关于ISO/IEC 27001:2022认证标准换版有关事项的通知

尊敬的客户和相关方：

国际标准化组织（ISO）于2022年10月发布了ISO/IEC 27001:2022《信息安全、网络安全和隐私保护信息安全管理体系要求》，该标准代替了ISO/IEC 27001:2013。

根据国家认监委2015年9月28日发布2015年第30号公告《国家认监委关于管理体系认证标准换版工作安排的公告》、CNAS-EC-066:2022《关于ISO/IEC 27001:2022认证标准换版的认可转换说明》，深圳华凯检验认证有限公司（以下简称“HIC”）就有关ISO/IEC 27001:2022认证标准换版工作做出如下说明：

一、认证申请

1、HIC将根据认监委、认可委的要求和安排，实施新版标准转换，可受理依据ISO/IEC 27001:2022的初次认证、再认证、监督转换、专项转换申请，有关安排会及时在HIC的网站上发布，请予以关注。  

2、HIC自2023年10月31日起，不再受理依据GB/T 22080-2016/ISO/IEC 27001:2013标准实施的初次认证和再认证申请，请申请组织提早按ISO/IEC  27001:2022运行信息安全管理体系，合理安排申请时间。

二、认证证书

1、自2023年2月23日起，依据GB/T 22080-2016/ISO/IEC 27001:2013标准的认证证书的有效截止日期统一为2025年10月31日。

2、在 2022年11月1日-2023年02月22日期间依据GB/T22080-2016/ISO/IEC 27001:2013颁发的有效期为三年的信息安全管理体系认证证书，在最近一次的监督审核时未完成认证标准的换版的证书，需将证书有效期更正为2025年10月31日。

三、转换方式

对目前依据GB/T22080-2016/ISO/IEC 27001:2013标准实施认证的获证组织实施以下三种转换方式：

1、结合例行监督审核转换：

（1）自2023年2月22日前（含2月22日）依据GB/T22080-2016/ISO/IEC 27001:2013标准颁发的证书，完成新版标准转换后，新颁发的认证证书有效期截止日期与原颁发的认证证书有效截止日期保持一致。

（2）在2023年2月22日后依据GB/T 22080-2016/ISO/IEC 27001:2013标准颁发的、截止日期为2025年10月31日的证书，完成标准转换后，将恢复原有证书的剩余周期，即还原证书的三年周期。

例如：证书的有效期是2022年12月3日至2025年10月31日，完成转换后，新证书的截止日期将变更为：2025年12月2日。

2、结合再认证审核转换：

结合再认证审核转换，新认证证书的生效日期为重新颁发之日，截止日期为上一证书截止日期后三年。

3、申请安排专项审核：

完成新版标准转换后，将恢复原证书的剩余周期，即还原证书的三年周期。

四、转换审核时间

考虑组织的规模/复杂程度/受法规管制的程度/过程风险等因素；

结合再认证进行转换的，增加不低于0.5人日的审核时间；

结合监督审核转换的，增加不低于1人日的审核时间；

通过进行独立的专项审核进行转换的，需至少安排1人日的审核时间。

五、转换期截止后安排

在 IAF规定的转版截止日期未能完成转版的认证客户，HIC将撤销原认证证书，并按照对新认证客户的要求，依据 ISO/IEC 27001:2022 标准实施审核后，签发 ISO/IEC 27001:2022 认证证书。

六、获证组织转换的准备工作建议

1、对认证标准转换制定转换计划，并考虑ISMS的完整性、资源的可用性、责任和权限的重新分配；

2、对新旧标准进行差异分析，按照新版标准的要求修订现有的信息安全管理体系文件，结合组织具体情况制定有效的控制措施，并予以实施；

3、对内审员及相关人员进行标准转版培训；

4、按ISO/IEC 27001:2022标准要求运行三个月，并依据ISO/IEC 27001:2022标准完成内部审核和管理评审。

七、联系方式

1、HIC客服专员会及时与您联系，沟通ISO/IEC 27001:2022标准的转换的相关事宜，以合理安排转换审核，保证证书的持续有效性。

2、为保证信息安全管理体系持续运行，有效完成转换，组织有任何需求或疑问请及时联系HIC客服专员。

请各获证组织做好证书换版的安排，确保贵公司的信息安全管理体系认证证书持续有效。

    深圳华凯检验认证有限公司

二〇二三年二月二十二日