CNAS-EC-066-2022 关于ISOIEC 270012022认证标准换版的认可转换说明(2023第一次修订版).pdf

认 可 说 明 编号:CNAS-EC-066:2022 第 1 页 共 6 页 发布日期:2022 年 11 月 15 日 第一次修订:2023 年 02 月 24 日 实施日期:2022 年 11 月 15 日 关于ISO/IEC 27001:2022认证标准换版的认可转换说明 1 背景背景 1.1 ISO发布了发布了ISO/IEC 27001:2022 国际标准化组织（ISO）于2022年10月发布了ISO/IEC 27001:2022 信息安全、网络安全和隐私保护 信息安全管理体系 要求，该标准代替了ISO/IEC 27001:2013。可从ISO网站（https:/www.iso.org/store.html）或中国标准信息服务网（https:/ 27001:2022。1.2 IAF发布了发布了IAF MD26:2022 国际认可论坛（IAF）在2022年8月发布了IAF MD26:2022 ISO/IEC 27001:2022转换要求（第1版），并在2023年2月修订发布IAF MD26:2023（第2版）。该文件识别了ISO/IEC 27001:2022的主要变化及影响，提出了本次转换周期，并规定了认可机构和认证机构实施转换过程的具体要求。IAF MD26可从IAF网站下载：（https:/iaf.nu/en/iaf-documents/?cat_id=7）。注：IAF MD26:2023（第2版）与2022年（第1版）相比主要变化包括：1）更新了ISO/IEC 27001:2022修订的主要变化；2）调整了认证机构仅依据ISO/IEC 27001:2022实施初次认证和再认证的截止日期；3）修改了认证机构实施ISO/IEC 27001:2022认证转换时所需额外的转换审核人天数。1.3 我国认证标准转换相关的要求我国认证标准转换相关的要求 国家认监委（CNCA）于2015年9月28日发布2015年第30号公告国家认监委关于管理体系认证标准换版工作安排的公告。公告中明确了在等同采用国际标准的管理体系认证领域中，在国际标准发布后新版国家标准发布前的时期内依据国际标准开展认证及相关工作的安排。综上所述，CNAS将开展ISO/IEC 27001:2022认证标准转换活动。注：本文中新版认证标准是指ISO/IEC 27001:2022，旧版认证标准是指ISO/IEC 27001:2013。2 目的和范围目的和范围 认 可 说 明 编号:CNAS-EC-066:2022 第 2 页 共 6 页 发布日期:2022 年 11 月 15 日 第一次修订:2023 年 02 月 24 日 实施日期:2022 年 11 月 15 日 本转换说明用于指导开展ISO/IEC 27001:2022认证标准转换活动。本次认可转换工作涉及CNAS认可制度体系表（CNAS-ASC01）中信息安全管理体系（ISMS）专项认证机构认可制度。3 规范性引用文件规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。IAF MD26 ISO/IEC 27001:2022转换要求 4 转换期转换期 IAF MD26 第3章适用，即：活动活动 截止日期截止日期 认可机构认可机构 认可机构完成 ISO/IEC 27001:2022 的评审准备不晚于 ISO/IEC 27001:2022发布月份最后一天起 6 个月，即 2023 年 4 月 30 日；认可机构对仅依据 ISO/IEC 27001:2022认证的认证机构实施初次评审不晚于 ISO/IEC 27001:2022发布月份最后一天起 6 个月，即 2023 年 4 月 30 日；认可机构完成对认证机构的转换不晚于 ISO/IEC 27001:2022发布月份最后一天起 12 个月，即 2023 年 10 月 31 日；认证机构认证机构 认证机构仅依据 ISO/IEC 27001:2022实施初次认证和再认证不晚于 ISO/IEC 27001:2022发布月份最后一天起 18 个月，即 2024 年 4 月 30 日；认证机构完成对获证客户的转换不晚于 ISO/IEC 27001:2022发布月份最后一天起 36 个月，即 2025 年 10 月 31 日；5 认可转换准备认可转换准备 5.1 CNAS 的认可转换准备的认可转换准备 2023年1月31日前，CNAS完成本次转换的相关准备工作。5.2 认证机构的转换安排认证机构的转换安排 5.2.1 IAF MD26的4.2条下列内容适用，即：活动活动 是是/否否 备注备注 认证机构的转换安排 是 1)认证机构应根据本文件和相关认可机构的要求来制定其关于 ISO/IEC 27001:2022 的转换安排。认 可 说 明 编号:CNAS-EC-066:2022 第 3 页 共 6 页 发布日期:2022 年 11 月 15 日 第一次修订:2023 年 02 月 24 日 实施日期:2022 年 11 月 15 日 2)转换安排应规定认证机构应做什么和客户应做什么。认证机构的转换安排可以是多个独立的文件。3)转换安排应至少包括以下事项：ISO/IEC 27001 的变化和差距分析；对相关认证过程、文件和（适用时）管理认证活动的信息系统的调整需求；相关人员具备 ISO/IEC 27001:2022 和转换过程的能力；审核组作为一个整体，应了解 ISO/IEC 27002:2022 中的所有信息安全控制及其实施 见 ISO/IEC 27006:2015,7.1.2.1.3 b）；转换审核方案；与客户及时沟通转换方案，例如时限、转换审核方法、没能在截止日期前完成转换的后果；4)鼓励认证机构尽早策划和开展转换所需的活动；转换审核 是 1)认证机构可以结合监督审核和再认证审核实施转换审核，也可以单独实施转换审核；2)转换审核应不仅仅依赖文件评审，尤其是在评审技术性信息安全控制时；3)转换审核应包括，但不限于以下方面：ISO/IEC 27001:2022 的差距分析，以及客户 ISMS 的变更需求；符合性声明（SoA）的更新；适用时，风险处置计划的更新；客户所选的、新的或变化的信息安全控制的实施情况及其有效性；4)如果认证机构能确保实现转换审核目标，则可以远程实施转换审核；转换是否需要额外的时间？是 1）当转换审核是结合再认证审核实施时，转换审核需至少安排0.5 审核人天；2）当转换审核是单独进行的或是结合监督审核实施时，转换审核需至少安排 1.0 审核人天。其他 是 1)认证机构可以在其转换审核方案中规定获证客户提交转换申请的时限。2)认证机构应根据转换审核结果做出转换决定。3)如果获证客户的 ISMS 满足 ISO/IEC 27001:2022 的要求，认 可 说 明 编号:CNAS-EC-066:2022 第 4 页 共 6 页 发布日期:2022 年 11 月 15 日 第一次修订:2023 年 02 月 24 日 实施日期:2022 年 11 月 15 日 认证机构应为其更新认证文件。注：当获证客户因通过转换审核而更新认证文件时，其当前认证周期保持不变。4)所有依据 ISO/IEC 27001:2013 的认证应在转换截止日期后失效或被撤销。注：表中的“是”表示认证机构需要完成相关活动，并满足“备注”栏中的要求。5.2.2 认证机构转换安排的内容还应包括：1)在过渡期内仍然依据旧版认证标准保持或颁发认证的安排及相关要求，如：原有客户依据旧版认证标准保持认证的安排等；2)如果认证机构在新版标准发布前已经启动了认证转换的相关工作，应分析新版标准发布稿与前期标准草案的差异，识别这些差异是否对认证机构的转换安排产生影响，并确定是否需要对前期实施的转换工作进行必要的调整或补充；3)考虑符合相关法规要求的安排，如：考虑与认证机构相关的行政审批资格、与审核人员相关的注册要求等合规性要求的安排。5.2.3 认证机构制定的转换安排中，应考虑各项工作的相互关系和完成时限，保证认证机构在具备能力后开展依据新版标准的认证工作，并应确保最迟在转换截止期结束前完成旧版认证标准的转换工作。5.3 认证机构转换安排的实施认证机构转换安排的实施 已认可的认证机构应按照转换安排（见5.2）实施各项活动。认证机构依据转换安排开展的各项活动（包括可能对转换安排调整后确定的活动）应足以确保认证机构具备能力并按照新版标准要求实施认证。6 认可转换实施过程认可转换实施过程 6.1 认可认可转换申请转换申请 6.1.1 获认可的认证机构在按照上述5.2制定转换安排，并按照5.3进行了必要转换活动的基础上，可向CNAS申请认可转换。6.1.2 自2023年1月31日起，CNAS既接受认证机构提出的专项认可转换申请，也接受认证机构结合例行办公室评审进行认可转换的申请。1)申请专项认可转换时，CNAS将在受理转换申请后的一个月内完成转换评审并产生转换评审结论。2)申请结合例行评审实施转换评审时，认证机构需提出转换申请并与CNAS联系确定相关事宜，以便安排评审组实施转换评价。通常情况下，结合例行评审实施的转换评审，其转换评审结论将与例行评审结论同时产生。注：认证机构在确定采取结合例行办公室评审实施转换时，需适当考虑完成例行认 可 说 明 编号:CNAS-EC-066:2022 第 5 页 共 6 页 发布日期:2022 年 11 月 15 日 第一次修订:2023 年 02 月 24 日 实施日期:2022 年 11 月 15 日 评审各项活动所需的总体时间，以确保在认可转换截止期前完成转换。6.1.3 获认可的认证机构在申请认可转换时，需填写附表ISO/IEC 27001:2022认证标准换版的认可转换申请与评价表并与相应的证明材料一并提供CNAS。认证机构填报的附表及提供相应的证明材料时，需同时提供纸质版和电子版。6.2 认可转换评审方法认可转换评审方法 6.2.1 IAF MD 26中4.1条中有关转换评审方法的内容适用，即：活动 是/否是/否 备注备注 文件评审 否 技术性文件评审 是 1)认可机构应实施技术性文件评审，以确认认证机构是否具备依据 ISO/IEC 27001:2022 实施认证审核的能力。2)认可机构应通过评审认证机构提交的以下信息来确定其转换安排的适宜性和适用时，实施的有效性：ISO/IEC 27001:2022 变化的差距分析；转换安排及其实施证据；认可机构需要的其他相关信息；在认证机构的总部实施技术性文件评审（现场或远程）适用时 如果认可机构通过技术性文件评审能够获得充分的证据，则不需要安排对认证机构总部的办公室评审；如果认可机构不能验证认证机构转换安排的有效实施和符合性，则需要进行办公室评审。见证评审 否 转换是否需要额外的时间？是 当以专项评审的方式实施转换时，至少需要 0.5 人日，以确认认证机构是否满足转换要求。注：表中“是”表示本次转换评审需实施相关活动并满足“备注”栏中的要求，“否”表示本次转换评审不需要实施相应活动。6.2.2 当转换评审与监督评审或扩项评审一同实施时，转换评审将至少安排0.5人日。6.3 转换评审转换评审结论与输出结论与输出 6.3.1 在转换评审过程中可能需要认证机构补充提交评审资料，认可转换评审将产生“转换评审通过”或“转换评审不予通过”的结论。1)对转换评审不予通过的认证机构，可以在自身调整或补充完成相关转换工作后重新申请转换。2)对转换评审通过的认证机构，CNAS将换发该领域认可证书附件。6.3.2 完成转换评审并获得更新后的认可证书附件，证明认证机构针对认证标准换版进行的策划准备和实施的转换活动能够保证其具备依据新版认证标准开展认证活动认 可 说 明 编号:CNAS-EC-066:2022 第 6 页 共 6 页 发布日期:2022 年 11 月 15 日 第一次修订:2023 年