en av de övergripande frågorna om de olika ISO-certifieringarna är tidslinjen . Svaret på denna fråga är en som inte alltid är lätt att svälja, både för säkerhetschefer och toppledning. Den tid, pengar och ansträngning som krävs kan variera beroende på den organisation som söker certifiering.
notera: För fördelarna med ISO 27001-certifiering, se vårt inlägg om fördelarna med ISO 27001-certifiering.
ofta använder organisationer externt stöd i ISO-certifieringsprocessen. När du söker efter hjälp från tredje part, till exempel konsulter inom ISO-certifiering, är det viktigt att du ber om deras projicerade projekttidslinje för ISO-certifieringsprocessen. Om den tredje partens svar på dessa frågor är en exakt tidsram eller en kort tidsperiod, är de antingen oerfarna i ISO-certifieringsprocessen eller inte ärliga mot dig. (Här har vi inkluderat ett kort exempel på en presentation som belyser processen att implementera ISO 27001 )
den tid det tar att få ISO-certifiering är beroende av olika faktorer, vilket gör det svårt att avgöra hur mycket tid ISO-certifieringsprocessen kommer att kräva för varje organisation. I vår erfarenhet av vår egen ISO-certifieringsprocess och genom att hjälpa andra organisationer har vi fastställt att följande faktorer är grundläggande för att utveckla en allmän uppskattning av tidslinjen för ISO-certifiering:
- resurs tillgänglig att använda i ISO-certifieringsprocessen
- övergripande storlek på organisationen (eller avdelningen)
- nuvarande tillstånd för organisationens ledningssystem
resurser tillgängliga för ISO-certifieringsprocessen
men med tanke på vikten och fördelarna med att vara ISO-certifierad kan det visa sig vara utmanande att få de nödvändiga resurserna för att öka effektiviteten och sänka den tid som krävs för att få ISO-certifiering. En av de första (och potentiellt viktigaste) uppgifterna att utföra är att få stöd från toppledningen. Ledningsgrupper kommer att vara gatekeepers till resurserna, till exempel hur mycket pengar och arbetskraft som kommer att tilldelas certifieringsprocessen. I en perfekt värld skulle du få obegränsad tillgång till resurser som behövs. I verkligheten kanske människor och ekonomisk flexibilitet inte är tillgängliga när det behövs för ISO-certifieringsprocessen.
detta kan illustreras med en enkel ekvation:
5 anställda som arbetar 8 timmar om dagen, eller 40 mänskliga timmar om dagen som tilldelats projektet eller 1 Kvalitetschef som fördelar 2 timmar om dagen mot certifieringsprocessen
vi skulle inte göra oss rättvisa om vi misslyckades med att nämna hur riskhanteringsprogram och verktyg kan minska den tid det tar att slutföra certifieringsprocessen.
övergripande storlek på organisationen som söker ISO-certifiering
organisationens storlek kan ha stor inverkan på den tid det tar att implementera en ISO-standard och få ISO-certifierad. Mindre organisation kan ha mer flexibilitet och förmåga att fokusera ansträngningar på ISO-certifieringsprocessen samt mindre infrastruktur som kräver förändring, vilket minskar den totala tidslinjen för ISO-certifieringsprocessen. En mindre organisation kan dock möta större begränsningar när det gäller de tillgängliga resurserna för att engagera sig i processen.
på andra sidan myntet kan större organisationer möta sådana problem som flaskhalsning under den byråkratiska processen, enorma infrastrukturer, budgetbegränsningar och naturligtvis begränsade resurser att allokera till ISO-certifieringsprocessen.
ledningssystemets nuvarande tillstånd
ledningssystemets tillstånd kan avsevärt minska eller öka ISO-certifieringstiden. Organisationer som redan har ett ledningssystem på plats kommer att uppleva mindre ”växande smärtor” i processen med ISO-certifiering. Organisationer som börjar från början med har fler system, kontroller och processer att implementera.
för att få en förståelse för ledningssystemets nuvarande tillstånd kan en Gap-analys utföras. En gapanalys är den process där en organisation bestämmer sin nuvarande status idag och där den vill vara i framtiden och därmed definierar ”klyftan” mellan det nuvarande tillståndet och målstaten. Gap-analysen kan ses som en checklista som ger ledningen en indikation på den tid som kan förväntas för ISO-certifieringen att ta.