目次
企業での秘密の保護のためにある2つの資格、情報漏洩が起きる前に資格を取得して、秘密保護情報の社内体制を整えておいた方がいいです。
資格の取得・維持にはすごくお金がかかる
実は、これら資格の取得・維持にはすごくお金がかかるのです。
私は企業規模100人程度の会社でISMSの資格取得・維持の経験がありますから、ISMSの例で話をしてましょう。
ISMS資格取得・維持のための金額
コンサルタント
いきなりISMSの資格を取得しようにも、規格を読んでもちんぷんかんぷんだと思います。
規格に基づいて社内の規則・規定の整備をするなんてこと、ゼロから始めることはまず不可能です。
資格取得のための方法すらわからないと思います。
従って、そう言ったことはどうしてもコンサルタントに依頼せざるを得ません。
企業規模やコンサルタントにもよりますが、コンサルタントへの依頼だけで数百万円が必要となります。
資格審査料がかかる
認証機関が審査するのに、結構な額のお金が必要なのです。
大抵は1回で審査合格とはならず、最初は予備審査的な感じで、色々と指摘して、そのあと日本審査となります。
1回の審査で100万円程度だから、予備審査と本審査で200万円程度が必要となります。
資格維持のために費用がかかる
年1回維持審査という審査があります。
そして、資格の更新は3年に1回の更新審査が必要です。
維持審査と更新審査は工数が違うため、維持審査の方が若干安価ですが、それでも80万円程度が必要、更新審査はその倍ぐらいが審査費用として必要になります。
合計
つまり、ISMS資格取得・維持のためには、以下の金額は必ず必要ということになります。
- 資格取得のために500万円程度
- 資格の維持のために毎年100万円程度
この他にもかかる費用
100人規模の会社であれば、情報セキュリティ体制維持のために専任社員が必要でしょう。
社員への啓発活動や経営陣とのインターフェイスなど、結構時間がかかります。
社内外へメールを使っている企業であれば、日常的に情報セキュリティインシデントが発生し、その度に誰かが対応する必要があります。
事務を担当する責任者、もし社内にシステムを持っている場合はシステムを担当するエンジニアの2名体制が最低限です。
それだけで、年の人件費として1,000万円以上が必要になるでしょう。
システムを全て外注すれば、少なくともエンジニアは必要なくなりますが、情報セキュリティ専任社員の負担は増えます。
セキュリティが維持できれば資格なんていらない!という考え方
そもそも、経営陣のガバナンスがしっかりしていれば、わざわざ資格を取って体制を維持する必要がないとも言えます。
資格を取得しなければ、社内にセキュリティ専任社員を置く必要もなく、社外コンサルタントに全てを委託することもできます。
経営陣がしっかりとコンサルタントの活動をサポートすれば、刻々と変わる情報セキュリティの世界の最新の対処方法を体制に取り入れることは、それほど難しいことではありません。
会社のセキュリティ対策は、情報ネットワークだけでは不十分です。
会社の情報漏洩は、パソコンだけではありません。
現代は、スマホなどを使った企業での盗聴、盗撮による情報漏洩が多くなっています。
ライバル企業が妙に自分たちの情報に詳しい、社内から盗難の申告が増えた、顧客からの苦情が増えた、長年の顧客から契約を打ち切られた・・・
それは、盗撮や盗聴で情報が漏洩しているからかもしれません。
一大事になる前に、専門家の調査を受けましょう!
