Hay una serie de factores que pueden determinar el tiempo que se necesita. El factor crucial es el alcance de la certificacin, que a su vez comprende cosas como: el tamao de la organizacin, el nmero y la complejidad de los procesos, el nmero de ubicaciones y el nmero de empleados. Y tambin la madurez de la capacidad y los conocimientos en materia de seguridad de la informacin que ya tiene la organizacin. En general, con el aumento del tamao y la complejidad aumenta el tiempo y el esfuerzo. El proceso tambin puede ser ms rpido si la organizacin ya tiene experiencia en normas de sistemas de gestin, como la de calidad ISO 9001.
Siempre recomendamos que la obtencin de la certificacin ISO 27001 se trate como un proyecto y se gestione en consecuencia. Esto puede hacerse internamente o con el apoyo de un consultor ISO 27001 - nuestro equipo de ventas puede ayudar a las organizaciones a decidir y tambin recomendar consultores con los que tenemos un alto grado de confianza.
Los proyectos bien gestionados con personal experimentado pueden durar de 2 a 3 meses, aunque no es raro que superen los 6 meses. En circunstancias ideales, la organizacin tendr un sistema de gestin plenamente operativo antes de que se realicen las auditoras. Hacia el final del proyecto, la organizacin se someter a una breve auditora de la fase 1, que es esencialmente una comprobacin de la preparacin. A continuacin, se realiza una auditora de segunda fase, que suele durar varios das, y en la que se revisan todos los requisitos de la norma y los controles de seguridad de la informacin de la organizacin.