最短でISO27001を取得するには？

ISO27001の認証取得では、1年未満で取得できる組織もあります。例えば、当社がご支援したお客様で、最短で認証を「半年」で取得したケースがありました。

一般的には、第1段階審査から認証までに短くても1ヶ月半はかかるので、構築と審査までの運用を併せて4ヶ月半程度での取組となります。

このお客様は、このプロジェクトだけに集中する（このプロジェクト以外には何もしない）という期間を設け、さらにそこに専任者を複数名投入されました。

それぞれの組織にそれぞれのご事情があるはずなので、上記の取組を推奨するわけではありません。

最短スケジュールでは、内部監査とマネジメントレビューを第1段階審査までに実施していない場合、重大な不適合として指摘されるのでご注意ください。第2段階審査までに実施することで重大な不適合を是正します。

取得までの期間が長くなるケース

まず、長くなるからいけないというわけではありません。いずれにせよ認証取得後も継続的に審査が行われる以上、初回認証取得までに完璧に仕上げる必要も無い、だからある程度のところで審査を受けてみようという考え方は「あり」だと思います。

過去のご支援上、長期化したケースは、最初から長期計画である場合を除けば以下のようなケースです。

• 検討事項になかなか結論が出ない
  （例えば、プロジェクトメンバーにほとんど権限が無いような場合）
• プロジェクトの途中で組織や事業の内容が変動する
• プロジェクトメンバーが頻繁に入れ替わる

また、取り組む目的によっても、長期化するケースがあります。

例えば、認証取得よりもリスクマネジメントの改善やセキュリティレベルの向上に重きを置かれているケースでは、長期化しやすいです。これらのケースは、システムが運用されているだけでは足りず、それぞれのパフォーマンスが上がっている必要があるからです。