Zoals in de video's wordt toegelicht werken wij prettig samen met drie certificerende instellingen. Dat wil natuurlijk niet zeggen dat andere certificerende instellingen minder goed zijn. Wij werken met drie partijen: 

1. Kiwa (https://www.kiwa.com/nl/nl/diensten/certifichttps://www.kiwa.com/nl/nl/diensten/certificering/iso-27001/ering/systeemcertificering/) 
   Dit is één van de grotere certificerende instellingen. Ze bestaan uit veel samengevoegde bedrijven. In de praktijk vind ik ze vooral praktisch, nuchter en positief ingesteld. De insteek is vaak dat ze op zoek gaan naar conformiteit (en dus niet zoeken naar afwijkingen), wat een prettig uitgangspunt is. Dat wil niet zeggen dat ze minder streng zijn of makkelijker, maar het zegt meer iets over de toon. 
   
   
2. DNV (https://www.dnv.nl/services/iso-27001-certificering-31903/)
   DNV is de grootste certificerende instelling. Ze onderscheiden zich doordat ze bij audits altijd vragen naar een aandachtsgebied. Zo kun je ervoor kiezen om een voor belangrijk onderdeel eruit te lichten. Dit is fijn als je bijvoorbeeld een nieuw product hebt ontwikkeld, als je een grote migratie hebt gepland of uitgevoerd of als er iets anders speelt wat je graag goed getoetst wilt hebben. 
   
   
3. NCI (https://nci-certificering.nl/normen/iso-27001/)
   NCI is een wat kleinere certificerende instelling en dat heeft als voordeel dat er wat makkelijker afgestemd kan worden met de planning of direct met de auditor. Er is wat minder bureaucratie. Wat wel een aandachtspunt is, is dat NCI vaak vooraf al de nodige documentatie wil ontvangen en hier alvast doorheen gaat. Dit is dus wel een aandachtspunt in de projectplanning.

Qua tarieven zijn er over het algemeen geen erg grote verschillen. De tijdsbesteding bepalen ze allemaal op basis van een verplicht document van de Raad voor Accreditatie (de organisatie die de certificerende instellingen toetst). Die tijdsbesteding kan op basis van risico's en complexiteit wel worden aangepast, dus het komt wel voor dat er een andere inschatting wordt gemaakt. 

Het grootste verschil zit altijd in welke auditor je uiteindelijk krijgt. Dit is ongeacht de organisatie nooit helemaal te voorspellen. Natuurlijk toetsen ze allemaal dezelfde norm, maar de manier waarop en de focus verschilt per persoon.