ISMS取得費用と取得までの期間
ISMS認証の取得に当たっては、まず体制を構築したうえで、実際にそれを運用してレビューを実施する、そしてその後に申請書類の作成と申請を行い、審査を受け、必要な是正を経て取得するという大きな流れになり、この点はプライバシーマークと同じです。最短で半年、一般的には1年程度という取得までの期間もほぼ変わりません。
また審査費用など認証取得には費用が掛かりますが、これについてはプライバシーマークと異なり定額の料金ではなく、利用する認証機関によって変わります。これは申請者によってISMSの認証を受けようとする範囲や、審査対象となるものがそれぞれ異なるためです。
費用の目安としては、最低規模の審査でも50万円から100万円程度です。コンサルタント会社を利用する場合はその費用がプラスされ、認証に合格するための追加的な設備投資が必要であれば、さらにその費用が必要になります。
ISMSの認証機関(登録審査機関)としては、一般社団法人情報マネジメントシステム認定センター(ISMS─AC)が30団体を認定しています(2022年2月6日現在)。
ISMSでは構築したシステムが引き続き規格に適合し、有効に維持されていることを確認する更新審査が3年ごとに行われます。プライバシーマークが2年ごとであるのに比べて1年間隔が空きますが、ISMSでは認証を維持するために年に1回の中間的な審査(サーベイランス審査)を受けることになっています。
そのため事実上、年1回のチェックを受けることになり、プライバシーマークよりはむしろチェック機会が多いといえます。なお、更新審査もサーベイランス審査も有料です。
ISMS取得のメリット
ISMS取得の大きなメリットはプライバシーマークと同様、情報セキュリティ・インシデントの発生を未然に防ぐとともに、第三者認証の取得により対外的な信用を高めることができるという点にあります。
入札などの条件として求められることも増えており、条件としての明示がなされていない場合でも、未取得の企業に比べて高い評価を得ることができることはいうまでもありません。また、組織内の情報セキュリティに対するリテラシーを高めるという点も、プライバシーマーク取得と同様のメリットです。さらに次のようなメリットもあります。
①業務効率の改善
ISMSは認証を得ようとする対象を絞って取得するものであることから、組織内のどこにどのような情報がどういう形で存在するのかということを改めて具体的に把握することができます。
そのため、情報セキュリティリスクがどこにあるのかということを網羅的に、また定量的に見極めることができ、情報セキュリティレベルを高めることができます。さらに、書類やデータがリスト化されることで、それらを探す時間を短縮することができるため、業務効率が大きく改善するという副次的な効果も期待できます。
②適切なリスク対応の実現
セキュリティの対象となる情報の所在を網羅的に把握することにより、逆に、情報共有によるリスクも浮き彫りにすることができます。その分析に基づき、適切なアクセスコントロール(共有する必要がない人にはアクセス権を与えない)を実現することで情報漏えいリスクを低減することができます。
③事業継続性の向上
万一、情報漏えいに関する訴訟やトラブル対応が求められたときでも、マネジメントシステムに基づいた記録などによって組織が適切な対応をしていたことが証明しやすくなります。そのため対応に多くの時間を取られることなく、事業の継続性を高めることができます。
注目のセミナー情報
【減価償却】11月20日(水)開催
<今年の節税対策にも!>
経営者なら知っておきたい
今が旬の「暗号資産のマイニング」活用術
【国内不動産】11月20日(水)開催
高所得ビジネスマンのための「本気の節税スキーム」
百戦錬磨のプロが教える
実情に合わせたフレキシブルな節税術