ISMS（ISO27001）は、最短で、短期だと４か月で取得完了できた事例があります。
通常、ISMS（ISO27001）取得には６か月～１年かかると言われていますが、できるなら最短で、短期で取得したいですよね。
本記事では、できるだけ早く取得するためのポイントや、短期取得の場合のスケジュールなどを解説していきます。

１．ISMS（ISO27001）を最短、短期で取得するとは？

ISMS（ISO27001）を取得するとなった場合、多くの人ができるだけ早く取得したいと考えています。
ISMS（ISO27001）の取得は、通常では６か月～約1年かかるため、６か月以内で取得できれば短期で取得できたこととなります。

２．最短４か月！そのために必要なこと

最短となるとその期間はわずか4か月です。
この４か月取得を実現するために必要なことが3つあります。

1つ目はいつまでに取得したいか明確な日付を決めること
2つ目は体制を整備すること
3つ目は現状把握をすること

まずはこの3つができれば4か月での取得が見えてきますが、
もう1つ考えていただきたいのがコンサルティング会社の選定です。

コンサルティング会社にも多様なサービスがあります。
アドバイスのみを行っているところに依頼すると作業をするのは自分たちとなるため、短期取得は難しいでしょう。
短期取得の場合は、アドバイスだけではなく、作業や運用を主導で進めてくれるコンサル会社に依頼することをオススメします。

３．ISMS（ISO27001）を最短、短期で取得したスケジュール事例

実際に4か月で取得したK社（大阪府／システム開発／８名）の事例を紹介します。

K社では8月中に認証したいという目標があり、ISOのご担当者は１名、構築や運用は外部のコンサルティング会社に依頼していました。

5月　　情報セキュリティマネジメントシステムの構築
構築が完了したらすぐに運用をスタート
同時進行で審査機関を選定し、審査の申込（＝申請）をする
6月　　一通り運用が完了
6月末　一次審査
7月末　二次審査
8月　　認証完了

ISO担当者が残業をしたり、本業への影響が出るということもなく、目標通り8月に認証が完了しました。
これは、前述した必要なこと3つが実施できていたことで達成できたことです。

もし取得希望日が決まっていなければ、審査機関の選定など、先手を打たなければならないことが後手に回ってしまいます。
体制が整っておらず担当者が決まっていないとなると、そもそも宙に浮いたままの状態で進みません。
そして、ISMSの構築をスムーズに進めるためには、まずどんなルールや課題があるのか、組織の現状を把握しておく必要があります。

4か月で取得といったような急ぎの場合でなくとも、コンサルティング会社のサポートを利用しないとISMSの構築は容易ではありません。

４．ISMS（ISO27001）を最短、短期で取得するメリット、デメリット

ISMS（ISO27001）最短あるいは短期で取得することが可能だと理解していただけたかと思います。
短期取得には、メリットもデメリットもあります。

・メリット
最大のメリットは、早ければその分早く外部に認証完了アピールをし始められることです。
ISOを取得する理由で一番多いのは顧客要求ですので、その目的を早く達成できます。
それ以外にも、今までは暗黙のルールであったことが早く明確になること、競合他社がまだ取得していなかった場合には差がつけられることになります。

・デメリット
デメリットとしては、早すぎるがゆえに組織の一部がついていけず、体制や構築したルールが浸透していない可能性があることです。
ただこれは取得時あるいはそれ以前の問題であって、取得後も運用を継続することが半永久的に必要なので、遅からずこの問題は解決されます。

5．その期日、本当に妥当ですか？

ISMS（ISO27001）を取得したいという声の多くは「なるべく早く取得したい」という人が多いですが、
反対に「ちゃんと運用してから取得したい」という人も少なくありません。
まずはいつまでにやるという具体的な日付を入れてみることです。
ちゃんと運用したいというところで取得までに1年や2年かかっている、あるいは取得を断念したという事例もあります。
期日が長いところや曖昧なところは、妥当かどうかを見直して見てください。