各获证组织:
国际标准化组织(ISO)于2022年10月发布了ISO/IEC 27001:2022《信息安全、网络安全和隐私保护 信息安全管理体系 要求》,该标准代替了ISO/IEC 27001:2013。国际认可论坛(IAF)成员大会,在2022年8月发布了IAF MD26:2022《ISO/IEC 27001:2022转换要求》(第1版)。该文件识别了ISO/IEC 27001:2022的主要变化及影响,提出了本次转换周期,并规定了认可机构和认证机构实施转换过程的具体要求。
中国合格评定国家认可委员会(CNAS)根据国际组织要求结合自身开展ISMS认证机构认可业务的工作实践,在2022年11月14日发布了认可说明文件CNAS-EC-066:2022《关于ISO/IEC 27001:2022认证标准换版的认可转换说明》。
我中心根据CNAS和IAF的相关要求,将开展ISO/IEC 27001:2022认证标准转换活动。现就ISO/IEC 27001:2022认证标准转换工作通知如下:
(一) 2025年10月31日之前,完成对所有认证标准包含ISO/IEC 27001:2013的认证证书获证客户转换工作。2025年11月1日起认证标准包含ISO/IEC 27001:2013的认证证书全部失效。
(二) 根据CNAS转换要求,为了保护认证客户的利益,我中心将从2023年10月31日之后不再颁发认证标准包含ISO/IEC 27001:2013的初次认证证书;从2024年10月31日之后不再颁发认证标准包含ISO/IEC 27001:2013的再认证证书,但证书变更可以。对已签订的认证标准包含ISO/IEC 27001:2013的认证合同必须确保在相应日期之前完成现场审核和认证决定工作,对于因认证决定过程评定发现的问题导致未能通过的,需要客户依据新版标准要求建立管理体系后重新申请认证。
(三) 因CNAS刚刚开展依据ISO/IEC 27001:2022标准的认可工作,在我中心取得新标准认可之前颁发的认证证书不带有CNAS认可标识,待通过认可后我们将根据认可范围为您更换带有认可标识的认证证书。
(四) 相关获证组织可以结合年度监督或再认证审核完成ISO/IEC 27001:2022标准的转换工作,结合监督审核完成标准转换的现场审核需要至少增加0.5审核人天(具体审核人天需要根据实际情况评审后确定),以确定客户是否满足转换要求。
(五) 本次换版工作具体事宜请与中检集团各地公司或认证中心体系部联系。
地方公司联系信息请网站查询https://ccic.e-ciie.com/cn/
认证中心联系人:刘湛010-83886959;刘彦龙010-83886621
特此通知。
附件:
1. 附件1:CNAS-EC-066_2022《关于ISOIEC 27001_2022认证标准换版的认可转换说明》20221115
2. 附件2:IAF_MD_26_Transition_requirements_for_ISOIEC_27001-2022_09082022
中国质量认证中心
2022年11月18日