要看規模(認證範圍成員數量，以及業務內容)
而且還要看上面是要玩真的還是玩假的

現在27001要惡搞也可以弄得像9000那樣的paper work
不過前提是實體建設要有起碼的水準

要認真玩也可以燒出一堆錢；累死一堆人....

要做的事情喔.....
最少要先把認證範圍內的資產(包含軟硬體設施、業務、人員、表單....)做一個分類與清點
然後對這些資產進行風險評鑑
再來對評鑑結果中，高風險的資產提出改善計畫
接下來是對這些資產風險管控作一系列的追蹤與管考
最後以上各項步驟形成一個循環，每年要檢討精進

所以要花多少錢、時間、以及人力
就要看認證範圍有多大；參與人員有多少。當然範圍越大；人越多就越花時間
還有原始的基礎建設、相關制度是否完善，也是導入時程長短所考量的重點
而且這些都牽扯到$

一般請顧問導入都要花費六個月以上的時間
當然還有更短的，就看是要玩真的還是假的