L’une des principales questions concernant les différentes certifications ISO est le calendrier impliqué. La réponse à cette question n’est pas toujours facile à avaler, tant pour les responsables de la sécurité que pour la direction. Le temps, l’argent et les efforts requis peuvent varier en fonction de l’organisation qui demande la certification.
Remarque: Pour connaître les avantages de la certification ISO 27001, consultez notre article sur les avantages de la certification ISO 27001.
Les organisations font souvent appel à une assistance externe dans le processus de certification ISO. Lorsque vous recherchez une assistance tierce, telle que des consultants en certification ISO, il est important que vous demandiez le calendrier de projet prévu pour le processus de certification ISO. Si la réponse du tiers à ces questions correspond à un délai précis ou à une courte période, il est soit inexpérimenté dans le processus de certification ISO, soit ne pas être honnête avec vous. (Nous avons inclus ici un bref exemple de présentation qui met en évidence le processus de mise en œuvre de la norme ISO 27001)
Le temps nécessaire pour obtenir la certification ISO dépend de divers facteurs, ce qui rend difficile la détermination du temps nécessaire au processus de certification ISO pour chaque organisation. Grâce à notre expérience dans notre propre processus de certification ISO et en aidant d’autres organisations, nous avons déterminé que les facteurs suivants sont fondamentaux pour l’élaboration d’une estimation générale du calendrier de certification ISO:
- Ressources disponibles pour le processus de certification ISO
- Taille globale de l’organisation (ou du département)
- État actuel du système de gestion de l’organisation
Ressources disponibles pour le processus de certification ISO
Cependant, étant donné l’importance et les avantages d’être certifié ISO, il peut s’avérer difficile d’obtenir les ressources nécessaires augmenter l’efficacité et réduire le temps nécessaire pour obtenir la certification ISO. L’une des premières tâches (et potentiellement les plus importantes) à accomplir est d’obtenir le soutien de la haute direction. Les équipes de direction seront les gardiens des ressources, telles que la quantité d’argent et de main-d’œuvre allouée au processus de certification. Dans un monde parfait, vous auriez un accès illimité aux ressources au besoin. En réalité, les personnes et la flexibilité financière peuvent ne pas être disponibles lorsque cela est nécessaire pour le processus de certification ISO.
Ceci peut être illustré par une équation simple:
5 employés travaillant 8 heures par jour, soit 40 heures humaines par jour allouées au projet ou 1 Responsable Qualité allouant 2 heures par jour au processus de certification
Nous ne nous rendrions pas justice si nous ne mentionnions pas comment les logiciels et Outils de gestion des risques peuvent réduire le temps nécessaire pour terminer le processus de certification.
Taille globale de l’Organisation demandant la certification ISO
La taille de l’organisation peut avoir un impact majeur sur le temps qu’il faudra pour mettre en œuvre une norme ISO et obtenir la certification ISO. Les organisations plus petites peuvent avoir plus de flexibilité et de capacité à concentrer leurs efforts sur le processus de certification ISO, ainsi que moins d’infrastructures nécessitant des modifications, réduisant ainsi le calendrier total du processus de certification ISO. Cependant, une organisation plus petite peut faire face à de plus grandes limites en ce qui concerne les ressources disponibles pour s’engager dans le processus.
D’un autre côté de la médaille, les grandes organisations peuvent être confrontées à des problèmes tels que des goulets d’étranglement pendant le processus bureaucratique, des infrastructures immenses, des restrictions budgétaires et, bien sûr, des ressources limitées à allouer au processus de certification ISO.
État actuel du système de gestion
L’état du système de gestion peut considérablement réduire ou augmenter le temps de certification ISO. Les organisations qui ont déjà un système de gestion en place connaîtront moins de « douleurs de croissance » dans le processus de certification ISO. Les organisations qui partent de zéro ont plus de systèmes, de contrôles et de processus à mettre en œuvre.
Afin d’obtenir une compréhension de l’état actuel du système de gestion, une analyse des lacunes peut être effectuée. Une analyse des écarts est le processus par lequel une organisation détermine son statut actuel aujourd’hui et où elle veut être à l’avenir, définissant ainsi le « fossé » entre l’état actuel et l’état objectif. L’analyse des lacunes peut être considérée comme une liste de contrôle qui fournit à la direction une indication du temps que l’on peut attendre de la certification ISO.