关于组织信息安全管理体系 按ISO/IEC 27001:2022 认证标准换版的通知

尊敬的客户：

国际标准化组织（ ISO ）于2022年10月发布了ISO/IEC27001:2022《信息安全、网络安全和隐私保护信息安全管理体系 要求》该标准代替了ISO/IEC 27001:2013。

根据国家认监委2015年9月28日发布2015年第30号公告《国家认监委关于管理体系认证标准换版工作安排的公告》、CNAS-EC-066：2022《关于ISO/IEC 27001：2022 认证标准换版的认可转换说明》 ，江苏天圭认证有限公司（以下简称“天圭认证”）就有关ISO/IEC 27001:2022认证标准换版工作做出如下说明：

一、认证申请

1、天圭认证将根据认监委、认可委的要求和安排，实施新版标准转换，可受理依据 ISO/IEC 27001:2022 的初次认证、再认证、监督转换、专项转换申请，有关安排会及时在天圭认证的网站、微信公众号上发布，请予以关注。

2、天圭认证自2024年01月01日起，不再受理依据 GB/T22080-2016/ISO/IEC 27001:2013 标准实施的初次认证和再认证申请，请申请组织提早按 ISO/IEC   27001:2022 运行信息安全管理体系，合理安排申请时间。

二、认证证书

1、自2023年03月06 日起，依据 GB/T22080-2016/ISO/IEC27001:2013 标准的认证证书的有效截止日期统一为2025年10 月31日。

2、在2022年11月1日—2023年03月05日期间依据 GB/T22080-2016/ISO/IEC 27001:2013 颁发的有效期为三年的信息安全管理体系认证证书，在最近一次的监督审核时未完成认证标准换版的证书，证书有效期更正为 2025年10月31日。

3、在天圭认证通过CNAS认可前，依据 ISO/IEC 27001:2022 颁发的认证证书不带标。

三、转换方式

对目前依据GB/T22080-2016/ISO/IEC 27001:2013标准实施认证的获证组织实施以下三种转换方式：

1、结合例行监督审核转换

（1）自2022年11月1日前（含11月1日）依据 GB/T22080-2016/ISO/IEC  27001:2013 标准颁发的证书，完成新版标准转换后，新颁发的认证证书有效期截止日期与原颁发的认证证书有效截止日期保持一致。

（2）在2022年11月1日后依据GB/T22080-2016/ISO/IEC 27001:2013 标准颁发的、截止日期为 2025年10月31日的证书，完成标准转换后，将恢复原有证书的剩余周期，即还原证书的三年周期。

例如：证书的有效期是 2022年12月3日至2025年10 月31日，完成转换后，新证书的截止日期将变更为：2025年12 月2 日。

2、结合再认证审核转换

结合再认证审核转换，新认证证书的生效日期为重新颁发之日，截止日期不超过上一证书截止日期后三年。

3、申请安排专项审核

完成新版标准转换后，将恢复原证书的剩余周期，即还原证书的三年周期。

四、转换审核时间

结合监督和再认证进行转换时，在规定的审核人日基础上可依据组织的规模/复杂程度/受法规管制的程度/过程风险等因素增加不低于0.5人日的审核时间；若采取专项转换审核方式，审核人日数应不低于1人日，以确保标准转换审核的有效性。

五、获证组织转换的准备工作建议

1、对认证标准转换制定转换计划，并考虑ISMS的完整性、资源的可用性、责任和权限的重新分配；

2、 对新旧标准进行差异分析，按照新版标准的要求修订现有的信息安全管理体系文件，结合组织具体情况制定有效的控制措施，并予以实施；

3、 对内审员及相关人员进行标准转版培训；

4、按ISO/IEC 27001:2022标准要求运行三个月，并依据ISO/IEC 27001:2022 标准完成内部审核和管理评审。

六、联系方式

1、天圭认证客服经理会及时与您联系，沟通ISO/IEC 27001:2022标准的转换的相关事宜，以合理安排转换审核，保证证书的持续有效性。

2、为保证信息安全管理体系持续运行，有效完成转换，组织有任何需求或疑问请及时联系天圭认证客服经理。

3、 联系人：李老师025-85698030

江苏天圭认证有限公司

2023年03月06日