ISO 27001:2022换版致客户信
尊敬的客户:
国际标准化组织(ISO)于2022年10月发布了ISO/IEC 27001:2022《信息安全、网络安全和隐私保护 信息安全管理体系 要求》,该标准代替了ISO/IEC 27001:2013。目前标准换版的工作已逐渐在推进中。在此信函中我们向您介绍换版相关的信息,以及在换版过程中赛宝认证中心能提供的服务。
注:已获得ISO/IEC 27001:2013认证的客户(包括其他机构注册的客户)本信函称为已认证注册客户;还未获得ISO/IEC 27001认证的客户本信函称为新客户。
标准修订的主要变化
按照ISO组织的规则,所有ISO标准都需要定期评估其适用性,这是为了与变化的相关方期望和新的技术水平保持一致。
本次新标准的修订主要变化包括:
1、附录A引用了ISO/IEC 27002:2022中的控制,其中包括控制标题和控制信息;
2、对第6.1.3 c)条的注释进行了编辑性修改,包括删除控制目标,并使用“信息安全控制”代替“控制”;
3、重新组织第6.1.3 d)条的措辞,以消除潜在的歧义。
国际认可论坛(IAF)于2022年8月发布强制性文件IAF MD26:2023《ISO/IEC 27001:2022转换要求》(第2版)规定了ISO/IEC 27001:2022的转换要求。该要求规定ISO/IEC 27001:2022的转换期为3年,即ISO/IEC 27001:2022发布月份最后一天起至2025年10月31日;在转换期截止后,获认可的、依据ISO/IEC 27001:2013的认证证书将过期失效或被撤销。
国家认监委(CNCA)于2015年9月28日发布2015年第30号公告——《国家认监委关于管理体系认证标准换版工作安排的公告》。公告中明确了在等同采用国际标准的管理体系认证领域中,在国际标准发布后新版国家标准发布前的时期内依据国际标准开展认证及相关工作的安排。
国家认可委(CNAS)已发布CNAS-EC-066:2022《关于ISO/IEC 27001:2022认证标准换版的认可转换说明》(2023第一次修订版)。
结合以上规定,赛宝认证中心将开展ISO/IEC 27001:2022认证标准转换活动,关键时间节点如下:
2022年10月25日 ISO/IEC 27001:2022 正式发布,进入3年版本转换过渡期,在过渡期内2013版与2022版并存。
2022年11月1日 开始正式受理已认证注册客户的2022版换版申请,新客户可选择2013版或2022版进行初次认证。
2024年4月30日起 只依据2022版进行初次认证或再认证。
2025年10月31日起 赛宝认证中心发出的依据ISO/IEC 27001:2013的认证证书将失效。
考虑到认证流程要求,为审核文档评审、不符合项整改、证书颁发等预留充足的时间,原则上已认证注册客户的换版申请截止日为2025年7月31日。为了给换版审核预留充分的时间,避免您错过换版最后期限,赛宝认证中心建议您至少提前换版申请截止日一年(即2024年10月31日前)进行换版申请。
赛宝认证中心建议您及早采取行动,以便顺利完成换版,这些行动可能包括:
1、理解新标准的要求,参加新标准培训:学习并理解新标准要求是换版工作的开始。为了帮助您理解新标准,您可以联络赛宝认证中心参加新标准的培训课程;
2、进行差距分析,策划换版变更,制定换版计划:对目前体系与新标准的差距进行评估,列出其在策划、实施、文件、记录和人员能力等各方面的差距。针对每项差距安排计划,包括职责分派、预期输出、任务时间要求等;
3、执行换版计划,新标准实施:执行换版计划的安排,注意每项计划所需的资源、时间等会有所差异。如一些重大变化(组织环境、风险管理、管理体系整合等)需要企业给予更多投入,包括高层更加紧密的参与,更多知识的扩展等。在完成换版策划的各项计划后,管理体系按新标准要求运行实施;
4、内部评估:在管理体系按照新标准运行后,建议您安排适当的内审和管理评审,对新标准实施的有效性进行评估,以确保换版工作的顺利完成;
5、申请换版审核:准备就绪之后,您可以联络赛宝认证中心开始相应的换版工作。
1、已认证注册客户(下列三种方式选取一种)
监督审核+换版审核 需提交包含2022版本换版申请的《信息安全管理体系认证申请书》和申请表中提到的文件资料。
再认证审核+换版审核 需提交包含2022版本换版申请的《信息安全管理体系认证申请书》和申请表中提到的文件资料。
单独换版审核 需提交包含2022版本换版申请的《信息安全管理体系认证申请书》和申请表中提到的文件资料。
认证2013版 按2013版认证申请流程和资料要求提交申请。在通过2013版认证后,按照已认证注册客户的要求进行换版。
1、2024年4月30日之前新旧版本的证书均可颁发。2022年10月31日之后颁发的2013版证书有效期截止2025年10月31日(客户在2025年10月31前完成转版审核,可申请换发有效期自前一次颁证日期起三年有效期的证书(不适用于证书上的换证日期));2022版证书有效期为颁证之日起3年;
2、2024年4月30日后初次认证、再认证只能颁发ISO/IEC 27001:2022版证书。
在您顺利通过换版审核和评审合格后,赛宝将向您换发ISO/IEC 27001:2022证书。
注:在认证标准转换期间,带CNAS或ANAB认可标识的、依据旧版认证标准认证证书仍可继续使用。在本中心通过CNAS、ANAB认可转换评审后,通过内部影响评估,可以给已经通过换版认证的企业换发带有认可标识的新版证书。2025年10月31日起,依据ISO/IEC 27001:2013版标准的认证证书将失效。
本中心2022版标准的换版,原则上可以采取再认证+换版、监督+换版和单独换版三种方式进行。
1、若您选择在再认证或监督审核时进行换版审核以获得新版证书,这需要增加额外的审核人天,额外的审核人天数根据企业规模、产品和服务类型、适用的法律法规的不同会有所增加。按照该企业初次审核标准人日的10%计算,最少不少于1人天。现场审核时产生的差旅费按照原合同要求执行;
2、若您选择单独的换版审核,审核人天数根据企业规模、产品和服务类型、适用的法律法规的不同会有所增加。按照该企业初次审核标准人日的20%计算,最少不少于2人天。单独换版时产生的差旅费由企业负责。
注:具体审核人日请咨询您的赛宝客户经理或拨打客服热线(4008301909)
感谢您选择赛宝认证中心为您提供第三方认证服务。正是您的信任和支持帮助我们不断成长,优秀的客户群是我们最宝贵的资源。我们希望能在您企业的发展过程中继续为您提供可信任的认证服务,成为您可信赖的合作伙伴,见证双方在新的发展形势下的共同成长。
赛宝认证中心用心服务客户,关注客户的感受。面对这一次标准换版,我们可以为您提供关于新标准的培训服务。
请联络您的赛宝客户经理或拨打客服热线(4008301909),我们将竭诚为您提供全方位的认证服务。