書(雛形)のリスクアセスメントを真似る、もしくはカスタマイズして運用するのが効率的です。
- 資産の評価
- グルーピングと平準化
- 関連脅威の洗い出しと見直し
- リスク受容の基準を確立
- リスクの分析
- リスクの評価
- リスクの対応
④ 各種規定の変更及び追加
リスクマネジメントの結果(ステップ4)、リスク対応の選択肢の実施に必要な管理策において、既存の各種規定に変更及び追加等が必要な場合は対応を行います。
⑤ 情報セキュリティ目標と計画の策定
情報セキュリティ基本方針と整合し、リスクマネジメントの結果を考慮に入れた年間情報セキュリティ目標を確立し、組織のISMSをどのように運用するかについての年間情報セキュリティ計画書を策定します。
ステップ4:リスクアセスメントとリスク対応
情報セキュリティリスクの洗い出しと対応策を検討するリスクアセスメントを実施します。社内にある情報資産とそれに対する脅威や脆弱性を洗い出し、具体的なリスク対応を行い。
【成功の鉄則とよくある指摘】
審査において、適用宣言書は非常に重要です。なぜその管理策を採用し、なぜ除外したのか。その「リスク評価の根拠」を論理的に説明できるようにしておくことが、審査合格への鍵です。
① 情報資産の確定
関係者の協力を得て、組織が保有する情報資産を特定します。資産の管理者や形態、保管の形態や場所、保管期間、廃棄の方法、用途、利用者の範囲、他のプロセスとの依存性などについて台帳などにまとめます。なお、この作業はリスクマネジメントにおけるリスクの認識、分析・対策へ繋がります。
実施のポイント
- 実際の業務フローに沿って洗い出すことで、抜け漏れを最小限に抑えることができます。
- 「情報資産管理台帳」へと集約し、機密性・完全性・可用性の3つの観点から、それぞれの重要度を格付け(分類)します。
- 「情報資産の特定手順」が記された支援ガイドがあると、迷わずに作業を進められます。
② リスクマネジメントの実施
定めたリスクマネジメントに関する規定に従い、リスクアセスメントを実施し、その結果を考慮し、リスク対応を実施します。なお、ISMSを運用開始すると、あらかじめ定めた間隔又は重大な変更もしくは重大な変化が生じた場合、リスクアセスメントを実施することになります。あわせて、適用宣言書を作成します。
実施のポイント
- 実際の業務フローに沿って洗い出すことで、抜け漏れを最小限に抑えることができます。
- 「情報資産管理台帳」をもとに、脅威と脆弱性の2つの要素から情報資産に対するリスク値を算定(分析・評価)します。
- リスク値に応じた対策を決定します。
💡 リスクアセスメントを挫折せずに完遂するコツ Q&A
ISMS認証の取得及び運用において、最も重要なプロセスが「リスクアセスメント」です。そのやり方は、ISMS規格では「組織が自由に決めてよい」とされているため、複雑になりすぎず、しかも簡略化しすぎて意味のないプロセスにならないよう気を付ける必要があります。
Q. 少人数のISMS構築、リスクアセスメントを簡略化できない?
A. 可能です。すべてのPCや棚を1台ずつ愚直に洗い出す必要はありません。「開発用PC一式」「総務部キャビネット」のように共通する資産をまとめることで、少人数でも短期間で評価を終えることができます。
Q. 資産の「グループ化」と「平準化」はどこまで行うべき?
A. 「同じセキュリティリスクを持ち、同じ対策をとるもの」を1つのグループにします。例えば、全社員に支給している同スペックのノートPCは「社員用PC」として1行に平準化して構いません。
Q. 「ギャップ分析対策表(シート)」は必須?
A. 規格で「ギャップ分析表を作れ」と指定されているわけではありません。しかし、ISO27001規格の附属書A(管理策)と、自社の現状のルールにどれだけ差(ギャップ)があるかを整理するツール(シート)を使うことで、結果的に「適用宣言書」の作成が劇的に楽になります。当店のサンプル文書集には、このギャップ分析をスムーズに行うためのシートも同梱されています。
ステップ5:運用と内部監査・見直し
作成したルールに基づき、実際に業務を行い、記録を残します。審査では、これらの記録を実施の証跡として提示することになります。少なくとも3カ月程度の運用の記録が求められます。
【成功の鉄則とよくある指摘】
審査員は「経営者がISMSにどれだけ関与しているか」を必ず確認します。「代表者による見直し(マネジメントレビュー)」は、報告会ではなく、経営者が有効性を評価し、必要なリソース(予算・人)を配分する意志決定の場として運用してください。
① 実施運用と記録の保持
関連する部門のすべての社員は、規程書をもとに、ISMSの運用を開始します。この運用の結果(記録)をもとに、ISMSの審査が行われます。
実施のポイント
- 当初は、記録漏れなどがあるため、例えば週末ごとに確認するとよいでしょう。
- ISMSは認証取得後も運用が続きます。運用上、不具合が生じる場合は、積極的に改善しましょう。
② 内部監査員の実施
内部監査は、内部監査規程をもとに実施します。内部監査員は、被監査者のISMSが基準(JIS Q 27001 又は ISO/IEC 27001)に対して適合か不適合か、また見直し、改善すべき点の有無に関して調査し、その証拠の収集を行います。
実施のポイント
- 内部監査用チェックリスト(サンプル)を活用することで、客観的な視点での評価が可能になります。
- 内部監査員は、自身の所属部署や担当業務に関する監査は避けるなど、公平な立場で監査を行います。
③ 不適合への対処と是正処置
運用上にて不適合が確認された場合や情報セキュリティに関わる事故や苦情の発生によって不適合が発見された場合、対処するとともに、その原因を特定し、是正処置を行います。
実施のポイント
- 不適合を発見した又は指摘を受けた担当者は、定めた規定に従い、是正処置を実施します。
- 不適合は「悪いこと」ではなく、「改善のチャンス」と捉えましょう。
💡 審査をクリアする内部監査運用のポイント Q&A
ISMS審査をクリアするための内部監査運用の最大のポイントは、「ルール(規定)が実態に合っているか」と「それが現場で実際に守られ、記録に残っているか」の2点を確認することです。これらを担保するためには、適切な監査員の「役割」と網羅的な「計画」が欠かせません。
Q. 内部監査委員会の『監査責任者』の役割とは?
A. 内部監査全体の計画(プログラム)を立て、監査員を指揮し、最終的な監査報告書をまとめて代表者(トップ)に報告する重要な役割を担います。規程通りに監査が実施されたか、独立性が保たれているかを管理します。
Q. 個別内部監査プログラムで「各部署ごとに監査する規格番号を設定する」基準は?
A. その部署が「実際に行っている業務」に関連する管理策(規格番号)を割り当てます。例えば、人事部であれば「人的資源のセキュリティ(教育や雇用)」、システム開発部であれば「開発・保守やアクセス制御」といった具合に、部署の特性(プロセス)に直結する規格番号を選択するのが正しいアプローチです。
④ 代表者による見直し(マネジメントレビュー)
代表者は、以下を考慮しISMSを見直します。監査結果や不適合の状況の報告結果をもとに、ISMSの改善を検討します。必要に応じて、基本方針の変更や経営資源の配分等の変更、規定等の変更などを行います。
- 実施した見直しの結果と処置の状況
- 外部及び内部の課題の変化
- 利害関係者のニーズ及び期待の変化
- 不適合及び是正処置の結果
- 監視及び測定の結果
- 監査結果
- 情報セキュリティ目的の達成度合
- 利害関係者からのフィードバック
- リスクマネジメントへの対応状況
- 継続的改善の機会
実施のポイント
- 原則、年1回、トップが実施し、記録を残す必要があります。
- 関係者との会議形式や、資料の提出による書面形式、管理責任者との打合せ形式などがあります。
ステップ6:審査の受審と登録証交付
いよいよ最終段階である、審査の受審と認証取得です。
審査申込みから認証取得までの所要期間は、2~3ヶ月かかることもありますので、スケジューリングの際は注意が必要です。なお、認証取得範囲などが決まっている場合は、文書作成前や運用中でも審査機関に申し込みを行うことができます。その後、審査日程などを審査機関と調整することになります。
① 審査申請と文書審査・現地審査
マニュアル及び規程書、記録を提出し、正式に審査の申請を行います。まず文書審査が行われ、その後に審査員が来社して「現地審査」が行われます。
現地審査では、文書審査の結果を踏まえ、策定されたルールが現場で実際に正しく「運用」されているかを、インタビューや現場確認を通じて審査します。
実施のポイント
- 現地審査での「指摘事項(不適合)」は、どんなに準備しても数件は出るのが普通です。
- 期日までに的確な改善報告書を提出できるかどうかが、取得までのスピードを左右します。
② 指摘事項への改善対応(是正)及び認証
審査に通過し、是正対応が完了すれば、認証登録および証書発行となります。
審査で指摘を受けた事項について、期日までに改善内容を報告書として提出します。全ての是正が完了すると、無事にISMSの認証登録および証書発行となります。
実施のポイント
- 重大な不適合(大きな欠陥があると判断)と指摘された場合、審査を続けるのが難しいと判断され、一時中断となる場合もあります。
- なお、重大な不適合と判断されても取得不可ではなく、再審査をおこない要求事項を満たせば認証を得られます。
失敗しないためのチェックポイント
認証取得に向けた準備を進める中で、多くの組織が審査で指摘を受けるポイントがあります。「文書を作って満足する」のではなく、「実運用に耐えうるか」という視点が、失敗を回避する鍵となります。
1.「理想」ではなく「実態」を文書化する
審査員は「文書通りに動いているか」を確認します。現場の負担を無視した理想的なルールは形骸化の元です。「今の業務フロー」を尊重しつつ、セキュリティ要件を満たす工夫が必要です。
- 記録(証跡)の重要性
ルールを作っても、実施記録(チェックリスト、承認印、ログなど)が残っていなければ「未実施」とみなされます。文書を作成する段階で「このルールは、現場が日々の業務の中で無理なく記録を残せるか?」を必ずシミュレーションしてください。 - 改善の余地
現場の作業負担が過大になるルールは、いずれ形骸化します。「実務を変える」のではなく、「現場の現状を反映したルールを明文化する」ことが、審査合格への近道です。
2. リスクアセスメントは「グループ化」で効率化する
資産を一つずつ細かく管理しようとすると運用がパンクします。「共通のセキュリティ要件を持つ資産」をグルーピングして評価することで、管理負荷を大幅に削減できます。
- グルーピングの活用
共通のセキュリティ要件を持つ資産は「グループ化」して評価しましょう。例えば、部署内のPCを個別に管理するのではなく「部署用PC群」として一括で評価する、といった工夫です。 - 評価のメリハリ
全てのリスクを同等に評価しようとせず、ビジネスへの影響度が大きい資産を優先して特定してください。網羅性よりも「自社にとって守るべき優先順位」を明確にする方が、リスク対応の有効性は高まります。
3. 内部監査は「改善の機会」と捉える
自部署を自分たちでチェックするのではなく、独立性を保った監査を行いましょう。「ルール通りか」だけでなく「今の業務の目的に合っているか」という改善の視点を持つことで、審査員からの評価も高まります。
- 独立性の確保
内部監査員は「自分が関与していないプロセス」を監査するのが原則です。自分たちの部署のルールを自分でチェックしては、客観的な不適合(指摘事項)を見つけることができません。 - プロセス評価の視点
「ルール通りやっていますか?」という確認だけでなく、「そのルールは現在の業務目的を達成するために適切に機能しているか?」という視点で質問を投げかけることで、審査前の最終調整として極めて高い効果を発揮します。指摘を「悪いこと」と捉えず、継続的改善の機会として活用する姿勢が、審査員からの評価にもつながります。
【比較】自力取得 vs ツール活用でスケジュールはどう変わる?
ISMS取得にかかる期間の大部分は、「文書作成」と「教育の準備」です。ここをどう効率化するかで、取得までの月数は大きく変わります。
| フェーズ | 一般的な自力取得 | ツール活用(推奨) |
|---|---|---|
| 規程・マニュアル作成 | 2〜6ヶ月(試行錯誤) | 最短2週間〜 |
| 従業員教育の実施 | 1〜2ヶ月(教材作成含む) | 最短1週間~ |
| 合計期間 | 8〜12ヶ月 | 最短6〜8ヶ月 |
※審査機関との調整などにより認証までの期間が変動します。審査機関の選定は早めの準備が肝心です。
ISMS認証取得支援パッケージがおすすめ
実務的な文書作成やリスクアセスメントの立ち上げに迷われたら、当社の「サンプル文書集」をご活用ください。実務的な雛形が、運用の立ち上げと審査合格を強力にサポートします。
ISMS認証取得の工数を大幅に削減しませんか?
「一から規程を作る時間がない」「何を書けばいいのか分からない」とお悩みの担当者様へ。
当サイトでは、本記事で解説した各ステップを最短距離で進めるための「ISMS認証取得支援パッケージ」を販売しています。
- 審査にそのまま使えるサンプル文書集(規程・様式)
- 全社員向けにすぐ使える教育テキストとテスト
- 実務を迷わせない支援ガイド
取得にかかる費用(公的費用+準備費用)
① 公的費用
ISMSの審査費用(認証機関へ支払う費用)は約50〜100万円です。審査機関や企業の従業員数、拠点数、業種によって変動します。また、ISMSは取得して終わりではなく、認証を維持するため定期的な審査が必要です。 維持審査(毎年)として約20〜50万円が、更新審査(3年に1度)として約30〜70万円が公的費用として必要になってきます。
| 初回審査費用 | 維持審査(毎年) | 更新審査(3年に1度) |
|---|---|---|
| 約50〜100万円 | 約20〜50万円 | 約30〜70万円 |
- ※審査費用は、主に審査工数(審査に要する日数)に基づいて算出され、認証を取得する組織の規模(従業員数)、適用範囲(対象となる部署や拠点、業務)、事業のリスクレベルなどによって決定されます。
- ※審査機関によっても料金設定が異なるため、複数の機関から見積もりを取ることをお勧めします。
② 準備費用
上記の公的費用に加えてコンサル会社を利用する場合はコンサル料がかかったり、審査員が現地審査する場合の交通費や宿泊費がかかります。
また、教育費用や、支援ツールなどを使う場合の費用(月額・年額)も発生します。
- 審査員の交通費・宿泊費:
現地審査の際に審査員が移動・宿泊する実費(交通費・宿泊費)を負担 - 物理的設備・セキュリティ投資(必要に応じて):
個人情報を保護するための設備投資(鍵付きの保管庫、書棚、ロッカーの購入、シュレッダー、監視カメラ、入退室管理システム、ウイルス対策ソフトなど) - 支援サービス・ツール(利用した場合):
コンサルティングやクラウドツールなどの初期費用(通常は、その後の維持費用も追加で発生するため、それを踏まえて要検討)
よくある質問(FAQ)
ISMSサポートブログでは具体的なQ&Aを多数公開しております。実務のヒントとしてぜひご活用ください。
- 「ISMSサンプル文書のような「ISMS推進体制図」を書くことができる要求事項がISOにあるのか?」
- 「内部監査員は外部研修の受講が必須ですか?自社教育のみで認定する際の注意点」
- 「少人数のISMS構築、リスクアセスメントを簡略化できませんか?もっと簡単な手順は?」
