CNAS-EC-039-2015 认证机构依据ISOIEC 27001-2013实施信息安全管理体系认证的认可转换说明.pdfVIP

认可说明

编号：CNAS-EC-039:2015第1页共3页

认证机构依据ISO/IEC27001:2013实施

信息安全管理体系认证的认可转换说明

0背景

0.1当前，我国信息安全管理体系（ISMS）认证的认证依据是GB/T22080-2008

《信息技术安全技术信息安全管理体系要求》（IDTISO/IEC27001:2005）。

0.2国际标准化组织（ISO）于2013年10月1日发布了ISO/IEC27001:2013《信

息技术安全技术信息安全管理体系要求》。该标准代替了ISO/IEC27001:2005。

0.3我国正在按照等同采用的原则，由全国信息安全标准化技术委员会

（SAC/TC260）负责将ISO/IEC27001:2013转换为国家标准，以代替GB/T

22080-2008。

0.42013年10月国际认可论坛（IAF）成员大会，通过了有关ISO/IEC27001:2013

转换的决议（编号为：IAFResolution2013-13）。该决议规定：1）符合ISO/IEC

27001:2013的截止日期为该标准发布之后的2年，即转换截止日期为2015年9月30

日；2）自该标准发布一年后（即2014年10月1日），所有新颁发的、获认可的认

证证书均应依据ISO/IEC27001:2013。

0.52015年9月28日，国家认证认可监督管理委员会（以下简称“国家认监委”）

发布了第30号公告《关于管理体系认证标准换版工作安排的公告》。该公告中规

定：1）在国家标准等同采用国际标准的领域内，具备该领域批准资格的认证机构，

可在新版国际标准发布实施之后至新版国家标准发布实施之前的时间段内，向客

户颁发以新版国际标准作为认证依据的认证证书。2）中国合格评定国家认可委员

会（CNAS）要结合国际认可论坛（IAF）的统一要求，根据我国认证机构工作实

际，制定标准换版工作方案，开展认可证书的换证工作。在新版国际标准发布实

施之后至新版国家标准发布实施之前的时间段内，CNAS可对依据新版国际标准开

展认证的认证机构进行认可。

0.6鉴于等同采用ISO/IEC27001:2013的国家标准目前尚未发布，CNAS根据国

家认监委2015年第30号公告的要求，调整了ISMS认可转换安排，明确了认证机构

完成ISMS认证转换的截止时间。

1目的

为确保ISO/IEC27001:2013的顺利转换，CNAS根据IAF相关决议、我国ISMS

认证认可的实际情况以及ISO/IEC27001新旧版本之间的变化情况，制定本文件。

2015年10月20日发布2015年10月20日实施

认可说明

编号：CNAS-EC-039:2015第2页共3页

2转换期

2.1自2015年10月1日起，所有新颁发的、加施了CNAS认可标识的ISMS认证证书

均应依据新版ISO/IEC27001:2013。

注：新颁发的认证证书，包括初次认证和再认证所颁发的认证证书。

2.2带CNAS认可标识的、依据GB/T22080-2008的ISMS认证证书，应在2016年9

月30日前转换为依据ISO/IEC27001:2013的认证证书。自2016年9月30日之后，依

据GB/T22080-2008的ISMS认证证书不能加施CNAS认可标识。

3认可证书的转换

3.1获认可的认证机构应分析ISO/IEC27001新旧版本之间的差异及其对ISMS认证

m

活动的影响，并调整自身的管理体系，以满足ISMS认证转换的需要。

3.2自2014年9月1日至2015年7月31日，CNAS将结合年度监督或复评的办公室评