尊敬的认证组织:
国际标准化组织(ISO)于2024年3月发布ISO/IEC 27006-1:2024《信息安全、网络安全和隐私保护 信息安全管理体系审核和认证机构认证机构要求 第1部分:通用》,该标准替代了ISO/IEC 27006:2015及其相应的修改单,提出了对信息安全管理体系(ISMS)认证机构的要求。
针对ISO/IEC 27006标准换版,国际认可论坛(IAF)于2024年5月发布强制性文件IAF MD29:2024《ISO/IEC 27006-1:2024转换要求》(第1版),规定了IAF成员认可机构及获其认可的认证机构的标准转换要求。
为落实IAF MD29的相关要求,中国合格评定国家认可委员会(CNAS)于2024年9月30日发布实施了CNAS-CC170:2024《信息安全管理体系认证机构要求》(等同采用ISO/IEC 27006-1:2024);此外CNAS根据CNAS-CC170:2024以及ISMS认可经验总结,修订并发布了CNAS-SC170:2024《信息安全管理体系认证机构认可方案》(上述修订后的认可规范文件以下简称“新版认可规范”)。与此同时,CNAS发布并实施CNAS-EC-070:2024《关于CNAS-CC170和CNAS-SC170认可规范换版的转换说明》,并以此为依据开展新版认可规范的转换工作。根据CNAS-EC-070:2024相关规定,认证机构完成对获证客户的转换不晚于ISO/IEC 27006-1:2024发布月份最后一天(2024年3月31日)起24个月,即2026年3月31日。
为更好地服务ISMS领域认证组织,满足新版认可规范转换要求,北京中大华远认证中心有限公司(以下简称“本中心”)将于CNAS认可转换评审通过后按照新版认可规范的要求实施认证管理和审核活动,并做出以下安排:
一、经CNAS认可转换评审通过后,本中心开始按照新版认可规范要求受理ISMS领域的认证申请(包括初审和再认证),停止依据旧版认可规范要求受理认证申请,同时不再安排依据旧版认可规范实施的审核活动。经CNAS认可转换评审通过后,本中心相关部门开始按照新版认可规范的相关要求,开展ISMS认证领域的认证申请评审、审核策划与实施、认证决定、授予认证等认证管理活动。
二、经CNAS认可转换评审通过后,对于按旧版认可规范实施认证管理活动的获证组织,本中心将结合最近一次审核活动(包括监督审核、再认证、专项审核)实施新版认可规范转换;由于新版认可规范文件对审核时间确定的要求发生变化,其可能导致现场审核人日、合同要求、审核方案、认证费用等方面的变化:
1、对于结合再认证转换的ISMS领域获证组织,中心将依据修订后的体系文件要求进行合同评审,并与获证组织就认证费用进行重新确认,需要时签订新的认证合同。
2、对于结合监督审核转换的ISMS领域获证组织,中心仍按原认证周期的监督审核时间进行,但需确保所有依照新版认可规范的认证活动能够于2026年3月31日前完成。中心将依据修订后的体系文件要求,对实施监督审核的认证项目重新进行合同评审,根据合同评审重新计算的审核人日数,作为监督转换的审核人日数。结合监督审核转换时,中心除收取正常监督审核费用外,不再收取其他费用。
3、对于结合专项审核转换的ISMS领域获证组织,中心将依据修订后的体系文件要求对认证项目重新进行合同评审,审核人日同监督审核人日数,并与获证组织签订专项审核协议,按照协议的约定收取费用。
三、新版认可规范的调整内容不涉及认证依据变化,故本次转换工作不涉及认证组织ISMS认证证书的转换。但当获证组织的参考控制标准除ISO/IEC 27001的附录A以外,还引用了其他国家标准和国际标准作为信息安全控制来源时,本中心可以在认证证书中引用该国家标准和国际标准。
若有需要沟通的事项,请与本中心市场服务部联系。
联系电话:010-87983114 87983161
北京中大华远认证中心有限公司
2024年12月10日
