联系我们
扫一扫

扫一扫
了解申请进度

全国服务热线
010-82053536

诚聘英才
返回顶部

关于依据ISO/IEC 27001:2022版标准转换的通知

发布日期:2023/9/15

各获证客户:

国际标准化组织(ISO)于202210月发布了ISO/IEC 27001:2022《信息安全 网络安全 隐私保护 信息安全管理体系 要求》标准(以下简称“新版标准”),该标准代替了GB/T22080-2016/ISO/IEC27001:2013《信息技术 安全技术 信息安全管理体系 要求》(以下简称“旧版标准”)。依据国家认监委2015年第30号公告和国家认可委《关于ISO/IEC 27001:2022认证标准换版的认可转换说明》(CNAS-EC-CNAS-EC-066:2022) 2023 年 2 月 24 日第一次修订)的文件要求,为做好信息安全管理体系认证客户依据新版认证标准的认证和转换工作,特通知如下:

根据上述文件我中心于20239月15日正式开展依据ISO/IEC 27001:2022新版标准认证转换工作。

一、转版过渡时间:

1. 我中心自2023915日开始受理依据新版标准的信息安全管理体系认证申请,包括初次/监督/再认证。

2. 对于初次和再认证企业,2024430日前,企业需完成依据旧版标准认证事宜;但依据旧版标准颁发/换发的初次和再认证证书的有效期最长只能到20251031日。

3. 20244月30日起,我中心将全部按照新版标准实施初次和再认证审核,即不再安排旧版标准初次认证和再认证审核。

4. 2024130日之后中心将不再接受依据旧版标准的初次/再认证申请。特此说明:企业因自身原因导致不能按期(2024430日)取得旧版标准证书的,责任自负。

5. 为了保证可以在旧版证书失效前完成新版标准的转换,从2024年430日起,中心将不再安排依据旧版标准的初次/再认证审核。已按旧版标准颁发的信息安全管理体系认证证书,从2025年7月31日起,将不再安排依据旧版标准的监督审核。注:特殊情况特殊处理。

6. 2025年10月31日前须按新版标准转换完毕,未完成新版标准转换认证的获证企业,其依据旧版标准的认证证书将失效。

二、客户的转版准备

1. 企业已经分析识别了新旧标准要求的差异,并对企业的信息安全管理体系进行了调整,以便满足ISO/IEC 27001:2022标准的要求。

2. 企业的信息安全管理体系文件依据ISO/IEC 27001:2022标准进行了修订,并根据修订后的文件运行信息安全管理体系。

3. 企业对所有涉及信息安全管理体系有效性的部门进行了培训或告知其标准变化,内部审核员经过了ISO/IEC 27001:2022版标准培训或转换培训;

4. 依据ISO/IEC 27001:2022版标准实施了内审和管理评审。

三、新标准转版认证流程及要求

(一)申请

1. 对依据GB/T22080-2016/ISO/IEC27001:2013标准实施认证的获证企业实施以下三种转换方式:结合再认证审核转换、结合监督审核转换、专项转换方式。初次认证企业可直接按新标准申请认证。

2. 结合初次/再认证申请新版标准认证的企业,可以直接提交《管理体系认证申请表》及其要求的相关附件。

3. 结合监督申请新版标准转换认证的企业,在收到《体系监督审核通知》时勾选相应的选项,并回传我中心,同时在中心信息系统中提交变更项目,并附下列材料:

a) 满足ISO/IEC 27001:2022管理体系标准要求的体系运行控制文件(电子版);

b) 适用性声明(SoA

c) 适用时,风险处置计划的更新

d) 企业所选的、新的或变化的信息安全控制的实施情况及有效性

e) 已按照ISO/IEC 27001:2022要求实施的内审、管理评审证据;

4.  如专项申请新版标准转换审核的企业,在中心信息系统中提交变更项目(变更类型:标准变更)及上条a~ e)项所列材料。

(二)审核

1. 无论以任何方式申请新版标准转换认证(包括结合监督或者单独实施新版标准转换审核),均包括文件审核和现场审核两个环节。新版标准转换审核主要关注管理体系的符合性、有效性和绩效,从而确认客户是否符合新版标准要求。

2. 对于与再认证一并实施的新版标准转换审核,总审核人日在原来再认证人日计算的基础上,至少增加0.5审核人日。

3. 对于与监督一并实施的新版标准转换审核,总审核人日在原来监督审核人日计算的基础上,至少增加1个审核人日。

4. 对于单独申请专项新版标准转换审核的企业,转换审核至少安排1个审核人日。

(三)认证证书

1. 经审核确认客户信息安全管理体系已符合新版认证标准要求,经中心做出认证决定并经审批后,对满足新版标准要求的客户颁发/换发认证证书。

2. 按初次/再认证方式申请的新版标准转换的企业,将颁发有效期为三年的新证书;对于申请专项新版标准转换或结合监督转换的企业,换发证书的有效期与原证书相同。单因新版标准转换导致证书有效期截止到20251031日的,符合新标准要求后,将根据发证日期重新换发有效期为三年的证书。

  3. 在我中心通过国家认可委的新版标准认可转换之前,将依据ISO/IEC 27001:2022颁发/换发不带CNAS认可标识的信息安全管理体系认证证书。

  4. 依据ISO/IEC 27001:2022进行监督或单独专项新版标准转换,但未通过新版标准转换审核的获证企业,我中心将暂停直至撤销其原认证证书。

四、关于新版国际标准与新版国家标准衔接的特殊说明

  在新版国际标准(ISO/IEC 27001)发布后至新版国家标准发布实施前的期间内,我中心只接受依据新版国际标准的认证及转换申请,并且只能按新版国际标准颁发认证证书;待国家标准发布实施后,我中心将依据新版国家标准对认证过程进行复核,确保在整个认证过程中对新版国家认证标准要求理解实施准确到位。对符合新版国家认证标准要求的,在随后的第一次审核后换发新版国家标准的认证证书;对不符合新版国家标准要求的,将及时作出暂停或撤销认证的处理。

 

特此通知

 

 

 

 

泰尔认证中心有限公司

2023915

 



2024 泰尔认证中心有限公司 版权所有
Copyright © 2015 - 2024 TLC. All rights reserved.京ICP备05037059号