Om het certificaat te krijgen moet de compliance van jouw organisatie met de norm getoetst worden door een externe auditor. De auditor zal tijdens de certificeringsaudit beoordelen of jouw organisatie de juiste set van maatregelen, processen en procedures voor informatiebeveiliging passend bij jouw organisatie hanteert.
Je behoudt het certificaat door jouw compliance jaarlijks te laten beoordelen door een externe auditor. Wanneer de externe auditor jouw compliance bevestigt, hercertificeer je voor de norm.