尊敬的HXQC客戶：

國際標準(zhun)化(hua)組織（ISO）于2022年10月發(fa)布了ISO/IEC 27001:2022《信(xin)(xin)息(xi)安(an)全、網絡安(an)全和隱(yin)私(si)保護 信(xin)(xin)息(xi)安(an)全管理體系(xi) 要(yao)求》，該標準(zhun)代替(ti)了ISO/IEC 27001:2013作為信(xin)(xin)息(xi)安(an)全管理體系(xi)的認證依據。根據IAF MD26決議和CNAS認可文件規定，認證機構對信(xin)(xin)息(xi)安(an)全管理體系(xi)獲(huo)證客戶(hu)的轉(zhuan)換(huan)不應晚于2025年10月31日。

為了(le)確保客(ke)戶做好信息(xi)安(an)全管(guan)理體系認證標準由GB/T 22080-2016/

ISO/IEC 27001:2013（以(yi)下(xia)簡(jian)稱舊版(ban)標(biao)準）向(xiang)IS0/IEC 27001:2022（以(yi)下(xia)簡(jian)稱新版(ban)標(biao)準）的(de)轉換工(gong)作，北京大陸航星(xing)質量認證(zheng)中(zhong)心(xin)股份有限公(gong)司（以(yi)下(xia)簡(jian)稱HXQC）特(te)做(zuo)出如下(xia)安排：

一、認證申(shen)請和審核安(an)排

1、2023年5月(yue)1日起(qi)HXQC開始受理(li)依(yi)據(ju)新版(ban)標準的認證申請（包括初次審(shen)核、再認證審(shen)核+轉換(huan)、監督+轉換(huan)、擴大范圍、專項轉換(huan)審(shen)核）并(bing)開始實施審(shen)核、頒發(fa)/換(huan)發(fa)新版(ban)標準認證證書。

2、2024年4月(yue)30日前(qian)，HXQC依然可以依據舊版標準受理認(ren)證申(shen)請并(bing)頒發舊版標準認(ren)證證書，認(ren)證證書有效期(qi)至2025年10月(yue)30日。

3、2024年(nian)4月30日起，HXQC將全部依據新版標準實施初次(ci)認(ren)證(zheng)(zheng)(zheng)審核和(he)(he)再(zai)認(ren)證(zheng)(zheng)(zheng)審核，即不再(zai)安排舊版標準初次(ci)認(ren)證(zheng)(zheng)(zheng)審核和(he)(he)再(zai)認(ren)證(zheng)(zheng)(zheng)審核。

4、2024年10月(yue)31日(ri)起，不再安排舊(jiu)版(ban)標準監督審核。已按舊(jiu)版(ban)標準頒發的(de)信息安全管理體系認(ren)證(zheng)證(zheng)書，在2025年10月(yue)31日(ri)前須按新版(ban)標準轉(zhuan)換完畢，未完成(cheng)新版(ban)標準轉(zhuan)換認(ren)證(zheng)的(de)獲證(zheng)客戶，其依(yi)據舊(jiu)版(ban)標準的(de)認(ren)證(zheng)證(zheng)書將(jiang)失(shi)效(xiao)。

二、認證(zheng)證(zheng)書(shu)的轉換(huan)方式(shi)和審(shen)核(he)時間

1、對于有(you)效(xiao)期超(chao)過2025年10月(yue)30日(ri)的舊(jiu)版標準(zhun)認證(zheng)(zheng)證(zheng)(zheng)書，HXQC將免費為客(ke)戶換(huan)發有(you)效(xiao)期至2025年10月(yue)30的認證(zheng)(zheng)證(zheng)(zheng)書。

2、獲證(zheng)客戶可選擇(ze)結合監督或(huo)再認證(zheng)審(shen)核(he)進行(xing)轉換(huan)(huan)，如果(guo)需要時，也(ye)可以通過專項現場審(shen)核(he)進行(xing)轉換(huan)(huan)。

1）當轉(zhuan)換審(shen)核(he)是結合再認(ren)證審(shen)核(he)實施時，轉(zhuan)換審(shen)核(he)需至少安排(pai)0.5審(shen)核(he)人天。

2）當轉換審(shen)核(he)是結合監督審(shen)核(he)或(huo)專項審(shen)核(he)實施時，轉換審(shen)核(he)需至少安排1.0審(shen)核(he)人天。

3）根據客戶的特點（如客戶所(suo)在(zai)行業的風險級別、過程(cheng)的復雜程(cheng)度(du)、客戶準備的情況、外包情況及(ji)控(kong)制程(cheng)度(du)等），審核時間可能還(huan)會(hui)增(zeng)加。

三、客戶認證轉換(huan)準備(bei)

1、HXQC客戶(hu)應分析(xi)識(shi)別新舊(jiu)版標準的(de)差異(yi)，以及標準內容變化對其體(ti)系運行的(de)影響。

2、制定滿足新(xin)版標準中(zhong)新(xin)要求的措施和實施計劃，至少包括：開展(zhan)新(xin)版標準培(pei)訓及內審員轉換培(pei)訓，對體系文件(jian)及相(xiang)關表格(ge)修訂；

3、依據修(xiu)訂后(hou)的管理(li)體(ti)系文件，運行(xing)信息安全管理(li)體(ti)系；

4、在認(ren)證審(shen)核前依據新版標準要求至少(shao)有效實(shi)施一次內部審(shen)核和管理評審(shen)。

四、客戶(hu)認(ren)證(zheng)轉換(huan)申請資料

1、 HXQC客(ke)戶依據新版標(biao)準申(shen)請初次認證(zheng)(zheng)/再認證(zheng)(zheng)時(shi)應(ying)按照《認證(zheng)(zheng)申(shen)請必備文(wen)件資料清(qing)單(ISMS、SMS)》的要(yao)求(qiu)提交申(shen)請資料。

2、HXQC客戶申請轉換時應填寫(xie)《認證轉換申請表》，并按照《證申請必備文(wen)件資(zi)料(liao)清單(dan)(ISMS、SMS)》的要求向(xiang)HXQC提交修改(gai)后的相關(guan)文(wen)件。

五、轉換審核(he)要求

1、無論客(ke)戶選擇哪(na)種(zhong)轉換方式，審核(he)組在(zai)實施轉換審核(he)時(shi)，除了關(guan)注(zhu)(zhu)客(ke)戶依據新版標準(zhun)建立、實施和運行信(xin)息(xi)安全管理(li)體系(xi)的情況(kuang)外(wai)，還會關(guan)注(zhu)(zhu)客(ke)戶在(zai)轉換前依據舊版標準(zhun)運行信(xin)息(xi)安全管理(li)體系(xi)的情況(kuang)。

轉換審核還應包括，但(dan)不(bu)限于以下方面(mian)：

a）ISO/IEC 27001:2022的(de)差距(ju)分析，以及客戶ISMS的(de)變更(geng)需求(qiu)；

b）符(fu)合性(xing)聲明(SoA)的更新；

c）適用時(shi)，風險處(chu)置計劃的更新；

d）客戶所選的(de)(de)、新的(de)(de)或變化的(de)(de)信(xin)息(xi)安全控制的(de)(de)實施情況及(ji)其(qi)有(you)效(xiao)性。

2、對存(cun)在問題或達不(bu)到新版標準(zhun)要(yao)求的獲證客戶，審(shen)核(he)(he)組會開具不(bu)符(fu)合項，待驗證獲證組織整改措(cuo)施(shi)后做出是否通過轉換審(shen)核(he)(he)決定(ding)。

六(liu)、頒發/換發新版標(biao)準證書和認可(ke)標(biao)識的使用(yong)

1、對經審核和認證評定，確認獲證客戶(hu)已符合新版標準(zhun)要求(qiu)的頒發(fa)/換(huan)發(fa)新版標準(zhun)認證證書。

注：在HXQC未通(tong)過認(ren)可(ke)轉(zhuan)換(huan)之前，認(ren)證(zheng)(zheng)證(zheng)(zheng)書上不得帶CNAS認(ren)可(ke)標識，待HXQC通(tong)過CNAS認(ren)可(ke)轉(zhuan)換(huan)后(hou)，可(ke)按要求(qiu)頒發/換(huan)發依據為新版(ban)標準的帶CNAS認(ren)可(ke)標識的認(ren)證(zheng)(zheng)證(zheng)(zheng)書。

2、選擇結合監督或專項現場審(shen)核(he)方式換(huan)版(ban)的(de)，新(xin)版(ban)標準(zhun)認(ren)證(zheng)(zheng)(zheng)證(zheng)(zheng)(zheng)書的(de)有(you)(you)效期(qi)為原證(zheng)(zheng)(zheng)書簽發之日起三(san)年。選擇再(zai)認(ren)證(zheng)(zheng)(zheng)審(shen)核(he)換(huan)版(ban)的(de)，新(xin)版(ban)標準(zhun)認(ren)證(zheng)(zheng)(zheng)證(zheng)(zheng)(zheng)書的(de)有(you)(you)效期(qi)從重新(xin)簽發證(zheng)(zheng)(zheng)書之日起三(san)年；也可以為從重新(xin)簽發證(zheng)(zheng)(zheng)書之日起，至上一次證(zheng)(zheng)(zheng)書終止(zhi)日期(qi)后三(san)年。

3、證書換(huan)發將以舊換(huan)新(xin)，先收回原證書，再頒(ban)發新(xin)證書。

七(qi)、附表(biao)

《證申請必備文件資料清單(ISMS、SMS)》

《認證轉換申請表》

HXQC現(xian)正按CNAS轉換要(yao)求進行準(zhun)備工作(zuo)，待準(zhun)備工作(zuo)完成后將向(xiang)CNAS申(shen)報(bao)認可轉換申(shen)請，后續進度將及時向(xiang)客戶通報(bao)，有任何(he)需要(yao)或問題(ti)都(dou)可以(yi)與我公司客戶服務人(ren)員聯系。

更多ISO/IEC 27001:2022轉換的(de)(de)資訊，請持續關注HXQC的(de)(de)官(guan)網及微信公眾(zhong)號(hao)。

北(bei)京(jing)大陸航(hang)星質量(liang)認證(zheng)中心股份有限公司

2023年4月25日