关于信息安全管理体系认证标准转换的公告
尊敬的认证客户:
国际标准化组织(ISO)、国际电工委员会(IEC)已于2022年10月发布了ISO/IEC 27001:2022《信息安全、网络安全和隐私保护 信息安全管理体系 要求》,该标准代替了ISO/IEC 27001:2013。过渡期为3年,2025年10月31日之后,ISO/IEC 27001:2013标准正式作废。
针对标准的转换,中质协质量保证中心(以下简称QAC)将过渡期内受理和转换安排工作公告如下:
一、标准转换相关要求
根据CNAS认可文件和IAF MD26决议的规定,认证机构对认证客户的转换不应晚于2025年10月31日。
二、标准修订的主要变化
1、正文部分做了编辑性修订,措辞更准确。
2、将附录A原14个控制域重新组织为4个控制主题:组织控制、人员控制、物理控制、技术控制。
3、将附录A原114个控制合并24个,更新58个,并根据网络安全、隐私安全的最新形势,新增11个控制:威胁情报,使用云服务中的信息安全,业务连续性的ICT准备,物理安全监控,配置管理,信息删除,数据屏蔽,数据泄露预防,监视活动,网页过滤,安全编码。
这些新的变化,特别是附录A控制的变化,可能使得认证客户原有的控制不够充分,需要引起足够的重视。
三、认证申请
1、2024年4月29日前,QAC仍可依据GB/T 22080-2016/ISO/IEC 27001:2013标准(以下简称旧版标准)受理认证申请,并颁发依据旧版标准的证书(证书有效截止日期为2025年10月31日);
2、即日起,QAC可受理、实施依据ISO/IEC 27001:2022(以下简称新版标准)认证的初次审核和再认证审核。
3、自2024年4月30日起,QAC将全部依据新版标准实施初次认证审核和再认证审核。
四、旧版证书的监督
对于已获得旧版证书的组织,在2025年10月30日之前,依然可以选择按旧版标准进行监督审核。
五、认证证书的转换方式和审核时间
依据CNAS-EC-066:2022《关于ISO/IEC27001:2022认证标准换版的认可转换说明》及IAF-MD26:2023《ISO/IEC27001:2022转换要求》,即日起,认证客户可以选择结合再认证、监督审核或专项现场审核方式进行转换:
1、当再认证审核同时实施标准转换,本次审核时间需在原再认证人日基础上至少增加0.5审核人日;
2、当监督审核同时进行标准转换时,监督审核时间需至少增加1.0审核人日;
3、当进行专项标准转换审核时,审核人日最少为1人日。
以上因标准转换增加的审核人日,视受审核方特定情况(如客户所在行业的风险级别、过程的复杂程度、客户准备的情况、外包情况及控制程度等),审核时间可能还会增加。
六、认证证书的有效期及证书更换
1、即日起,所有依据旧版标准的初次认证/再认证证书的有效截止日期基于旧版标准的作废日期,有效期至2025年10月31日。
2、对于在2022年11月1日至本公告发布前颁发的有效期超过2025年10月31日的依据旧版标准的信息安全管理体系认证证书,QAC将为客户免费更换证书,更换后的证书有效截止日期统一为2025年10月31日。
3、选择结合监督或专项现场审核方式换版的,认证证书的有效截止日期为原证书签发之日起三年。
除审核费用外,更换证书需收费100元。
4、选择再认证审核换版的,认证证书的生效日期从签发之日起,截止日期为原证书截止日期后三年。
注:对于第2、3种情况,需要更换证书。更换证书时,原则上请获证组织将原证书寄回中心;如自行销毁的,请提供完整销毁过程的视频。
七、客户换版程序
1、充分理解新旧标准变化,在组织内依据新版标准要求进行有效的换版培训,并完成内审员转换。中心可提供转版培训服务。
2、组织应就信息安全管理体系,针对新旧标准进行差异分析,分析新版标准对体系的影响。
依据新版标准要求修订和完善体系。
按新版标准要求重新评估风险、处置风险,必要时修订控制,并予以实施。
3、至少依据新版标准进行一次内部审核和管理评审。
4、向中心提出换版申请,并附修订后的文件信息说明(如清单)、适用性声明和其他必要的文件,如风险清单等。
5、接受中心的换版审核。
6、更换证书。
八、QAC关于依据新版标准认证的进展
即日起,QAC已可按CNCA有关要求,进行新版标准的认证,颁发依据新版标准的信息安全管理体系认证证书。
认证客户问询:
王老师、徐老师
联系电话:010-68416723、010-68418869
中质协质量保证中心
2023年4月7日
5月10-12日信息安全换版暨内审员培训班通知:https://www.qac.com.cn/xwzx/schd/19995.html
