尊敬的HXQC客戶：

國際標(biāo)準(zhǔn)化組織（ISO）于2022年10月發(fā)布了ISO/IEC 27001:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護 信息安全管理體系 要求》，該標(biāo)準(zhǔn)代替了ISO/IEC 27001:2013作為信息安全管理體系的認(rèn)證依據(jù)。根據(jù)IAF MD26決議和CNAS認(rèn)可文件規(guī)定，認(rèn)證機構(gòu)對信息安全管理體系獲證客戶的轉(zhuǎn)換不應(yīng)晚于2025年10月31日。

為了確保客戶做好信息安全管理體系認(rèn)證標(biāo)準(zhǔn)由GB/T 22080-2016/

ISO/IEC 27001:2013（以下簡稱舊版標(biāo)準(zhǔn)）向IS0/IEC 27001:2022（以下簡稱新版標(biāo)準(zhǔn)）的轉(zhuǎn)換工作，北京大陸航星質(zhì)量認(rèn)證中心股份有限公司（以下簡稱HXQC）特做出如下安排：

一、認(rèn)證申請和審核安排

1、2023年5月1日起HXQC開始受理依據(jù)新版標(biāo)準(zhǔn)的認(rèn)證申請（包括初次審核、再認(rèn)證審核+轉(zhuǎn)換、監(jiān)督+轉(zhuǎn)換、擴大范圍、專項轉(zhuǎn)換審核）并開始實施審核、頒發(fā)/換發(fā)新版標(biāo)準(zhǔn)認(rèn)證證書。

2、2024年4月30日前，HXQC依然可以依據(jù)舊版標(biāo)準(zhǔn)受理認(rèn)證申請并頒發(fā)舊版標(biāo)準(zhǔn)認(rèn)證證書，認(rèn)證證書有效期至2025年10月30日。

3、2024年4月30日起，HXQC將全部依據(jù)新版標(biāo)準(zhǔn)實施初次認(rèn)證審核和再認(rèn)證審核，即不再安排舊版標(biāo)準(zhǔn)初次認(rèn)證審核和再認(rèn)證審核。

4、2024年10月31日起，不再安排舊版標(biāo)準(zhǔn)監(jiān)督審核。已按舊版標(biāo)準(zhǔn)頒發(fā)的信息安全管理體系認(rèn)證證書，在2025年10月31日前須按新版標(biāo)準(zhǔn)轉(zhuǎn)換完畢，未完成新版標(biāo)準(zhǔn)轉(zhuǎn)換認(rèn)證的獲證客戶，其依據(jù)舊版標(biāo)準(zhǔn)的認(rèn)證證書將失效。

二、認(rèn)證證書的轉(zhuǎn)換方式和審核時間

1、對于有效期超過2025年10月30日的舊版標(biāo)準(zhǔn)認(rèn)證證書，HXQC將免費為客戶換發(fā)有效期至2025年10月30的認(rèn)證證書。

2、獲證客戶可選擇結(jié)合監(jiān)督或再認(rèn)證審核進行轉(zhuǎn)換，如果需要時，也可以通過專項現(xiàn)場審核進行轉(zhuǎn)換。

1）當(dāng)轉(zhuǎn)換審核是結(jié)合再認(rèn)證審核實施時，轉(zhuǎn)換審核需至少安排0.5審核人天。

2）當(dāng)轉(zhuǎn)換審核是結(jié)合監(jiān)督審核或?qū)ｍ棇徍藢嵤r，轉(zhuǎn)換審核需至少安排1.0審核人天。

3）根據(jù)客戶的特點（如客戶所在行業(yè)的風(fēng)險級別、過程的復(fù)雜程度、客戶準(zhǔn)備的情況、外包情況及控制程度等），審核時間可能還會增加。

三、客戶認(rèn)證轉(zhuǎn)換準(zhǔn)備

1、HXQC客戶應(yīng)分析識別新舊版標(biāo)準(zhǔn)的差異，以及標(biāo)準(zhǔn)內(nèi)容變化對其體系運行的影響。

2、制定滿足新版標(biāo)準(zhǔn)中新要求的措施和實施計劃，至少包括：開展新版標(biāo)準(zhǔn)培訓(xùn)及內(nèi)審員轉(zhuǎn)換培訓(xùn)，對體系文件及相關(guān)表格修訂；

3、依據(jù)修訂后的管理體系文件，運行信息安全管理體系；

4、在認(rèn)證審核前依據(jù)新版標(biāo)準(zhǔn)要求至少有效實施一次內(nèi)部審核和管理評審。

四、客戶認(rèn)證轉(zhuǎn)換申請資料

1、 HXQC客戶依據(jù)新版標(biāo)準(zhǔn)申請初次認(rèn)證/再認(rèn)證時應(yīng)按照《認(rèn)證申請必備文件資料清單(ISMS、SMS)》的要求提交申請資料。

2、HXQC客戶申請轉(zhuǎn)換時應(yīng)填寫《認(rèn)證轉(zhuǎn)換申請表》，并按照《證申請必備文件資料清單(ISMS、SMS)》的要求向HXQC提交修改后的相關(guān)文件。

五、轉(zhuǎn)換審核要求

1、無論客戶選擇哪種轉(zhuǎn)換方式，審核組在實施轉(zhuǎn)換審核時，除了關(guān)注客戶依據(jù)新版標(biāo)準(zhǔn)建立、實施和運行信息安全管理體系的情況外，還會關(guān)注客戶在轉(zhuǎn)換前依據(jù)舊版標(biāo)準(zhǔn)運行信息安全管理體系的情況。

轉(zhuǎn)換審核還應(yīng)包括，但不限于以下方面：

a）ISO/IEC 27001:2022的差距分析，以及客戶ISMS的變更需求；

b）符合性聲明(SoA)的更新；

c）適用時，風(fēng)險處置計劃的更新；

d）客戶所選的、新的或變化的信息安全控制的實施情況及其有效性。

2、對存在問題或達不到新版標(biāo)準(zhǔn)要求的獲證客戶，審核組會開具不符合項，待驗證獲證組織整改措施后做出是否通過轉(zhuǎn)換審核決定。

六、頒發(fā)/換發(fā)新版標(biāo)準(zhǔn)證書和認(rèn)可標(biāo)識的使用

1、對經(jīng)審核和認(rèn)證評定，確認(rèn)獲證客戶已符合新版標(biāo)準(zhǔn)要求的頒發(fā)/換發(fā)新版標(biāo)準(zhǔn)認(rèn)證證書。

注：在HXQC未通過認(rèn)可轉(zhuǎn)換之前，認(rèn)證證書上不得帶CNAS認(rèn)可標(biāo)識，待HXQC通過CNAS認(rèn)可轉(zhuǎn)換后，可按要求頒發(fā)/換發(fā)依據(jù)為新版標(biāo)準(zhǔn)的帶CNAS認(rèn)可標(biāo)識的認(rèn)證證書。

2、選擇結(jié)合監(jiān)督或?qū)ｍ棳F(xiàn)場審核方式換版的，新版標(biāo)準(zhǔn)認(rèn)證證書的有效期為原證書簽發(fā)之日起三年。選擇再認(rèn)證審核換版的，新版標(biāo)準(zhǔn)認(rèn)證證書的有效期從重新簽發(fā)證書之日起三年；也可以為從重新簽發(fā)證書之日起，至上一次證書終止日期后三年。

3、證書換發(fā)將以舊換新，先收回原證書，再頒發(fā)新證書。

七、附表

《證申請必備文件資料清單(ISMS、SMS)》

《認(rèn)證轉(zhuǎn)換申請表》

 

HXQC現(xiàn)正按CNAS轉(zhuǎn)換要求進行準(zhǔn)備工作，待準(zhǔn)備工作完成后將向CNAS申報認(rèn)可轉(zhuǎn)換申請，后續(xù)進度將及時向客戶通報，有任何需要或問題都可以與我公司客戶服務(wù)人員聯(lián)系。

更多ISO/IEC 27001:2022轉(zhuǎn)換的資訊，請持續(xù)關(guān)注HXQC的官網(wǎng)及微信公眾號。

 

北京大陸航星質(zhì)量認(rèn)證中心股份有限公司

2023年4月25日