CNAS-EC-066-2022《关于ISOIEC 27001-2022认证标准换版的认可转换说明》(2023第一次修订)2023-2-24-发布清稿

关于ISO/IEC27001:2022认证标准换版的认可转换说明国际标准化组织(ISO)于2022年10月发布了ISOIEC27001:2022《信息安全、网络安全和隐私保护信息安全管理体系要求》,该标准代替了ISO/IEC可从ISO网站(https://www.iso.orq/s国际认可论坛(IAF)在2022年8月发布了IA转换要求》(第1版),并在2023年2月修订发布IAFMD26:2023(第2版)。该文件注：IAFMD26:2023(第2版)与2022年(第1版)相比主要变化包括：1)更新了ISO/IEC27001:2022修订的主要变化；2)调整了认证机构仅依据ISO/IEC27001:2022实施初次认证和再认证的截止日3)修改了认证机构实施ISO/IEC27001:2022认证转换时所需额外的转换审核人1.3我国认证标准转换相关的要求国家认监委(CNCA)于2015年9月28日发布2015年第30号公告——《国家认监发布日期：2022年11月15日第一次修订：2023年02月24日实施日期：2022年11月15日编号:CNAS-EC-066:2022本转换说明用于指导开展ISO/IEC27001:2022认证标准转换活动。3规范性引用文件4转换期认证机构仅依据ISO/IEC27001:20225认可转换准备认证机构的转是1)认证机构应根据本文件和相关认可机构的要求来制定其关编号:CNAS-EC-066:20222)转换安排应规定认证机构应做什么和客户应做什么。认证对相关认证过程、文件和（适用时）管理认证活动的信所有信息安全控制及其实施[见ISO/IEC27006:2015,与客户及时沟通转换方案，例如时限、转换审核方法、是1)认证机构可以结合监督审核和再认证审核实施转换审核，2)转换审核应不仅仅依赖文件评审，尤其是在评审技术性信4)如果认证机构能确保实现转换审核目标，则可以远程实施转换是否需要是是1)认证机构可以在其转换审核方案中规定获证客户提交转换编号:CNAS-EC-066:2022注：当获证客户因通过转换审核而更新认证文件时，其当2)如果认证机构在新版标准发布前已经启动了认证转换的相关工作，应分析新版标准发布稿与前期标准草案的差异，识别这些差异是否对认证机构的转换安排产生影响，并确定是否需要对前期实施的认证机构依据转换安排开展的各项活动（包括可能对6认可转换实施过程6.1.1获认可的认证机构在按照上述52)申请结合例行评审实施转换评审时，认证机构需提出转换申请并与CN编号:CNAS-EC-066:2022否是2)认可机构应通过评审认证机构提交的以下信息来确如果认可机构通过技术性文件评审能够获得充分的证据，则不需要安排对认证机构总部的办公室评审；如果认可机构不能验证认证机构转换安排的有效实施和符否是进行的策划准备和实施的转换活动能够保证其具备依据新版认编号:CNAS-EC-066:2022在认证机构的转换安排全部完成前，通过转换评审之后6.4.3对已完成转换并更换认可证书附件的认证机构，由于未实施转换安排等原因7其他转换和扩大业务范围通过后换发依据认证标准并增加新认可业务范围的认可证书附7.5自2023年10月31日起，未完成本次转换的认证机构，CNAS将按照有关认可规1ISO/IEC27001:2022认证标准换版□信息安全管理体系（ISO/IEC27001）□申请专项评审□申请结合例行认可保持实施转换◆依据ISO/IEC27001:2022开展认证活动时，审核员等相关认证职能人员在◆能够在转换期内完成对客户的认证转换，并就相关安排与客户进行沟通；◆在转换过程中认可标识的使用能够满足认可机构要求。2□获得ISO/IEC27001:2022标准□人员能力需求的变化分析□新版标准认证的实施安排□过渡期内旧版标准认证的实施□与客户沟通认证转换安排3□其他说明如有请简述）析□需要机构对文件程序调整□不需要调整文件程序□需要调整人员能力准则□不需要调整人员能力准则□其他说明如有请简述）□人员的培训和评价计划覆盖各4□其他培训评价安排（如有）□规定了机构对认证客户的转换等□已告知客户与其有关的转换安□规定了实施新版标准认证的安□已将机构实施新版标准认证的户5□规定了过渡期内新颁发旧版标□已将过渡期内颁发和保持旧版□规定了过渡期内认证文件中使□已向客户或潜在客户告知认证□需要修订文件并已按计划进行□不需要调整文件程序□考虑了审核员注册等合规性要6料；评价方式，评价证明材料等。□已通过培训