情報資産を洗い出し、リスクを分析し、リスクへの対応策をまとめるまでが約2~3ヶ月、
ISO27001の規格要求事項の内容を理解して、マニュアルや規程を作るのに約1~2ヶ月、
実際に仕事をやってみて、作ったマニュアルや規程の内容に問題がないかを確認するのに約2ヶ月、
そして2回の審査を受けて認証証書が届くまでに約3ヶ月、
トータルすると、8ヶ月~10ヶ月といったところでしょう。
これはあくまでも、一般的なコンサルティング会社に依頼したときの、一般的な取得スケジュールです。
そして、あくまでも、ISO27001を取得するだけのスケジュールです。
コンサルタントを使わずに自力で取得する場合は、もう少し期間を長めに見積もっておいた方がよいかもしれません。
また、取得だけでなく、取得を機にこれまでの情報の流れを見直し、積極的に業務改善を図ろうとする場合は、上記のスケジュールとは全く異なるアプローチを取りますのでご注意ください。
>>ISO27001に関するお問い合わせはこちらから。