自力取得にはISMS(ISO27001)認証取得はプロジェクトとして考えプロジェクト管理が必要である。すなわちプロジェクトマネージャーの存在が必須である。体制を確立し認証取得計画を立てて、プロジェクトを遂行する。プロジェクトの予算は重要な項目であり、予算の決定者は認証取得を現実化するのには実際の費用を推測から抜け出すためには、実際の費用を知りたいことと思う。またプロジェクトマネジメントのやり方によっては当初の3倍の費用がかかりこんなはずではなかったということも耳にすることである。そのためには、自社の情報セキュリティの現状と認証取得のギャップを分析し身の丈にあったISMS導入がポイントである。小さく取得してだんだんレベルアップするというやり方がお勧めである。特に最初から全部やろうとするととんでもないことになる。
さて認証取得には、どのくらい費用がかかるのだろうか。審査費用は審査機関にもよりますが20人位の会社で60~70万円台が目安となる。人数と拠点数が多くなるとそれにより審査も時間がかかり費用も多くなる。さらにそのために新規にシステムを導入するとさらに費用がかかる。実際にはいまやっていることを見直ししながらやっていくと新規にシステムを導入せずに認証取得できることが多い。それよりもその費用を戦略的なIT経営に振り向けた方が現実的と思う。戦略的というのはいかにもうかるような経営をするかということです。ITのレベルアップすることにより、社員の皆様が一緒に考えレベルアップすることにより経営体質が変わり好経営力向上体質に変わっていくことための良い契機とするのが良いと思う。ITのレベルが上がっていくと情報セキュリティの意識もレベルアップしていくと考えていい。
自力取得の場合は自分たちのリソースがかかり努力が必要。規模にもよるが事務局では・・・ここから勉強会で・・・
自力取得だが、自分たちでかってがわからないポイントポイントに専門家やコンサルタントに支援してもらった場合、この場合が一番効率的に取得できると統計から判断できます。
料金は支援回数に当然ながら比例する。コンサルタントの選定についても勉強のひとつとして取り上げたいと思います。・・・ここからは勉強会で・・・
コンサルタントに全部おまかせすると、現在の実態がどうであれ実績のあるコンサルタントであれば必ず取得できると考えていいが、 料金はそれなりの予算を計上した方が良い。費用は認証取得まで訪問する一般的なタイプで約200万円~と考えていてよいと思う。コンサルタント会社によってはコンサルティング価格を公表しているところもあるので、その価格を見て比較検討するとよい。コンサルタントに全面支援してもらう場合にもコストを下げる方法もある。
また国、都道府県区や市により助成金や支援金、融資制度もあり、勉強会で該当があれば申請も一緒にやっていきたいと思う。申請により取得のための費用の一部を市などから支援を受けることができる。
ISMSを認証取得する決心をしてから審査に合格して認定証を受け取るまでの流れは次のようである。
ISMS 認証取得の意思決定から認証取得までの流れ
