Eine der übergreifenden Fragen zu den verschiedenen ISO-Zertifizierungen ist der zeitliche Ablauf. Die Antwort auf diese Frage ist nicht immer leicht zu schlucken, sowohl für Sicherheitsmanager als auch für das Top-Management. Die erforderliche Zeit, das Geld und der Aufwand können je nach Organisation, die eine Zertifizierung anstrebt, variieren.
Hinweis: Die Vorteile der ISO 27001-Zertifizierung finden Sie in unserem Beitrag zu den Vorteilen der ISO 27001-Zertifizierung.
Oft setzen Organisationen externe Unterstützung im ISO-Zertifizierungsprozess ein. Bei der Suche nach Unterstützung durch Dritte, z. B. Berater für die ISO-Zertifizierung, ist es wichtig, dass Sie nach dem geplanten Projektzeitplan für den ISO-Zertifizierungsprozess fragen. Wenn die Antwort des Dritten auf diese Fragen ein genauer Zeitrahmen oder ein kurzer Zeitraum ist, sind sie entweder unerfahren im Prozess der ISO-Zertifizierung oder nicht ehrlich zu Ihnen. (Hier haben wir ein kurzes Beispiel für eine Präsentation aufgenommen, die den Prozess der Implementierung von ISO 27001 hervorhebt)
Die Zeit, die benötigt wird, um eine ISO-Zertifizierung zu erhalten, hängt von verschiedenen Faktoren ab, was es schwierig macht, zu bestimmen, wie viel Zeit der ISO-Zertifizierungsprozess für jede Organisation benötigt. Aufgrund unserer Erfahrung in unserem eigenen ISO-Zertifizierungsprozess und durch die Unterstützung anderer Organisationen haben wir festgestellt, dass die folgenden Faktoren für die Entwicklung einer allgemeinen Schätzung des Zeitplans für die ISO-Zertifizierung von grundlegender Bedeutung sind:
- Verfügbare Ressourcen für den ISO-Zertifizierungsprozess
- Gesamtgröße der Organisation (oder Abteilung)
- Aktueller Stand des Managementsystems der Organisation
Verfügbare Ressourcen für den ISO-Zertifizierungsprozess
Angesichts der Bedeutung und der Vorteile einer ISO-Zertifizierung kann es sich jedoch als schwierig erweisen, die erforderlichen Ressourcen zu beschaffen um die Effizienz zu steigern und den Zeitaufwand für die ISO-Zertifizierung zu senken. Eine der ersten (und möglicherweise wichtigsten) Aufgaben besteht darin, die Unterstützung des Top-Managements zu erhalten. Führungsteams werden die Gatekeeper für die Ressourcen sein, z. B. wie viel Geld und Arbeitskräfte für den Zertifizierungsprozess bereitgestellt werden. In einer perfekten Welt würden Sie unbegrenzten Zugang zu Ressourcen erhalten, wie gebraucht. In Wirklichkeit sind Menschen und finanzielle Flexibilität möglicherweise nicht verfügbar, wenn sie für den ISO-Zertifizierungsprozess benötigt werden.
Dies kann mit einer einfachen Gleichung veranschaulicht werden:
5 Mitarbeiter, die 8 Stunden pro Tag arbeiten, oder 40 menschliche Stunden pro Tag, die dem Projekt zugewiesen sind, oder 1 Qualitätsmanager, der 2 Stunden pro Tag für den Zertifizierungsprozess verwendet
Wir würden uns nicht gerecht werden, wenn wir nicht erwähnen würden, wie Risikomanagement-Software und -Tools die Zeit für den Abschluss des Zertifizierungsprozesses verkürzen können.
Gesamtgröße der Organisation, die eine ISO-Zertifizierung anstrebt
Die Größe der Organisation kann einen großen Einfluss auf die Zeit haben, die benötigt wird, um eine ISO-Norm zu implementieren und ISO-zertifiziert zu werden. Kleinere Organisationen haben möglicherweise mehr Flexibilität und die Möglichkeit, sich auf den ISO-Zertifizierungsprozess zu konzentrieren, sowie weniger Infrastruktur, die geändert werden muss, wodurch der Gesamtzeitplan des ISO-Zertifizierungsprozesses verkürzt wird. Eine kleinere Organisation kann jedoch mit größeren Einschränkungen in Bezug auf die verfügbaren Ressourcen konfrontiert sein, um sich für den Prozess zu engagieren.
Auf der anderen Seite der Medaille können größere Organisationen mit Problemen wie Engpässen während des bürokratischen Prozesses, immensen Infrastrukturen, Budgetbeschränkungen und natürlich begrenzten Ressourcen für den ISO-Zertifizierungsprozess konfrontiert sein.
Aktueller Stand des Managementsystems
Der Zustand des Managementsystems kann die ISO-Zertifizierungszeit erheblich verkürzen oder verlängern. Organisationen, die bereits über ein Managementsystem verfügen, werden bei der ISO-Zertifizierung weniger „Wachstumsschmerzen“ haben. Organisationen, die bei Null anfangen, müssen mehr Systeme, Kontrollen und Prozesse implementieren.
Um ein Verständnis über den aktuellen Stand des Managementsystems zu erhalten, kann eine Gap-Analyse durchgeführt werden. Eine Gap-Analyse ist der Prozess, bei dem eine Organisation ihren aktuellen Status heute bestimmt und wo sie in Zukunft sein möchte, wodurch die „Lücke“ zwischen dem aktuellen Status und dem Zielstatus definiert wird. Die Gap-Analyse kann als Checkliste betrachtet werden, die dem Management einen Hinweis auf die Zeit gibt, die für die ISO-Zertifizierung zu erwarten ist.