この質問は、私が普段見込み客から受ける最初の質問の内の一つです。 ご期待に沿えず恐縮ですが、私は正確な数字をすぐには教えません。その理由は以下の通りです。
第一に、導入の総コストは、組織の規模(もしくはISO 27001の適用範囲に含まれる事業部門の規模)、情報の重要度(たとえば、銀行の情報は重要なのでより高度な保護が必要だと考えられる)、組織で利用しているテクノロジー(たとえば、データセンターは複雑なシステムなのでよりコストが高くなる傾向がある)、法的要件(金融セクターや政府セクターの情報セキュリティは一般に強く規制される)などに依存するからです。
第二に、必要な保護の程度がわからないと、正確なコストを計算することはできません。まず必要なセキュリティ対策を知るため、リスクアセスメントを実行する必要があります。
リスクアセスメントの結果が明らかになったら、以下のようなコストを計算する必要があります。
1. 資料や訓練のコスト
ISO 27001を導入するには、組織の変革が必要であり、新しいスキルが必要です。 関連するさまざまな本を購入したり、講習(通学またはオンライン)を受けさせたりすることにより、従業員を変革に備えさせることができます。このような講習の期間は1~5日程度です(ISO 27001とBS 25999-2を学ぶ方法をご覧ください)。
ISO 27001標準自体を購入することも忘れないでください。標準を実際に読まずに導入している企業に出くわすことは珍しくありません。
2. 外部支援のコスト
残念ながら、従業員を訓練するだけでは十分ではありません。 ISO 27001導入の経験が豊富なプロジェクトマネージャがいない場合には、そのような知識を持つ誰かが必要です。コンサルタントを雇う方法もあれば、オンラインのサービスを利用する方法もあります(これが弊社が情報セキュリティおよび事業継続アカデミーで行っていることです)。
この種のプロジェクトにおいて経験者の支援を受けることの最大の意義は、実際には必要のない活動や標準では要求していない大量の文書の作成などに何ヶ月も費やすような袋小路を避けられることです。これは軽視できないコストです。
ただし、ここで注意すべきことがあります。コンサルタントが代わりに導入を全部やってくれると思ってはいけません。ISO 27001を導入できるのは従業員だけです。
3. テクノロジーのコスト
おかしいと思うかもしれませんが、私がお手伝いした会社のほとんどでは、ハードウェアやソフトウェアなどに大金を投資する必要はありませんでした。すでに全部あったからです。最大の課題は通常、既存のテクノロジーをより安全に活用するにはどうすればよいか、でした。
ただし必要だと判明した場合にはそのような投資を計画する必要があります。
4. 従業員の時間コスト
標準は放っておけば勝手に導入されるものでもなければ、コンサルタント(を雇った場合)だけで導入できるものでもありません。従業員は、リスクがどこにあるか、あるいは、既存の手順や方針を改善したり新しい手順や方針を導入するにはどうすればよいかを知るために、時間を費やす必要があります。新たな職務や新しいルールに適応するための訓練にも時間が必要です。
5. 認証のコスト
ISO 27001に準拠していることを公式に証明したい場合、認証機関が認証審査を行う必要があります。認証コストは、仕事にかかる人日によって決まり、中小企業で10人日以下、より大きな組織で数十人日程度です。1人日当たりのコストは、地域によって異なります。
ISO 27001プロジェクトの真のコストを過小評価しないように注意してください。さもないと、経営陣はプロジェクトを否定的に見るようになります。 その一方で、あらゆるコストを正確に予測することは、あなたのプロとしてのレベルを示すことになります。そして、常にコストとベネフィットの両方を提示することを忘れないでください。詳しくは「ISO 27001導入の主な4つの利点」を参照してください。
—
無料の白書 How to Budget an ISO 27001 Implementation Project もご活用ください。