CNAS-EC-066-2022《關(guān)于ISOIEC 27001-2022認(rèn)證標(biāo)準(zhǔn)換版的認(rèn)可轉(zhuǎn)換說(shuō)明》(2023第一次修訂)2023-2-24-發(fā)布清稿

關(guān)于ISO/IEC27001:2022認(rèn)證標(biāo)準(zhǔn)換版的認(rèn)可轉(zhuǎn)換說(shuō)明國(guó)際標(biāo)準(zhǔn)化組織(ISO)于2022年10月發(fā)布了ISOIEC27001:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)信息安全管理體系要求》,該標(biāo)準(zhǔn)代替了ISO/IEC可從ISO網(wǎng)站(https://www.iso.orq/s國(guó)際認(rèn)可論壇(IAF)在2022年8月發(fā)布了IA轉(zhuǎn)換要求》(第1版),并在2023年2月修訂發(fā)布IAFMD26:2023(第2版)。該文件注：IAFMD26:2023(第2版)與2022年(第1版)相比主要變化包括：1)更新了ISO/IEC27001:2022修訂的主要變化；2)調(diào)整了認(rèn)證機(jī)構(gòu)僅依據(jù)ISO/IEC27001:2022實(shí)施初次認(rèn)證和再認(rèn)證的截止日3)修改了認(rèn)證機(jī)構(gòu)實(shí)施ISO/IEC27001:2022認(rèn)證轉(zhuǎn)換時(shí)所需額外的轉(zhuǎn)換審核人1.3我國(guó)認(rèn)證標(biāo)準(zhǔn)轉(zhuǎn)換相關(guān)的要求國(guó)家認(rèn)監(jiān)委(CNCA)于2015年9月28日發(fā)布2015年第30號(hào)公告——《國(guó)家認(rèn)監(jiān)發(fā)布日期：2022年11月15日第一次修訂：2023年02月24日實(shí)施日期：2022年11月15日編號(hào):CNAS-EC-066:2022本轉(zhuǎn)換說(shuō)明用于指導(dǎo)開(kāi)展ISO/IEC27001:2022認(rèn)證標(biāo)準(zhǔn)轉(zhuǎn)換活動(dòng)。3規(guī)范性引用文件4轉(zhuǎn)換期認(rèn)證機(jī)構(gòu)僅依據(jù)ISO/IEC27001:20225認(rèn)可轉(zhuǎn)換準(zhǔn)備認(rèn)證機(jī)構(gòu)的轉(zhuǎn)是1)認(rèn)證機(jī)構(gòu)應(yīng)根據(jù)本文件和相關(guān)認(rèn)可機(jī)構(gòu)的要求來(lái)制定其關(guān)編號(hào):CNAS-EC-066:20222)轉(zhuǎn)換安排應(yīng)規(guī)定認(rèn)證機(jī)構(gòu)應(yīng)做什么和客戶應(yīng)做什么。認(rèn)證對(duì)相關(guān)認(rèn)證過(guò)程、文件和（適用時(shí)）管理認(rèn)證活動(dòng)的信所有信息安全控制及其實(shí)施[見(jiàn)ISO/IEC27006:2015,與客戶及時(shí)溝通轉(zhuǎn)換方案，例如時(shí)限、轉(zhuǎn)換審核方法、是1)認(rèn)證機(jī)構(gòu)可以結(jié)合監(jiān)督審核和再認(rèn)證審核實(shí)施轉(zhuǎn)換審核，2)轉(zhuǎn)換審核應(yīng)不僅僅依賴(lài)文件評(píng)審，尤其是在評(píng)審技術(shù)性信4)如果認(rèn)證機(jī)構(gòu)能確保實(shí)現(xiàn)轉(zhuǎn)換審核目標(biāo)，則可以遠(yuǎn)程實(shí)施轉(zhuǎn)換是否需要是是1)認(rèn)證機(jī)構(gòu)可以在其轉(zhuǎn)換審核方案中規(guī)定獲證客戶提交轉(zhuǎn)換編號(hào):CNAS-EC-066:2022注：當(dāng)獲證客戶因通過(guò)轉(zhuǎn)換審核而更新認(rèn)證文件時(shí)，其當(dāng)2)如果認(rèn)證機(jī)構(gòu)在新版標(biāo)準(zhǔn)發(fā)布前已經(jīng)啟動(dòng)了認(rèn)證轉(zhuǎn)換的相關(guān)工作，應(yīng)分析新版標(biāo)準(zhǔn)發(fā)布稿與前期標(biāo)準(zhǔn)草案的差異，識(shí)別這些差異是否對(duì)認(rèn)證機(jī)構(gòu)的轉(zhuǎn)換安排產(chǎn)生影響，并確定是否需要對(duì)前期實(shí)施的認(rèn)證機(jī)構(gòu)依據(jù)轉(zhuǎn)換安排開(kāi)展的各項(xiàng)活動(dòng)（包括可能對(duì)6認(rèn)可轉(zhuǎn)換實(shí)施過(guò)程6.1.1獲認(rèn)可的認(rèn)證機(jī)構(gòu)在按照上述52)申請(qǐng)結(jié)合例行評(píng)審實(shí)施轉(zhuǎn)換評(píng)審時(shí)，認(rèn)證機(jī)構(gòu)需提出轉(zhuǎn)換申請(qǐng)并與CN編號(hào):CNAS-EC-066:2022否是2)認(rèn)可機(jī)構(gòu)應(yīng)通過(guò)評(píng)審認(rèn)證機(jī)構(gòu)提交的以下信息來(lái)確如果認(rèn)可機(jī)構(gòu)通過(guò)技術(shù)性文件評(píng)審能夠獲得充分的證據(jù)，則不需要安排對(duì)認(rèn)證機(jī)構(gòu)總部的辦公室評(píng)審；如果認(rèn)可機(jī)構(gòu)不能驗(yàn)證認(rèn)證機(jī)構(gòu)轉(zhuǎn)換安排的有效實(shí)施和符否是進(jìn)行的策劃準(zhǔn)備和實(shí)施的轉(zhuǎn)換活動(dòng)能夠保證其具備依據(jù)新版認(rèn)編號(hào):CNAS-EC-066:2022在認(rèn)證機(jī)構(gòu)的轉(zhuǎn)換安排全部完成前，通過(guò)轉(zhuǎn)換評(píng)審之后6.4.3對(duì)已完成轉(zhuǎn)換并更換認(rèn)可證書(shū)附件的認(rèn)證機(jī)構(gòu)，由于未實(shí)施轉(zhuǎn)換安排等原因7其他轉(zhuǎn)換和擴(kuò)大業(yè)務(wù)范圍通過(guò)后換發(fā)依據(jù)認(rèn)證標(biāo)準(zhǔn)并增加新認(rèn)可業(yè)務(wù)范圍的認(rèn)可證書(shū)附7.5自2023年10月31日起，未完成本次轉(zhuǎn)換的認(rèn)證機(jī)構(gòu)，CNAS將按照有關(guān)認(rèn)可規(guī)1ISO/IEC27001:2022認(rèn)證標(biāo)準(zhǔn)換版□信息安全管理體系（ISO/IEC27001）□申請(qǐng)專(zhuān)項(xiàng)評(píng)審□申請(qǐng)結(jié)合例行認(rèn)可保持實(shí)施轉(zhuǎn)換◆依據(jù)ISO/IEC27001:2022開(kāi)展認(rèn)證活動(dòng)時(shí)，審核員等相關(guān)認(rèn)證職能人員在◆能夠在轉(zhuǎn)換期內(nèi)完成對(duì)客戶的認(rèn)證轉(zhuǎn)換，并就相關(guān)安排與客戶進(jìn)行溝通；◆在轉(zhuǎn)換過(guò)程中認(rèn)可標(biāo)識(shí)的使用能夠滿足認(rèn)可機(jī)構(gòu)要求。2□獲得ISO/IEC27001:2022標(biāo)準(zhǔn)□人員能力需求的變化分析□新版標(biāo)準(zhǔn)認(rèn)證的實(shí)施安排□過(guò)渡期內(nèi)舊版標(biāo)準(zhǔn)認(rèn)證的實(shí)施□與客戶溝通認(rèn)證轉(zhuǎn)換安排3□其他說(shuō)明如有請(qǐng)簡(jiǎn)述）析□需要機(jī)構(gòu)對(duì)文件程序調(diào)整□不需要調(diào)整文件程序□需要調(diào)整人員能力準(zhǔn)則□不需要調(diào)整人員能力準(zhǔn)則□其他說(shuō)明如有請(qǐng)簡(jiǎn)述）□人員的培訓(xùn)和評(píng)價(jià)計(jì)劃覆蓋各4□其他培訓(xùn)評(píng)價(jià)安排（如有）□規(guī)定了機(jī)構(gòu)對(duì)認(rèn)證客戶的轉(zhuǎn)換等□已告知客戶與其有關(guān)的轉(zhuǎn)換安□規(guī)定了實(shí)施新版標(biāo)準(zhǔn)認(rèn)證的安□已將機(jī)構(gòu)實(shí)施新版標(biāo)準(zhǔn)認(rèn)證的戶5□規(guī)定了過(guò)渡期內(nèi)新頒發(fā)舊版標(biāo)□已將過(guò)渡期內(nèi)頒發(fā)和保持舊版□規(guī)定了過(guò)渡期內(nèi)認(rèn)證文件中使□已向客戶或潛在客戶告知認(rèn)證□需要修訂文件并已按計(jì)劃進(jìn)行□不需要調(diào)整文件程序□考慮了審核員注冊(cè)等合規(guī)性要6料；評(píng)價(jià)方式，評(píng)價(jià)證明材料等。□已通過(guò)培訓(xùn)