ISMS認証取得にあたって、コンサルティング費用や審査費用以外に、どんな費用がかかるの?
ISO27001では「附属書A」で133の管理策が要求されている、とは言われますが、要求事項では「何をすべきか」という、いわば「What」について触れてはいても、「どの程度・どこまで」という「How」については触れていません。それはリスクアセスメントの結果、組織のリスク判断と対応の意思決定に基づくものだからです。
ですから、どのような対策を実施し、どこまでコストをかけるべきか、ということについての一般的な解はないといっていいでしょう。しかし、リスク対応が予想される事柄について、「仮に費用をかける方向で対策を考慮するなら、どういった点を検討することになるのか」は意識しておいたほうがよいでしょう。
特定の対策ばかり過剰にコストをかけても、他の事柄とバランスがとれないこともありますし、ルール・運用の見直しでひとまずは追加投資が不要というケースもありえます。
上記の点については、費用をかける必要がある場合は真っ先に検討すべき事柄のため、コンサルティングにあたっては初期の段階で確認させていただく点でもあります。
