ISMS認証取得にかかる期間・費用をわかりやすく解説

ISMSを取得するにはどれくらいの期間と費用が必要なのでしょうか。ここでは、具体的な期間と費用感について解説します。

ISMS認証取得にかかる期間

ISMS認証を取得するためには、PDCAサイクルを回して改善を図る必要があります。

PDCAサイクルとは、「Plan（計画）」「Do（実施）」「Check（評価）」「Action（改善）」の頭文字からとった継続的な改善手法のことを指します。

ISMS認証の取得に向けて、最低1回はPDCAサイクルを回す必要があり、これに要する期間は、一般的に半年以上といわれています。

PDCAサイクルをISMSの考え方に組み込んだ際の取組みのポイントを、1つずつ見ていきましょう。

P＝計画

「Plan（計画）」では、組織の現状を把握し、方針や目的を定めます。ISMSによってどのような情報を守るのか、どういった課題点があるのか洗い出しましょう。

情報資産管理台帳や業務マニュアル、情報セキュリティ方針などを作成する組織も多くみられます。

D=実施

「Do（実施）」では、「Plan（計画）」で作成したルールを展開し、運用します。従業員のリテラシー向上のための教育などもこの段階で行います。

C=評価

「Check（評価）」では、ルールを従業員が厳守できているか、組織にとって有効的であるかを確認します。

あらかじめ指標を定めておき、効果測定や内部監査などを行いましょう。

具体的な成果物としては、内部監査の報告書、マネジメントレビュー記録などがあげられます。

A=改善

「Action（改善）」では、「Check（評価）」で受けた指摘に基づいて改善を図ったり、運用の中で出てきた課題に対応していきます。

仕組みやルールのブラッシュアップなどを行い、もう一度「Plan（計画）」に戻って運用を開始します。

ISMS認証取得にかかる費用

ISMS認証を取得するために必要とされる費用は、大きく分けて以下の2つです。

ISMSは、取得後もランニングコストが発生するため、長期的な費用対効果を見極める視点も大切です。

審査費用（必須）

ISMS認証を取得するために必要となる審査費用は、次のとおりです。

審査機関や従業員数、拠点数、業種によって異なりますが、50万円〜100万円ほどといわれています。

これらは審査機関と審査が必要な部署や拠点との距離などによって異なるため、複数の審査機関から見積もりを取って比較し、自社に適した審査機関に依頼することが望ましいといえます。

さらに、1年ごとの維持審査費用と3年に1度の更新審査料も必要です。維持審査と更新審査に要する費用についても、審査機関や従業員数、拠点数、業種によって変わってきます。

コンサルティング費用（依頼する場合）

「社内にISMSの知識を持っている人がいない」「専門家のサポートを受けながら効率良く取得・運用したい」という場合、コンサルティング会社に支援を依頼するケースもあります。

コンサルティング会社への依頼を検討する場合は、複数社の見積もりを比較することが推奨されます。

このように、ISMS認証の取得から運用には審査費用がかかり、手続などをコンサルティング会社に依頼する場合には、コンサルティング費用が必要です。そのため、ISMS認証の取得から運用に至る費用として、100万円〜数百万円程度の範囲を設定する企業が多いようです。

ISMS認証取得にかかる費用・期間を把握し計画的にプロジェクトを進める

ISMS認証に要する期間と費用について、ポイントを以下にまとめます。

ISMS認証を取得するためには最低1回のPDCAサイクルを回す必要があります。効果的にPDCAサイクルを回し、自社の実情に合わせた適切なISMS体制を構築し、ISMS認証を取得することで、取引先や社会からの信頼度の向上、自社の企業価値向上などにもつながるともいわれます。

ISMSの認証については、こちらの記事で解説しています。

ISMSの概要についてはこちらの記事で解説しています。

ISMSとPマークの違いについては、こちらの記事で解説しています。