关于信息安全管理体系认证依据转换的通知
尊敬的ISMS获证组织、审核员/实习审核员:
国际标准化组织(ISO)于2022年10月发布ISO/IEC 27001:2022《信息安全、网络安全和隐私保护信息安全管理体系要求》。国家标准委于2025年6月30日发布GB/T22080-2025/ISO/IEC 27001:2022《网络安全技术 信息安全管理体系 要求》(以下简称国家标准), 该标准等同采用ISO/IEC 27001:2022标准,并于2026年1月1日正式实施。
国家标准较ISO/IEC 27001:2022标准主要存在两处差异:
1、国家标准将标准名称调整为《网络安全技术信息安全管理体系 要求》,而非ISO/IEC 27001:2022标准英文名称直译;
2、国家标准4.1和4.2条款中纳入了ISO/IEC 27001:2022/Amd 1:2024修正案1:与气候行动相关的变化的要求。
根据国家认证认可监督管理委员会2015年第30号公告《国家认监委关于管理体系认证标准换版工作安排的公告》的相关要求,机构应在等同采用的国家标准发布实施后,结合最近一次审核活动,为符合国家标准的获证组织换发或重新颁发认证依据为国家标准的认证证书。为了确保获证组织顺利完成此次国家标准转换工作,本机构对转换工作做出如下安排:
1、自2026年1月1日起,本机构开始受理依据GB/T 22080-2025/ISO/IEC 27001:2022标准的信息安全管理体系初次认证和再认证申请。在完成所有认证程序后,对符合国家标准要求的认证组织,颁发国家标准认证证书,认证证书有效期为三年。同时停止受理依据ISO/IEC 27001:2022标准的认证申请,停止安排依据ISO/IEC 27001:2022标准的所有认证审核活动。
2、对于已颁发的认证依据为ISO/IEC 27001:2022标准的认证证书,机构将结合获证组织的最近一次监督审核或再认证审核,在确认符合国家标准要求后,换发依据为GB/T 22080-2025/ISO/IEC 27001:2022的认证证书。请获证组织结合国家标准对自身管理体系文件进行必要的修订。结合监督审核或再认证审核实施转换时,不增加审核人日,但需实施文审,确认获证组织已按国家标准识别差异,并运行管理体系。
3、对于不能结合最近一次审核活动(包括监督审核、再认证)换发国家标准或不符合国家标准要求的获证组织,机构将按暂停或撤销处理认证证书。
4、获证组织和申请组织在获得国家标准认证证书前,不得声明组织的信息安全管理体系通过了国家标准认证,也不得以任何误导方式使用认证证书和标识,以暗示组织的信息安全管理体系通过了国家标准认证。
北京中瑞泰纳凯新认证有限公司
2025年12月26日