CNAS-EC-039：2014_认证机构依据ISOIEC 270012013实施信息安全管理体系认证的认可转换说明.pdf

认 可 说 明 编号：CNAS-EC-039:2014 第 1 页 共 3 页 认证机构依据ISO/IEC 27001:2013实施 信息安全管理体系认证的认可转换说明 0 背景 0.1 当前，我国信息安全管理体系（ISMS）认证的认证依据是GB/T 22080-2008 《信息技术安全技术 信息安全管理体系 要求》（IDT ISO/IEC 27001:2005）。 0.2 国际标准化组织（ISO）于2013年10月1 日发布了ISO/IEC 27001:2013 《信息 技术 安全技术 信息安全管理体系 要求》。该标准代替了ISO/IEC 27001:2005。 0.3 我国正按照等同采用的原则，由全国信息安全标准化技术委员会 （SAC/TC260 ）负责将ISO/IEC 27001:2013转换为国家标准（以下简称“新版GB/T 22080 ”），以代替GB/T 22080-2008。 0.4 2013年10月国际认可论坛（IAF）成员大会，通过了有关ISO/IEC 27001:2013 转换的决议（编号为：IAF Resolution 2013-13）。该决议规定：1）符合ISO/IEC 27001:2013 的截止日期为该标准发布之后的2年，即转换截止日期为2015年9月30 规范 国标 日；2 ）自该标准发布一年后（即2014年10月1 日），所有新颁发的、获认可的认 证证书均应依据ISO/IEC 27001:2013。  1 目的 为确保ISO/IEC 27001:2013的顺利转换，CNAS根据IAF相关决议、我国ISMS 认证认可的实际情况以及ISO/IEC 27001新旧版本之间的变化情况，制定本文件。 2 转换期 2.1 作为IAF成员，CNAS需执行IAF有关ISO/IEC 27001:2013的转换决议（见0.4 ）。 2.2 需要时，CNAS将根据国家的相关法规要求和新版GB/T 22080的实施日期，调整 ISMS认可证书和ISMS认证证书的转换截止日期，并通知相关方。 3 认可证书的转换 3.1 获认可的认证机构应分析ISO/IEC 27001新旧版本之间的差异及其对ISMS认证 活动的影响，并调整自身的管理体系，以满足ISMS认证转换的需要。 发布日期:2014 年 06 月 20 日 实施日期:2014 年 06 月 20 日 认 可 说 明 编号：CNAS-EC-039:2014 第 2 页 共 3 页 3.2 自2014年9月1 日至2015年7月31 日，CNAS将结合年度监督或复评的办公室评 审，对已认可的ISMS认证机构实施转换评审。如有需要，认证机构也可向CNAS 申 请专项评审，以完成转换。自2015年8月1 日以后，CNAS不再安排针对ISO/IEC 27001:2013转换的现场评审工作。 3.3 在转换评审时，CNAS将关注认证机构针对ISO/IEC 27001:2013转换所采取的措 施，包括但不限于： 1）对ISO/IEC 27001新旧版本之间的变化及其影响的分析； 2 ） ISMS能力分析评价系统的调整与实施，包括参与审核与认证过程的各类人员 的培训和能力评价； 3 ） 自身管理体系文件的修订计划及实施情况； 4 ）对获证客户的转换安排及实施情况； 5 ）适用时，针对认证机构认证业务范围的行政审批、ISMS审核员执业资格注册 等合规性问题所做的安排。 CNAS评审组将评价认证机构所采取措施的适宜性、充分性和有效性（适当时）， 并在认可评审报告中做出是否通过转换评审的推荐建议。 3.4 通过CNAS转换评审的认证机构，可在新版GB/T 22080发布之后向CNAS提出更 换认可证书附件的书面申请。CNAS将为其换发依据新版GB/T 22080的认可