尊敬的获证客户: 国际标准化组织于2022年10月发布ISO/IEC27001:2022《信息安全、网络安全和隐私保护信息安全管理体系要求》(以下简称新版标准),该标准替代了ISO/IEC27001:2013 标准(以下简称旧版标准)。为确保获证客户顺利实施换版工作,现将有关事项通知如下: 一 、转换期限 1、转换期限: 新版标准转换期为 2022年10月31日至2025年10月31日。 即自2025年10月31日起,旧版标准的认证证书将全部失效。因此,请获证客户在2025年10月31日前完成转换工作并取得新版标准认证证书。 2、 转换申请受理: 2.1 华夏认证中心自2023年3月1日起,开始受理新版标准的转换申请,同时也受理新版标准的初次认证申请。通过新版标准的转换审核或认证审核后,中心将向客户暂时颁发不带认可标志的新版标准认证证书,待中心获得认可机构的认证标准转换认可后,为客户换发带认可标志的认证证书; 2.2 华夏认证中心自2023年10月31日起,停止实施旧版标准的初次认证审核; 2.3 华夏认证中心自2024年10月31日起 ,停止实施旧版标准的再认证审核。 二、 获证客户新版标准转换的准备工作 1、 组织内审员、体系相关管理人员进行新版标准的培训,以充分了解掌握新版标准修订变化的主要内容及要求。例如:附录A“信息安全控制参考”的变化,2013版的114个控制项划分为35个类别,变更为新版93个控制项4个类别,增加11个控制项,合并24个控制项。 2、 识别新版标准与旧版标准之间的差异,分析这些差异对管理体系文件的影响,并根据 分析结果对管理体系文件进行必要的修订; 3、 组织相关管理人员及员工对于修订后的管理体系文件的培训,以了解和掌握修订后的 管理体系要求,并按新要求实施运行管理体系; 4、 组织实施按照新版标准的管理体系相关要求的内审及管理评审工作(也可以是专项管 理评审、专项内审或专项检查)。 5、根据现有证书有效期和下次审核的时间,确定新版信息安全管理体系转换审核时间。 三、 新版标准转换审核申请的要求 申请新版标准转换审核的获证客户,需要: 1、提出书面的《换版认证申请》认证转换申请交项目负责人; 2、提交按新版认证标准要求修订并批准发布的管理体系文件; 3、完成了依据新版认证标准的管理体系要求的内审及管理评审工作(也可以是专项管理评审、专项内审或专项检查)。 四、 新版标准转换审核的方式及费用: 1、结合监督审核进行换版:获证客户可以结合年度监督审核完成换版,通过换版审核之后,换发新版认证标准认证证书,新证书有效期与原证书的有效期相同。结合监督审核换版仍按原合同规定的监督费用收费,不再另行收取换版费用。 2、 结合再认证审核进行换版:当获证客户的证书已进行完两次监督审核,或原证书到期时间已不足15个月,或获证客户决定提前再认证时,可以结合再认证审核完成换版。结合再认证审核换版按正常再认证的费用和程序实施,不另外增收换版费用。再认证通过之后的新证书有效期为三年(基于原证书有效期)。 3、 专项审核进行换版:当获证客户处于市场或自身管理需要,在时间上不能结合前两种方式进行认证转换时,可以申请专项审核进行认证转换。专项转换需签订《认证合同补充协议》,按照转换审核策划人日收取换版费用。客户通过认证转换之后,换发新版认证标准的认证证书,新证书有效期与原证书的有效期相同。 五、新版标准转换技术服务 1、作为国内最早从事信息安全管理体系认证工作的认证机构,华夏认证拥有大量的信息安全、网络安全和隐私安全管理的最佳实践,为近万家企业颁发国内国际双认可认证证书。对不同体系成熟度的客户,可以提供具有针对性的转版培训和解决方案。 2、随着转版工作的开展,我们将及时通过邮件、微信、网站等方式,及时将标准转换和转版服务的最新信息传达至获证客户,希望获证组织关注,以便提前策划和实施转版工作; 3、在转版过程中有任何服务需求,请及时与相关人员联系解决: 关英:0411-84309177; 夏激扬:0411-84309176; 希望各获证客户对于标准转换工作给予高度重视,尽早启动换版工作。 我们将竭诚协助获证客户平稳顺利的实现新版信息安全管理体系标准的转换工作。
|