De Raad voor Accreditatie laat twee instellingen officieel toe voor de certificatie van informatiebeveiliging. Kema en Kpmg Certification bieden nu een dienst aan waarbij wordt nagegaan of een organisatie de juiste beveiligingsmaatregelen heeft genomen en of deze afdoende werken.
Basis voor het certificatieschema vormt de Nederlandse vertaling van de Britse richtlijn BS 7799, de ‘Code voor Informatiebeveiliging’. Het is tot stand gekomen in een project gecoördineerd door Icit (Instituut ter bevordering van de keuring en Certificatie van Informatie Technologie) en gesubsidieerd door EZ. Andere betrokkenen waren: Fenit; het Advies- en Coördinatiepunt Informatiebeveiliging (Acib) bij Biza; en diverse bedrijven, waaronder ABN Amro, Akzo-Nobel, IBM, ING, KPN, Philips, Rabobank en Shell. Deze bedrijven leveren vertegenwoordigers voor ‘colleges van deskundigen’. Die colleges zien bij de certificerende instellingen toe op de toetsingsactiviteiten.
De toetsing betreft allerlei (organisatorische, fysieke en technische) maatregelen die voor informatiebeveiliging van belang zijn, Aandachtsgebieden zijn ondermeer beleid, planning, toezicht, software, hardware, personeel en huisvesting. De maatregelen moeten goed beschreven zijn, adequaat geïmplementeerd zijn en effectief werken.
