认证机构依据ISO/IEC27001:2013实施信息安全管理体系认证的认可转换说明

2015年10月20日发布

2015年10月20日实施

0 背景

0.1 当前，我国信息安全管理体系（ISMS）认证的认证依据是GB/T22080-2008《信息技术安全技术信息安全管理体系要求》（IDTISO/IEC27001:2005）。

0.2 国际标准化组织（ISO）于2013年10月1日发布了ISO/IEC27001:2013《信息技术安全技术信息安全管理体系要求》。该标准代替了ISO/IEC27001:2005。

0.3 我国正在按照等同采用的原则，由全国信息安全标准化技术委员会（SAC/TC260）负责将ISO/IEC27001:2013转换为国家标准，以代替GB/T22080-2008。

0.4 2013年10月国际认可论坛（IAF）成员大会，通过了有关ISO/IEC27001:2013转换的决议（编号为：IAFResolution2013-13）。该决议规定：1）符合ISO/IEC27001:2013的截止日期为该标准发布之后的2年，即转换截止日期为2015年9月30日；2）自该标准发布一年后（即2014年10月1日），所有新颁发的、获认可的认证证书均应依据ISO/IEC27001:2013。

0.5 2015年9月28日，国家认证认可监督管理委员会（以下简称“国家认监委”）发布了第30号公告《关于管理体系认证标准换版工作安排的公告》。该公告中规定：1）在国家标准等同采用国际标准的领域内，具备该领域批准资格的认证机构，可在新版国际标准发布实施之后至新版国家标准发布实施之前的时间段内，向客户颁发以新版国际标准作为认证依据的认证证书。2）中国合格评定国家认可委员会（CNAS）要结合国际认可论坛（IAF）的统一要求，根据我国认证机构工作实际，制定标准换版工作方案，开展认可证书的换证工作。在新版国际标准发布实施之后至新版国家标准发布实施之前的时间段内，CNAS可对依据新版国际标准开展认证的认证机构进行认可。

0.6 鉴于等同采用ISO/IEC27001:2013的国家标准目前尚未发布，CNAS根据国家认监委2015年第30号公告的要求，调整了ISMS认可转换安排，明确了认证机构完成ISMS认证转换的截止时间。

1 目的

为确保ISO/IEC27001:2013的顺利转换，CNAS根据IAF相关决议、我国ISMS认证认可的实际情况以及ISO/IEC27001新旧版本之间的变化情况，制定本文件。

2 转换期

2.1 自2015年10月1日起，所有新颁发的、加施了CNAS认可标识的ISMS认证证书均应依据新版ISO/IEC27001:2013。

注：新颁发的认证证书，包括初次认证和再认证所颁发的认证证书。

2.2 带CNAS认可标识的、依据GB/T22080-2008的ISMS认证证书，应在2016年9月30日前转换为依据ISO/IEC27001:2013的认证证书。自2016年9月30日之后，依据GB/T22080-2008的ISMS认证证书不能加施CNAS认可标识。

3 认可证书的转换

3.1 获认可的认证机构应分析ISO/IEC27001新旧版本之间的差异及其对ISMS认证活动的影响，并调整自身的管理体系，以满足ISMS认证转换的需要。

3.2 自2014年9月1日至2015年7月31日，CNAS将结合年度监督或复评的办公室评审，对已认可的ISMS认证机构实施转换评审。如有需要，认证机构也可向CNAS申请专项评审，以完成转换。自2015年8月1日以后，CNAS不再安排针对ISO/IEC27001:2013转换的现场评审工作。

3.3 在转换评审时，CNAS将关注认证机构针对ISO/IEC27001:2013转换所采取的措施，包括但不限于：

1）对ISO/IEC27001新旧版本之间的变化及其影响的分析；

2）ISMS能力分析评价系统的调整与实施，包括参与审核与认证过程的各类人员的培训和能力评价；

3）自身管理体系文件的修订计划及实施情况；

4）对获证客户的转换安排及实施情况；

5）适用时，针对认证机构认证业务范围的行政审批、ISMS审核员执业资格注册等合规性问题所做的安排。

CNAS评审组将评价认证机构所采取措施的适宜性、充分性和有效性（适当时），并在认可评审报告中做出是否通过转换评审的推荐建议。

3.4 自2015年9月28日起，CNAS开始为已通过CNAS转换评审的认证机构换发依据ISO/IEC27001:2013的认可证书附件。

3.5 在更换认可证书之后的首次办公室评审，CNAS评审组将继续跟踪认证机构针对本次转换所采取措施的实施情况。

4 已认可的认证证书的转换

4.1 CNAS鼓励获认可的认证机构尽早在认证审核过程中关注获证客户满足ISO/IEC27001:2013的情况。

4.2 获认可的认证机构可以结合例行的监督审核或再认证审核对获证客户进行转换审核，也可以采取专项审核的方式实施转换审核。此外，获认可的认证机构还可以选择在完成CNAS认可转换之前对获证客户实施转换审核。

4.3 在获得了依据ISO/IEC27001:2013的认可证书之后，认证机构方可在CNAS已认可的业务范围内为通过转换审核的获证组织换发带有CNAS认可标识的、依据ISO/IEC27001:2013的认证证书。

5 依据GB/T22080-2008的认可申请

5.1 自2014年6月20日起，CNAS不再受理依据GB/T22080-2008的初次认可或扩大认可领域的认可申请。对于已受理的申请，CNAS将在评审过程中增加ISO/IEC27001：2013转换的评审内容（详见本文“3.认可证书的转换”）。

5.2 自2014年6月20日起，CNAS不再受理依据GB/T22080-2008的扩大认可业务范围的认可申请。

5.3 自2015年10月1日起，CNAS将受理依据ISO/IEC27001:2013实施ISMS认证的认可申请。

6 其他

6.1 CNAS在实施转换评审时将适当地增加评审人天数。

6.2 自2016年1月1日起，CNAS监督和复评的见证评审，将仅接受审核依据为ISO/IEC27001:2013的认证项目。

6.3 ISO正在修订ISO/IEC27006:2011《信息技术安全技术信息安全管理体系审核认证机构的要求》。CNAS将在新版ISO/IEC27006发布后统一修订CNAS-CC17:2012《信息安全管理体系认证机构要求》和CNAS-SC18:2012《信息安全管理体系认证机构认可方案》。在此之前，CNAS-CC17:2012和CNAS-SC18:2012中引用GB/T22080-2008的相关内容，CNAS将按照等同引用ISO/IEC27001:2013相应内容的方式处理。

6.4 原《关于发布对实施CNAS-EC-039:2014的补充说明的通知》[认可委（秘）（2014）124号）]，自本文件实施之日起废止。