关于依据ISO/IEC 27001:2022认证标准转版的告客户书

修订时间：2023-2-24

修订内容：

一、更改前：二、工作安排2、转换方式及费用2）针对认证依据更新，对结合监督或单独实施审核进行转换时，转换审核人日增加0.5，以确认获证客户是否满足转换要求，审核人日的增加，也将收取审核人日费用。

更改后：二、工作安排2、转换方式及费用2）针对认证依据更新，对结合监督或单独实施审核进行转换时，转换审核人日增加1；结合再认证审核实施转换时，转换审核人日增加0.5，以确认获证客户是否满足转换要求，审核人日的增加，也将收取审核人日费用。

修订时间：2023-4-17

修订内容：

根据转版CNAS文审提出问题整改

一、更改前：一、3、转换截止时限1）自2024年11月1日起，原则上不再接受依据GB/T22080-2016 idt ISO/IEC 27001:2013标准的认证申请；

更改后：一、3、转换截止时限1）自2024年3月31日起，原则上不再接受依据GB/T22080-2016 idt ISO/IEC 27001:2013标准的初次和再认证申请；

尊敬的信息安全管理体系认证客户：

    国际标准化组织（ISO）于2022年10月发布了ISO/IEC 27001:2022《信息安全、网络安全和隐私保护 信息安全管理体系 要求》，该标准代替了ISO/IEC 27001：2013。国际认可论坛（IAF）在2022年8月发布了IAF MD26：2022《ISO/IEC 27001：2022转换要求》（第1版），该文件识别了ISO/IEC 27001：2022的主要变化及影响，提出了本次转换周期，并规定了认可机构和认证机构实施转换过程的具体要求。2022年11月16日，中国合格评定国家认可委员会（CNAS）发布了CNAS-EC-066：2022《关于ISO/IEC 27001：2022认证标准换版的认可转换说明》。新版标准自发布日起施行，过渡期将持续到2025年10月31日。自2023年1月31日开始，CNAS接受认证机构提出的认可转换申请。

一、实施规则转换时限和安排

1、公司已认可业务范围（04产品的生产）受理的转换时限

    北京新纪源认证有限公司（以下简称XJY）获得CNAS认可转换评审结论后，至2024年10月31日期间，客户可自愿选择按照GB/T22080-2016 idt ISO/IEC 27001:2013标准或者ISO/IEC 27001:2022标准申请信息安全管理体系认证。

2、公司未认可业务范围（除04产品的生产）受理的转换时限

    自2023年2月13日起，受理未认可业务范围，依据ISO/IEC 27001:2022标准认证的申请。

3、转换截止时限

    1）自2024年3月31日起，原则上不再接受依据GB/T22080-2016 idt ISO/IEC 27001:2013标准的初次和再认证申请；

    2）自2025年8月1日起不再安排依据GB/T22080-2016 idt ISO/IEC 27001:2013标准实施的信息安全管理体系监督认证审核（包括特殊审核）。

    3）已按GB/T22080-2016 idt ISO/IEC 27001:2013标准颁发的信息安全管理体系认证证书，在最近一次监督审核活动过程中进行转换，如果不能如期转换证书将于2025年10月31日后失效。

二、工作安排

1、已获证客户的认证转换流程（见附件1）

2、转换方式及费用

    1）获证客户可结合监督、再认证审核进行认证转换，也可以单独实施转换审核。

    2）针对认证依据更新，对结合监督或单独实施审核进行转换时，转换审核人日增加1；结合再认证审核实施转换时，转换审核人日增加0.5，以确认获证客户是否满足转换要求，审核人日的增加，也将收取审核人日费用。

    3）如果能确保实现转换审核目的，可以远程实施转换审核。

3、转换审核

    转换审核应包括，但不限于以下方面：

    1）ISO/IEC 27001:2022的差距分析，以及客户ISMS的变更需求；

    2）符合性声明（SoA）的更新；

    3）适用时，风险处置计划的更新；

    4）客户所选的、新的或变化的信息安全控制的实施情况及其有效性。

4、转换准备

    获证客户应对本单位信息安全管理体系的认证/转换工作进行策划、准备、实施，识别新版标准中的新增、变化内容对其管理体系的影响，对管理体系文件进行必要的评审、修订，并对其管理体系进行调整，确保符合新版标准的要求。

    获证客户申请认证转换前应完成以下工作：

（1）组织内审员、体系相关管理人员进行新版标准的培训，以充分了解掌握新版标准修订变化的主要内容及要求。

（2）识别新版标准与旧版标准之间的差异，分析这些差异对管理体系文件的影响，并根据分析结果对管理体系文件进行必要的修订；

（3）组织全员实施修订后的管理体系文件的培训，以了解和掌握修订后的管理体系要求，并按新要求实施运行管理体系；

（4）组织实施新版认证管理体系的内审及管理评审工作（也可以是专项管理评审、专项内审或专项检查）。

5、申请

（1）依据新版认证标准申请初次认证/再认证的客户应按附件2《依据新版标准申请认证、申请认证转换客户应提交资料》要求提交全部申请资料。

（2）已获得XJY旧版认证证书的客户，当结合监督审核实施认证转换时，客户需提交如下认证转换申请材料：

a．监督审核信息确认单。

b．按依据ISO/IEC 27001:2022标准申请认证、申请认证转换客户，应提交的资料（见附件2）要求提交申请资料。如确认之前已提交资料中已有相关资料且无变化的，可不再提供。

三、认证证书

（1）经现场审核确认客户信息安全管理体系已符合新版认证标准要求，经认证决定后，对满足要求的客户颁发/换发认证证书。

（2）已获得XJY旧版认证证书的客户在最近一次监督/再认证审核活动中，以及未单独实施转换审核的，未进行新版认证规则转换，证书将于2025年10月31日后失效。

（3）依据新版标准实施认证，颁发的认证证书上的认证依据为ISO/IEC 27001:2022。

（4）换发的新版认证证书的同时，原旧版认证证书作废。

    请各信息安全管理体系认证的获证客户按照新版标准要求对建立的信息安全管理体系进行相应的更新，并做好信息安全管理体系证书换版的安排，确保贵公司的信息安全管理体系认证证书持续满足认证要求。如有问题可与我机构联系：010-84715311

特此通知

                                                                                                                                                          北京新纪源认证有限公司

                                                                                                                                                           2023年2月6日

附件1已获证客户的认证转换流程

附件2 依据新版标准申请认证、申请认证转换客户应提交资料