Spring til indhold
ISMS.online

Hvor lang tid tager ISO 42001-certificering? Tidslinjeguide for 2026

Et typisk ISO 42001-certificeringsprogram tager 3 til 9 måneder fra start til slut. Omfang, AI-modenhed og om du allerede har ISO 27001, påvirker alle tallet. Denne vejledning opdeler tidslinjen fase for fase, så du kan planlægge med ro i sindet.

Forfatter
Max Edwards
Opdateret 27. april 2026
4/5 stjerner

Hvor lang tid tager ISO 42001-certificering i gennemsnit?

De fleste organisationer opnår ISO 42001-certificering på 3 til 9 måneder fra opstart til en bestået fase 2-revision. Den brede variation afspejler reelle forskelle mellem programmer snarere end udfyldning. En skaleret AI-udvikler med et modent ISO 27001-ledelsessystem, et defineret omfang og ledelsessponsorering kan nemt klare sig inden for 3 til 5 måneder. En mellemstor organisation, der starter fra bunden, med flere AI-use cases og intet eksisterende ledelsessystem at udnytte, har typisk brug for 6 til 9 måneder.

Den mest nyttige måde at planlægge på er ikke et enkelt overordnet tal. Det er et fase-for-fase estimat, der afspejler dit udgangspunkt, omfanget af dit AI-styringssystem og de ressourcer, du kan dedikere til programmet. Denne guide gennemgår hver fase med konkrete ugentlige og månedlige estimater, sammenligner startende fra nul med allerede afholdte ISO 42001 vs ISO 27001, og viser hvor ISMS.online komprimerer arbejdet.

Tidslinje i et overblik

Fase Starter fra nul Allerede ISO 27001-certificeret ISMS.online accelerator
Scoping og gap-analyse 2 4 uger til 1 2 uger til Færdigbygget AIMS-scoping-skabelon, mangelanalyse arbejdsbog og bilag D-kortlægning for ISO 27001-overlapning
Kontekst, lederskab, AI-politik 2 4 uger til 1 2 uger til Forududarbejdet AI-politik, kontekst for organisationsskabelonen og artefakter fra ledelsens engagement
AI-risiko- og konsekvensanalyser 3 6 uger til 2 3 uger til Dedikeret AI-risikoregister (punkt 6.1.2) og register over AI-systemers konsekvensanalyse (punkt 6.1.4) med scoringsskabeloner
Implementering af kontrolforanstaltninger (bilag A) 6 12 uger til 3 6 uger til 38 forudkonfigurerede Bilag A kontrollerer med bevisforbindelse og ejertildeling
Politikbibliotek, træning, evidens 4 8 uger til 2 4 uger til Politikpakker med versionskontrol, godkendelsesworkflows, attestationer og implementeringssporing
Intern revision og ledelsesgennemgang 2 4 uger til 1 3 uger til Revisionsstyringsmodul med planlægning, udførelse, resultater og gennemgangspakke til paragraf 9.3
Fase 1-revision (certificeringsorgan) 1 2 uger til 1 2 uger til Levende Anvendelseserklæring og revisionsklart bevisbibliotek
Lukning af afvigelser 2 4 uger til 1 2 uger til Korrigerende handlingsprocesser knyttet til fund med sporing af afslutninger
Fase 2 revision 1 2 uger til 1 2 uger til Enkelt kilde til sandhed for beviser, kontroller og styringssystemregistre
I alt forløbet ~5 til 9 måneder ~3 til 5 måneder 30 til 50 procent hurtigere

Faser overlapper hinanden i praksis. Du kan udarbejde politikker, mens risikovurderinger er i gang, og du kan begynde at implementere kontroller, før hver konsekvensanalyse er færdiggjort. Ovenstående totalværdier forudsætter en realistisk grad af parallelisering, ikke et strengt sekventielt vandfald.

Hvad er faserne i et ISO 42001-program?

Hvert ISO 42001-program gennemgår de samme faser, uanset om du er en AI-startup med 30 personer eller en global virksomhed. Variablerne er, hvor lang tid hver fase tager, og hvor meget der kan genbruges fra et eksisterende ledelsessystem.

ISO 42001-certificeringstidslinje efter fase, der sammenligner startende fra nul, startende fra en eksisterende ISO 27001-certificering og brug af ISMS.online-acceleratorer på tværs af ni faser fra scoping til fase 2-revision

Fase 1: Scoping og gap-analyse (2 til 4 uger)

Definer grænserne for AI-styringssystemet. Det betyder at beslutte, hvilke AI-systemer, forretningsenheder, geografiske områder og tredjepartsafhængigheder der er omfattet. mangelanalyse kortlægger derefter din nuværende tilstand i forhold til de 10 klausuler i ISO 42001 og de 38 kontroller i bilag A. Outputtet er en prioriteret arbejdsplan med ejere, estimeret indsats og en realistisk målcertificeringsdato. Organisationer med et modent ISO 27001-program afslutter ofte denne fase på en uge, fordi meget af kontekst-, interessent- og aktivopgørelsesarbejdet allerede eksisterer.

Fase 2: Kontekst, lederskab og AI-politik (2 til 4 uger)

Klausul 4 (organisationens kontekst), klausul 5 (ledelse) og klausul 5.2 (AI-politik) skal være på plads tidligt. Det er her, du dokumenterer interesserede parter, deres behov og forventninger, interne og eksterne problemstillinger, ledelsens engagement, AI-politik, roller og ansvar samt målsætningerne for AIMS. Intet af dette er AI-specifikt ingeniørarbejde. Det er governance-stilladsering, som enhver efterfølgende fase afhænger af.

Fase 3: Risiko- og konsekvensanalyser af AI (3 til 6 uger)

ISO 42001 kræver to separate vurderinger, som ikke findes i ISO 27001. Risikovurderingen for kunstig intelligens (punkt 6.1.2) identificerer og behandler risici for opnåelsen af ​​AIMS-mål. Konsekvensvurderingen af ​​kunstig intelligens-systemer (punkt 6.1.4) vurderer konsekvenserne af kunstig intelligens-systemer for enkeltpersoner, grupper og samfundet. Bilag B giver normativ implementeringsvejledning for begge. Det er i denne fase, at nye programmer bruger mest tid, fordi koncepterne er nye, selv for teams med erfaring i risikostyring for informationssikkerhed.

Fase 4: Implementering af kontroller (6 til 12 uger)

Bilag A indeholder 38 kontroller på tværs af 9 kontrolområder (A.2 til A.10). Hver relevant kontrol kræver en implementering, en ejer og dokumentation. Kontrollerne spænder over AI-politikker, intern organisation, ressourcer, konsekvensanalyse, AI-systemets livscyklus, datahåndtering, information til interesserede parter, ansvarlig brug og relationer med tredjeparter. Dette er den længste fase for de fleste programmer og den, der drager størst fordel af et præbygget kontrolbibliotek.

Fase 5: Politikbibliotek, træning og evidens (4 til 8 uger)

Klausul 7.5 kræver, at dokumenterede oplysninger identificeres, gennemgås, godkendes, versionskontrolleres og er tilgængelige på brugssteder. I praksis betyder det et politikbibliotek, et trænings- og oplysningsprogram og en proces til indsamling af bevismateriale, der ikke er afhængig af, at nogen husker at placere filer i en delt mappe. Organisationer, der kører dette manuelt, tilføjer typisk 3 til 4 ugers overhead på tværs af programmet, som en struktureret platform fjerner.

Alt du behøver til ISO 42001, på ISMS.online

Alt hvad du behøver til ISO 42001

Struktureret indhold, kortlagte risici og indbyggede arbejdsgange, der hjælper dig med at styre AI ansvarligt og med selvtillid.

Kom i gang

Fase 6: Intern revision og ledelsesgennemgang (2 til 4 uger)

Før et certificeringsorgan booker din fase 1-audit, skal du have gennemført mindst én intern audit (punkt 9.2) og én ledelsesgennemgang (punkt 9.3). Den interne revision kontrollerer, at AIMS er implementeret og effektivt. Ledelsesgennemgangen er ledelsesteamets gennemgang af auditresultater, afvigelser, risici, muligheder og behovet for ændringer. Begge producerer dokumenterede output, som den eksterne revisor vil kigge efter i fase 1.

Fase 7: Fase 1-revision (1 til 2 uger)

Fase 1 er en dokumentations- og parathedsrevision. Certificeringsorganet gennemgår din AIMS-dokumentation, Anvendelseserklæring, omfang, politikker, risiko- og konsekvensanalyser, intern revision og resultater fra ledelsesgennemgangen. Revisoren identificerer eventuelle mangler, der ville forhindre en vellykket fase 2. Varigheden er typisk 1 til 3 dage med revisoren, derefter en skriftlig rapport. Der kan gå 1 til 2 uger, inklusive planlægning og behandling af rapporten.

Fase 8: Afslutning af afvigelser (2 til 4 uger)

Fase 1 afslører normalt mindre fund. Nogle er øjeblikkelige rettelser (en manglende politikversion, en usigneret godkendelse). Andre tager længere tid (en kontrol, der kræver yderligere dokumentation, eller en risiko, der kræver dokumenteret behandling). Du skal lukke større fund inden fase 2 og demonstrere en plan for mindre fund. Velforberedte programmer afslutter denne fase på 1 til 2 uger. Programmer, hvor fase 1 afslører strukturelle problemer, kan tage op til 4 uger eller mere.

Fase 9: Fase 2-revision (1 til 2 uger)

Fase 2 er certificeringsrevisionen. Revisoren tester, om jeres AIMS er implementeret og effektivt på tværs af omfanget, ikke blot dokumenteret. Forvent revisorinterviews med kontrolejere, gennemgang af AI-systemets livscykluskontroller, stikprøveudtagning af bevismateriale og test af risiko- og konsekvensanalyseprocessen. Typisk varighed er 2 til 5 revisordage afhængigt af omfanget. Hvis der ikke er større fund, udsteder certificeringsorganet ISO 42001 certificering anbefaling, som certificeringsorganet derefter ratificerer og udsteder certifikatet.

Overvågning og recertificering

Certifikatet er gyldigt i 3 år med overvågningsrevisioner i år 1 og 2 og en recertificeringsrevision i år 3. Overvågningsrevisioner varer typisk 1 til 2 revisordage og fokuserer på en stikprøve af kontroller, ændringer i AIMS, resultater fra ledelsesgennemgangen og eventuelle hændelser. Recertificering er en mere omfattende revision, normalt 2 til 4 dage. Budgetter omkring 5 til 10 dages intern indsats pr. overvågningsrevision, hvis din dokumentation er i orden. Væsentligt mere, hvis den ikke er.

Hvordan fremskynder ISO 27001-certificering ISO 42001?

Organisationer, der allerede har ISO 27001, opnår typisk ISO 42001-certificering 30 til 50 procent hurtigere. Årsagen er strukturel. ISO 42001 er bygget på Annex SL's overordnede struktur, som deles af ISO 27001, ISO 9001, ISO 14001 og de fleste moderne ledelsessystemstandarder. Annex D i ISO 42001 giver en eksplicit kobling til ISO 27001. Overlapningen er betydelig på fire områder.

  • Klausuler i bilag SL kan genbruges. Punkt 4 (kontekst), 5 (ledelse), 7 (støtte), 9 (præstationsevaluering) og 10 (forbedring) er strukturelt identiske mellem ISO 27001 og ISO 42001. Din eksisterende kontekst for organisationen, analyse af interessenter, intern revisionsprogram, ledelsens gennemgangskadence og processen for korrigerende handlinger gælder alle med mindre udvidelser.
  • Bilag D kortlægger kontroller én til én, hvor det er relevant. Mange ISO 42001 Anneks A-kontroller har en direkte modpart i ISO 27001 Anneks A. Leverandørstyring, dokumenteret information, adgangskontrol, hændelsesstyring og revisionsstyring overføres alle. Du udvider, ikke erstatter.
  • Overførsel af risikostyringsmetoder. Den risikovurderings- og behandlingstilgang, som I allerede bruger til informationssikkerhed, kan anvendes direkte på AI-risici (punkt 6.1.2), med AI-specifikke kriterier ovenpå. Det nye arbejde er AI-systemkonsekvensvurderingen (punkt 6.1.4), som er en separat disciplin.
  • Der findes forvaltnings- og uddannelsesinfrastruktur. Politikbiblioteket, godkendelsesworkflows, trænings- og oplysningsprogrammet og evidensindsamlingsprocesserne understøtter allerede ISO 27001. Tilføjelse af ISO 42001-politikker, træningsmoduler og evidensstrømme er en ekstra omkostning, ikke en nyudvikling.

Den praktiske effekt er, at implementeringen af ​​kontroller typisk halveres (fra 6 til 12 uger ned til 3 til 6 uger), politik og træning komprimeres fra 4 til 8 uger ned til 2 til 4 uger, og intern revision og ledelsesgennemgang ofte kan integreres i eksisterende cyklusser i stedet for at køre uafhængigt af hinanden. Derfor Allerede ISO 27001-certificeret Kolonnen i tidslinjetabellen er så meget kortere.

Hvilke faktorer fremskynder eller sinker certificering?

Hovedintervallet (3 til 9 måneder) skjuler en stor variation. Det er disse variabler, der flytter programmer til den hurtige eller langsomme ende af intervallet.

Faktorer, der fremskynder certificering

  • Et eksisterende ISO 27001-ledelsessystem. Den største enkeltstående accelerator. 30 til 50 procent hurtigere i gennemsnit.
  • Et snævert afgrænset AIMS. Færre AI-systemer i omfang, færre forretningsenheder og færre geografiske områder komprimerer alt sammen tidslinjen. Start med at snævre det ind, udvid det senere.
  • Direktionssponsorering. Lederskabets engagement (punkt 5.1) er ikke blot et dokumentationskrav. Det er det, der frigør ressourcer, budgetter og tværfaglig tid.
  • En dedikeret programleder. Deltidsansvar hos en allerede travl compliance-chef fordobler typisk den tid, der går, i forhold til en dedikeret programleder.
  • En præbygget AIMS-platform. En struktureret AI Management System (AIMS) Framework, kontrolbibliotek og policypakke fjerner ugers udarbejdelsesarbejde.
  • Ryd AI-inventar. Organisationer, der allerede ved, hvilke AI-systemer de udvikler, implementerer og bruger, bevæger sig hurtigere end dem, der starter med en opdagelsesproces.

Faktorer, der bremser certificering

  • Uklart omfang. Omfangsforskydninger under programmet er en af ​​de hyppigste årsager til, at tidsfrister fordobles. Fastgør omfanget tidligt, og håndter ændringerne gennem en formel gennemgang.
  • Komplekse AI-anvendelsessager. Organisationer, der udvikler AI-systemer med stor effekt (sikkerhedskritiske, regulerede eller påvirker enkeltpersoner i stor skala), har brug for dybere konsekvensanalyser, mere valideringsdokumentation og mere omfattende dokumentation af livscyklus i henhold til bilag A.6.
  • Afhængigheder fra tredjeparter. Bilag A.10 kræver leverandørvurderinger af AI-systemer og -tjenester. Hvis du er meget afhængig af tredjepartsmodeller eller AI-værktøjer, kan leverandørdue diligence-arbejdet forlænges med flere uger.
  • Lav data- og AI-modenhed. Organisationer, der mangler en dataopgørelse, en modelopgørelse eller en dokumenteret AI-udviklingsproces, skal bygge disse fra bunden, før kontrollerne i bilag A.6 og A.7 kan implementeres.
  • Manuel værktøjsarbejde. Kørsel af programmet på regneark, SharePoint og e-mail øger typisk tidsforbruget med 25 til 40 procent på grund af overhead i forbindelse med versionskontrol, sporbarhed og dokumentation.
  • Tidsplanlægning for certificeringsorgan. Datoer for revision i fase 1 og fase 2 skal bookes 6 til 12 uger i forvejen hos de fleste certificeringsorganer. Sen booking er en almindelig årsag til forsinkelser.
ISMS.onlines kraftfulde dashboard

Kom nemt i gang med en personlig produktdemo

En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.

Book din demo

Kan ISMS.online komprimere din ISO 42001-tidslinje?

Ja. ISMS.online er bygget specifikt til ISO 42001 med et prækonfigureret AIMS, et komplet Annex A-kontrolbibliotek og dedikerede AI-risiko- og konsekvensanalyseværktøjer. Platformen fjerner det arbejde med udarbejdelse, strukturering og sporbarhed, der bruger uger på manuelle programmer. Effekten er synlig i hver fase af tidslinjen.

I praksis starter organisationer fra nul med ISMS.online når typisk fase 2 på 4 til 6 måneder i stedet for 6 til 9. Organisationer med et eksisterende ISO 27001-ledelsessystem i ISMS.online når ofte fase 2 på 2 til 4 måneder, fordi den underliggende forvaltningsinfrastruktur (risikoregister, bevisbibliotek, revisionsprogram) allerede opfylder begge standarder. implementeringsvejledning og ISO 42001-overholdelsestjekliste begge sidder inde i platformen, så arbejdsplanen er operationel fra dag ét.

Omkostninger og tidslinje er forbundet. Hurtigere programmer koster typisk mindre i intern tid, konsulenthonorarer og forsinkelsesrelateret risiko. For en fuldstændig oversigt over det økonomiske billede, se Prisen for ISO 42001-certificering side og det kommercielle argument for certificering i Er ISO 42001 det værd.

Hvorfor vælge ISMS.online til ISO 42001?

ISMS.online er den eneste platform, der er bygget fra bunden til ISO 42001, og som ikke er eftermonteret i et informationssikkerhedsprodukt. Enhver tidslinjeaccelerator, du ellers selv ville bygge, findes allerede i produktet.

  • Færdigbyggede AIMS på dag ét. Et fungerende AI Management System (AIMS) dækker alle 10 klausuler, så dit team begynder at skræddersy i stedet for at designe fra bunden.
  • 38 prækonfigurerede Annex A-kontroller. Fuld Bilag A kontrollerer bibliotek med ejertildeling, evidenskobling og implementeringsvejledning, hvilket fjerner ugers opsætningsarbejde.
  • AI-specifikke risikoværktøjer. Dedikerede registre for AI-risiko (punkt 6.1.2) og AI-systempåvirkning (punkt 6.1.4) med scorings-, behandlings- og gennemgangscyklusser, der er i overensstemmelse med den normative vejledning i bilag B.
  • Live-erklæring om anvendelighed. En løbende opdateret Anvendelseserklæring, ikke et statisk Word-dokument, så fase 1-parathed er et spørgsmål om timer snarere end dage.
  • Integreret revisionsstyring. Planlæg, udfør og afslut interne revisioner (punkt 9.2) og ledelsesgennemgange (punkt 9.3) i platformen, med resultater knyttet til korrigerende handlinger og sporet til afslutning før ISO 42001 revision.
  • Problemfri ISO 27001-integration. Én platform, ét risikoregister, ét evidensbibliotek, ét revisionsprogram for organisationer, der anvender begge standarder. Anneks D-kortlægning er indbygget, så overlap udnyttes automatisk.
  • Metode med sikre resultater. En dokumenteret implementeringsmetode, der har hjulpet hundredvis af organisationer med at opnå certificering første gang, bakket op af onboarding, implementeringsstøtte og live menneskelig hjælp.

Klar til at se platformen i aktion? Book en demo at se hvordan ISMS.online kan komprimere din ISO 42001 tidslinje.

Ofte Stillede Spørgsmål

Hvor lang tid tager det at få en ISO 42001-certificering fra bunden?

Typisk 5 til 9 måneder fra programstart til en bestået fase 2-revision, forudsat at AIMS er snævert afgrænset, en dedikeret programleder og rimelig ledelsessponsorering. Organisationer med komplekse AI-use cases, et bredt omfang eller begrænsede interne ressourcer kan strække sig ud over 9 måneder. En præbygget platform og en klar beslutning om omfang i starten er de to største løftestænger for at holde sig inden for den korte ende af intervallet.

Hvor meget hurtigere er ISO 42001, hvis vi allerede har ISO 27001?

Typisk 30 til 50 procent hurtigere – ofte 3 til 5 måneder fra start til slut. Begge standarder følger den overordnede struktur i Annex SL, og Annex D i ISO 42001 er direkte knyttet til ISO 27001. Klausuler om kontekst, lederskab, support, præstationsevaluering og forbedringer kan i vid udstrækning genbruges. Mange kontroller i Annex A (leverandørstyring, dokumenteret information, revisionsstyring) udvider snarere end replikerer eksisterende ISO 27001-kontroller. Det virkelig nye arbejde er risiko- og konsekvensanalyser af AI og AI-systemets livscykluskontroller i Annex A.6.

Hvad er forskellen på en ISO 42001-revision i fase 1 og en fase 2?

Fase 1 er en dokumentations- og parathedsrevision. Certificeringsorganet kontrollerer, at din AIMS-dokumentation, anvendelighedserklæring, omfang, politikker, risiko- og konsekvensanalyser, intern revision og ledelsesgennemgang er på plads og velformulerede. Fase 2 er certificeringsrevisionen, hvor revisoren tester, om AIMS rent faktisk er implementeret og effektivt på tværs af omfanget. Fase 1 tager normalt 1 til 3 revisordage. Fase 2 tager normalt 2 til 5 revisordage afhængigt af omfanget.

Hvor lang er der mellem fase 1 og fase 2?

Typisk 4 til 12 uger. Pausen giver dig tid til at afslutte resultaterne fra fase 1, indsamle yderligere dokumentation om nødvendigt og registrere fase 2 i certificeringsorganets kalender. De fleste certificeringsorganer kræver, at fase 2 finder sted inden for 6 måneder efter fase 1. Velforberedte programmer kan klares inden for 4 til 6 uger. Programmer, hvor fase 1 afslører strukturelle problemer, kan have brug for alle 12 uger eller mere.

Hvor længe er et ISO 42001-certifikat gyldigt?

Tre år. Overvågningsrevisioner finder sted i år 1 og 2 for at bekræfte, at AIMS stadig fungerer effektivt. En recertificeringsrevision i år 3 genudsteder certifikatet for endnu en 3-årig cyklus. Overvågningsrevisioner varer typisk 1 til 2 revisordage og fokuserer på en stikprøve af kontroller, ændringer i AIMS, resultater fra ledelsesgennemgangen og eventuelle hændelser. Recertificeringsrevisioner er mere omfattende og varer normalt 2 til 4 dage.

Kan vi blive ISO 42001-certificeret på under 3 måneder?

Under snævre omstændigheder, ja. En lille organisation med et snævert omfang, et modent ISO 27001-ledelsessystem, en dedikeret programleder og en præbygget AIMS-platformen kan realistisk set nå fase 2 på 8 til 12 uger. Dette er undtagelsen snarere end normen. De fleste organisationer bør planlægge 3 til 5 måneder med et ISO 27001-fundament eller 5 til 9 måneder uden et. At komprimere til under 3 måneder kræver normalt ekstern implementeringsstøtte oven på en stærk platform.

Hvad tager længst tid i et ISO 42001-program?

Implementeringen af ​​kontroller for Anneks A er normalt den længste fase – 6 til 12 uger fra bunden, 3 til 6 uger med et ISO 27001-fundament. Inden for denne fase kræver Anneks A.6 AI-systemlivscykluskontroller og Anneks A.7-data for AI-systemkontroller typisk den største indsats, fordi de kræver AI-specifik dokumentation, valideringsbeviser og dataoprindelsesregistre, som ikke findes i de fleste organisationer ved programmets start.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.