賽寶認(rèn)證中心發(fā)布ISO/IEC 27001:2022換版通知

Date26 4 月 2023

Comment0

尊敬的客戶：
國際標(biāo)準(zhǔn)化組織（ISO）于2022年10月發(fā)布了ISO/IEC 27001:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù) 信息安全管理體系要求》，該標(biāo)準(zhǔn)代替了ISO/IEC 27001:2013。目前標(biāo)準(zhǔn)換版的工作已逐漸在推

ISO27001認(rèn)證

進(jìn)中。在此信函中我們向您介紹換版相關(guān)的信息，以及在換版過程中賽寶認(rèn)證中心能提供的服務(wù)。
注：已獲得ISO/IEC 27001：2013認(rèn)證的客戶（包括其他機(jī)構(gòu)注冊的客戶）本信函稱為已認(rèn)證注冊客戶；還未獲得ISO/IEC 27001認(rèn)證的客戶本信函稱為新客戶。

標(biāo)準(zhǔn)修訂的主要變化
按照ISO組織的規(guī)則，所有ISO標(biāo)準(zhǔn)都需要定期評(píng)估其適用性，這是為了與變化的相關(guān)方期望和新的技術(shù)水平保持一致。
本次新標(biāo)準(zhǔn)的修訂主要變化包括：
1
附錄A引用了ISO/IEC 27002:2022中的控制，其中包括控制標(biāo)題和控制信息；
2
對(duì)第6.1.3 c）條的注釋進(jìn)行了編輯性修改，包括刪除控制目標(biāo)，并使用“信息安全控制”代替“控制”；
3
重新組織第6.1.3 d）條的措辭，以消除潛在的歧義。

標(biāo)準(zhǔn)換版的時(shí)間軸和里程碑
國際認(rèn)可論壇（IAF）于2022年8月發(fā)布強(qiáng)制性文件IAF MD26:2023《ISO/IEC 27001:2022轉(zhuǎn)換要求》（第2版）規(guī)定了ISO/IEC 27001:2022的轉(zhuǎn)換要求。該要求規(guī)定ISO/IEC 27001:2022的轉(zhuǎn)換期為3年，即ISO/IEC 27001:2022發(fā)布月份最后一天起至2025年10月31日；在轉(zhuǎn)換期截止后，獲認(rèn)可的、依據(jù)ISO/IEC 27001:2013的認(rèn)證證書將過期失效或被撤銷。

國家認(rèn)監(jiān)委（CNCA）于2015年9月28日發(fā)布2015年第30號(hào)公告——《國家認(rèn)監(jiān)委關(guān)于管理體系認(rèn)證標(biāo)準(zhǔn)換版工作安排的公告》。公告中明確了在等同采用國際標(biāo)準(zhǔn)的管理體系認(rèn)證領(lǐng)域中，在國際標(biāo)準(zhǔn)發(fā)布后新版國家標(biāo)準(zhǔn)發(fā)布前的時(shí)期內(nèi)依據(jù)國際標(biāo)準(zhǔn)開展認(rèn)證及相關(guān)工作的安排。

國家認(rèn)可委（CNAS）已發(fā)布CNAS-EC-066:2022《關(guān)于ISO/IEC 27001:2022認(rèn)證標(biāo)準(zhǔn)換版的認(rèn)可轉(zhuǎn)換說明》（2023第一次修訂版）。

結(jié)合以上規(guī)定，賽寶認(rèn)證中心將開展ISO/IEC 27001:2022認(rèn)證標(biāo)準(zhǔn)轉(zhuǎn)換活動(dòng)，關(guān)鍵時(shí)間節(jié)點(diǎn)如下：

2022年10月25日 ISO/IEC 27001:2022 正式發(fā)布，進(jìn)入3年版本轉(zhuǎn)換過渡期，在過渡期內(nèi)2013版與2022版并存。
2022年11月1日開始正式受理已認(rèn)證注冊客戶的2022版換版申請，新客戶可選擇2013版或2022版進(jìn)行初次認(rèn)證。
2024年4月30日起只依據(jù)2022版進(jìn)行初次認(rèn)證或再認(rèn)證。
2025年10月31日起賽寶認(rèn)證中心發(fā)出的依據(jù)ISO/IEC 27001:2013的認(rèn)證證書將失效。
考慮到認(rèn)證流程要求，為審核文檔評(píng)審、不符合項(xiàng)整改、證書頒發(fā)等預(yù)留充足的時(shí)間，原則上已認(rèn)證注冊客戶的換版申請截止日為2025年7月31日。為了給換版審核預(yù)留充分的時(shí)間，避免您錯(cuò)過換版最后期限，賽寶認(rèn)證中心建議您至少提前換版申請截止日一年（即2024年10月31日前）進(jìn)行換版申請。

企業(yè)換版準(zhǔn)備
賽寶認(rèn)證中心建議您及早采取行動(dòng)，以便順利完成換版，這些行動(dòng)可能包括：

1
理解新標(biāo)準(zhǔn)的要求，參加新標(biāo)準(zhǔn)培訓(xùn)：學(xué)習(xí)并理解新標(biāo)準(zhǔn)要求是換版工作的開始。為了幫助您理解新標(biāo)準(zhǔn)，您可以聯(lián)絡(luò)賽寶認(rèn)證中心參加新標(biāo)準(zhǔn)的培訓(xùn)課程；
2
進(jìn)行差距分析，策劃換版變更，制定換版計(jì)劃：對(duì)目前體系與新標(biāo)準(zhǔn)的差距進(jìn)行評(píng)估，列出其在策劃、實(shí)施、文件、記錄和人員能力等各方面的差距。針對(duì)每項(xiàng)差距安排計(jì)劃，包括職責(zé)分派、預(yù)期輸出、任務(wù)時(shí)間要求等；
3
執(zhí)行換版計(jì)劃，新標(biāo)準(zhǔn)實(shí)施：執(zhí)行換版計(jì)劃的安排，注意每項(xiàng)計(jì)劃所需的資源、時(shí)間等會(huì)有所差異。如一些重大變化（組織環(huán)境、風(fēng)險(xiǎn)管理、管理體系整合等）需要企業(yè)給予更多投入，包括高層更加緊密的參與，更多知識(shí)的擴(kuò)展等。在完成換版策劃的各項(xiàng)計(jì)劃后，管理體系按新標(biāo)準(zhǔn)要求運(yùn)行實(shí)施；
4
內(nèi)部評(píng)估：在管理體系按照新標(biāo)準(zhǔn)運(yùn)行后，建議您安排適當(dāng)?shù)膬?nèi)審和管理評(píng)審，對(duì)新標(biāo)準(zhǔn)實(shí)施的有效性進(jìn)行評(píng)估，以確保換版工作的順利完成；
5
申請換版審核：準(zhǔn)備就緒之后，您可以聯(lián)絡(luò)賽寶認(rèn)證中心開始相應(yīng)的換版工作。

換版方式和申請資料
圖片
換版流程圖
1
已認(rèn)證注冊客戶（下列三種方式選取一種)
監(jiān)督審核+換版審核需提交包含2022版本換版申請的《信息安全管理體系認(rèn)證申請書》和申請表中提到的文件資料。
再認(rèn)證審核+換版審核需提交包含2022版本換版申請的《信息安全管理體系認(rèn)證申請書》和申請表中提到的文件資料。
單獨(dú)換版審核需提交包含2022版本換版申請的《信息安全管理體系認(rèn)證申請書》和申請表中提到的文件資料。
2
新客戶
認(rèn)證2013版按2013版認(rèn)證申請流程和資料要求提交申請。在通過2013版認(rèn)證后，按照已認(rèn)證注冊客戶的要求進(jìn)行換版。
認(rèn)證2022版需提交包含2022版本換版申請的《信息安全管理體系認(rèn)證申請書》和申請表中提到的文件資料。
注：換版申請請咨詢您的賽寶客戶經(jīng)理或撥打客服熱線（4008301909）
認(rèn)證證書
1
2024年4月30日之前新舊版本的證書均可頒發(fā)。2022年10月31日之后頒發(fā)的2013版證書有效期截止2025年10月31日（客戶在2025年10月31前完成轉(zhuǎn)版審核，可申請換發(fā)有效期自前一次頒證日期起三年有效期的證書（不適用于證書上的換證日期））；2022版證書有效期為頒證之日起3年；
2
2024年4月30日后初次認(rèn)證、再認(rèn)證只能頒發(fā)ISO/IEC 27001:2022版證書。

在您順利通過換版審核和評(píng)審合格后，賽寶將向您換發(fā)ISO/IEC 27001:2022證書。
注：在認(rèn)證標(biāo)準(zhǔn)轉(zhuǎn)換期間，帶CNAS或ANAB認(rèn)可標(biāo)識(shí)的、依據(jù)舊版認(rèn)證標(biāo)準(zhǔn)認(rèn)證證書仍可繼續(xù)使用。在本中心通過CNAS、ANAB認(rèn)可轉(zhuǎn)換評(píng)審后，通過內(nèi)部影響評(píng)估，可以給已經(jīng)通過換版認(rèn)證的企業(yè)換發(fā)帶有認(rèn)可標(biāo)識(shí)的新版證書。2025年10月31日起，依據(jù)ISO/IEC 27001：2013版標(biāo)準(zhǔn)的認(rèn)證證書將失效。

審核人日
本中心2022版標(biāo)準(zhǔn)的換版，原則上可以采取再認(rèn)證+換版、監(jiān)督+換版和單獨(dú)換版三種方式進(jìn)行。

1
若您選擇在再認(rèn)證或監(jiān)督審核時(shí)進(jìn)行換版審核以獲得新版證書，這需要增加額外的審核人天，額外的審核人天數(shù)根據(jù)企業(yè)規(guī)模、產(chǎn)品和服務(wù)類型、適用的法律法規(guī)的不同會(huì)有所增加。按照該企業(yè)初次審核標(biāo)準(zhǔn)人日的10%計(jì)算，最少不少于1人天?，F(xiàn)場審核時(shí)產(chǎn)生的差旅費(fèi)按照原合同要求執(zhí)行；
2
若您選擇單獨(dú)的換版審核，審核人天數(shù)根據(jù)企業(yè)規(guī)模、產(chǎn)品和服務(wù)類型、適用的法律法規(guī)的不同會(huì)有所增加。按照該企業(yè)初次審核標(biāo)準(zhǔn)人日的20%計(jì)算，最少不少于2人天。單獨(dú)換版時(shí)產(chǎn)生的差旅費(fèi)由企業(yè)負(fù)責(zé)。

注：具體審核人日請咨詢您的賽寶客戶經(jīng)理或撥打客服熱線（4008301909）

賽寶支持服務(wù)
感謝您選擇賽寶認(rèn)證中心為您提供第三方認(rèn)證服務(wù)。正是您的信任和支持幫助我們不斷成長，優(yōu)秀的客戶群是我們最寶貴的資源。我們希望能在您企業(yè)的發(fā)展過程中繼續(xù)為您提供可信任的認(rèn)證服務(wù)，成為您可信賴的合作伙伴，見證雙方在新的發(fā)展形勢下的共同成長。

賽寶認(rèn)證中心用心服務(wù)客戶，關(guān)注客戶的感受。面對(duì)這一次標(biāo)準(zhǔn)換版，我們可以為您提供關(guān)于新標(biāo)準(zhǔn)的培訓(xùn)服務(wù)。

請聯(lián)絡(luò)您的賽寶客戶經(jīng)理或撥打客服熱線（4008301909），我們將竭誠為您提供全方位的認(rèn)證服務(wù)。