ISMS認証機関の選び方とコンサルタントの活用
認証機関に支払う費用は、適用範囲の事業内容、規模、事業所数、情報リスクの大きさなどによって異なります。審査対象の業務区分が専門性を要する場合は、審査チームに専門家を招聘するための別途費用が必要となる場合もあります。
初回審査は、文書審査と実地審査の2回の審査が必須であり、予備審査を受ける場合にはさらに追加費用が発生します。その他、認証登録が実現した場合の認定機関への登録費用などがかかります。こうした費用は、一般的に審査登録機関の提示する見積もりに含まれていますが、後で別途請求されることがないよう、見積もりを依頼するときに詳細を確認するとよいでしょう。
認証機関や業務の煩雑さ、特殊性などによって相違はありますが、情報システムの運用を業務とする100名規模の組織であれば、200~300万円くらいで初回審査が行われるケースが多くなっています。
ISMSのコンサルタントを利用する場合には、その費用も考慮に入れる必要があります。コンサルティング費用は、依頼内容は担当するコンサルタントによって大きく異なるので、複数から見積もりを入手し、比較検討するとよいでしょう。
抽象的で難解な規格の要求事項の解釈、審査機関の選び方などのノウハウを持ったコンサルタントであれば確実に取得することができます。また、規格の要求実行解釈、リスクの特定、リスクの評価・分析、管理策の選定、文書・記録様式の作成、内部監査への対応などは、豊富な経験とノウハウを持つコンサルタントならば、通常に比べて速いスピード(8ヶ月前後)で取得できます。
さらに、認証取得のためだけの無駄な文章・作成負荷のかかる無駄な記録を作成せずに済み、シンプルな仕組みが構築できます。また、企業経営に明るいコンサルタントを活用すれば、ISMSを取得するだけでなく、経営リスクの回避などのメリットも享受できます。
コンサルタントを利用する場合は、組織の事業目的を理解し、企業活動に寄与するような情報セキュリティマネジメントシステムを構築するための適切なアドバイスや支援を提供する能力があるかどうかを確認する必要があります。認証取得だけを目的としたコンサルティングは、形式的に認証を取得できたとしても、本来の目的である情報セキュリティを確保できない恐れがあり、これでは本末転倒です。
コンサルタントを選択する場合は、達成したい情報セキュリティレベルを明確にし、コンサルティングの方針、内容、取扱実績、評判、費用などを総合的に評価するとよいでしょう。
認証機関の選定に際しては、情報セキュリティに対する考え方、審査アプローチ、費用、認定機関などを事前に検討・評価します。認証取得後に審査登録機関を変更することは可能ですが、認証登録時に審査を依頼した審査登録機関に継続的に依頼するほうが、審査アプローチや組織の情報セキュリティマネジメントシステムに対する考え方を理解しているので、審査準備や対応は効率的といえます。
既にISO9001やISO14001など他のマネジメントシステムの認証登録を達成している組織であれば、審査の効率性やコストの観点から同じ審査登録機関を選定することも考えられます。
認証機関は、長期的な視点に立って慎重に選定しなければなりません。決して審査が甘いなどの安易な理由で選定すべきではなく、組織の本質的な情報リスクを見極め、情報セキュリティレベルを高めることに協力する姿勢を持つような審査登録機関を選定する必要があります。
審査登録機関は20団体ありますので、まずパンフレットHPなどで、「どこの認定機関の認定を受けているのか」「受審企業と同規模の審査実績は豊富か」などを基準に数社に絞るとよいでしょう。