尊敬的信息安全管理体系（ISMS）认证客户：

国际标准化组织（ISO）于2024年3月发布了 ISO/IEC 27006-1:2024《信息安全、网络安全和隐私保护--第1部分：信息安全管理体系审核与认证机构要求》。国际认可论坛（IAF）于2024年5月发布了强制性文件IAF MD29:2024《ISO/IEC 27006-1:2024 转换要求》，该文件明确提出ISO/IEC 27006-1:2024的过渡期要求：认证机构认可转换截止期为2026年3月31日，已获证客户认证转换截止期为2026年3月31日。

中国合格评定国家认可委员会（以下简称 CNAS）于2024年9月30日发布了 CNAS-CC170:2024《信息安全管理体系认证机构要求》（内容等同采用ISO/IEC 27006-1:2024）和CNAS-SC170:2024《信息安全管理体系认证机构认可方案》，并于 2024 年9月 30 日实施。

现对中质协质量保证中心（以下简称“中心”）ISMS体系认证转换工作相关事宜通知如下：

一、认可要求主要变化

本次 CNAS-CC170:2024 和 CNAS-SC170:2024 的修订，对认证证书内容（主要是涉完全的远程虚拟办公场景的描述）、体系内有效人数的计算、审核时间确定、认证范围确定、专业代码的风险等级等做出了部分修改或增加。中心已对相应管理文件和技术要求进行了更新，对人员能力进行了确认、组织了相应的宣贯培训，初步完成了认证转换的准备工作。

二、认证转换时间

中心定于2025年04月01日启动ISMS体系CNAS-CC170:2024和CNAS-SC170:2024 认证转换工作，具体转换安排如下：

1.2025年04月01日起，ISMS的初审、再认证项目，可同时依据CNAS-CC170:2015、CNAS-SC170:2017（以下简称“旧版”）和CNAS-CC170:2024、CNAS-SC170:2024（以下简称“新版”）认可要求受理，实施认证审核，审议通过后颁发认证证书。

2.2025年04月01日起，ISMS的监督审核项目，可同时依据新版和旧版认可要求申请认证转换，实施认证审核，审议通过后换发认证证书。

3.中心完成ISMS认可转换后，将统一按新版认可要求受理、实施认证审核，不再按旧版认可要求受理项目。

4.认证客户须在2026年3月31日前完成认证转换。如未能完成认证转换，中心将对其认证证书予以暂停。

三、认证申请及审核策划

客户按新版认可要求提交ISMS的初审、再认证申请，或监督审核并按新版转换时，应填写新版申请书，并提供是否完全的远程虚拟办公、是否具有很大比例从事某些相同活动的人员等信息。中心将按照CNAS-CC170:2024要求，充分考虑上述信息对审核时间和审核方案的影响，并进行审核方案策划。

四、认证证书

1.2025年04月01日至中心完成CNAS认可转换前，对于按照新版认可要求实施审核的ISMS项目，认证证书将不带CNAS认可标志。

2.2025年04月01日后，对于按照CNAS-CC170:2024的8.2条款要求需要调整证书描述内容的已获证客户（如涉虚拟办公场所的客户），会按要求更换证书。

3.中心完成CNAS认可转换后，将对已按照新版认可要求完成审核的客户，换发带CNAS认可标志的认证证书（中心认可业务范围内的项目）。

4.如已获证客户未在2026年03月31日前完成ISMS体系认证转换，中心将对其认证证书办理暂停。

以上内容请ISMS体系认证客户知悉，合理安排转换时间。如有疑问可与我中心客户维护部门或客户维护人联系。

顺祝商祺！

         中质协质量保证中心

         二〇二五年三月十五日