2025年6月30日,国家市场监督管理总局、国家标准化管理委员会正式发布GB/T 22080-2025/ISO/IEC 27001:2022《网络安全技术 信息安全管理体系 要求》(以下简称“新版国家标准”)。该标准将于2026年1月1日起正式实施,成为我国信息安全管理体系(ISMS)建立的最新依据。
新版国家标准等同采用国际标准ISO/IEC 27001:2022《Information security, cybersecurity and privacy protection – Information security management systems -Requirements》,技术内容基本一致,同时结合我国标准化体系要求,进行了以下优化调整:
标准名称本地化
新版国家标准名称由直译的《信息安全、网络安全和隐私保护 信息安全管理体系 要求》调整为《网络安全技术 信息安全管理体系 要求》,以契合我国国家标准体系分类,同时确保标准的核心范围、要求及实施目标保持不变。
纳入ISO/IEC 27001:2022/Amd 1:2024修正案(气候行动变化)
新版国家标准在制定时,纳入了ISO/IEC 27001:2022/Amd 1:2024修正案1(气候行动变化)的全部内容,并在标准文本中以双垂线标注形式清晰标识变更条款。新版国家标准的技术内容与依据ISO/IEC 27001:2022标准及其修正案1(气候行动变化)实施的要求完全一致。
认证转换安排
一、自2025年8月1日起,本中心开始受理依据GB/T 22080-2025/ISO/IEC 27001:2022标准的信息安全管理体系初次认证和再认证申请。在完成所有认证程序后,对符合新版国家标准要求的认证组织,按照CNAS认可的业务范围颁发带有CNAS认可标识的新版国家标准认证证书,认证证书有效期为三年。同时停止依据ISO/IEC 27001:2022标准的认证(初审和再认证)受理,停止安排依据ISO/IEC 27001:2022标准的所有认证审核活动。
二、对于已颁发的认证依据为ISO/IEC 27001:2022标准的认证证书,本中心将结合获证组织的最近一次审核活动(包括监督审核、再认证、专项审核),在确认符合新版国家标准要求后,换发依据为GB/T 22080-2025/ISO/IEC 27001:2022的认证证书。请获证组织结合新版国家标准对自身管理体系文件进行必要的修订。结合监督审核或再认证审核实施转换时,审核人日数不做增加,本中心不收取额外的转换费用。结合专项审核实施转换时,审核人日数同监督审核人日数,并与获证组织签订专项审核协议,按照协议的约定收取费用。
三、对于结合再认证审核进行标准转换的获证组织,经验证符合新版国家标准要求后重新颁发新版国家标准认证证书,认证证书有效期为颁证日期起三年。
四、对于结合监督审核、专项审核进行标准转换的获证组织,经验证符合新版国家标准要求后换发新版国家标准认证证书,认证证书的有效期截止日期与原颁证日期所对应的三年周期的截止日期一致。
五、对于不能结合最近一次审核活动(包括监督审核、再认证、专项审核)换发新版国家标准或不符合新版国家标准要求的获证组织,本中心将按暂停或撤销处理认证证书。根据本中心《认证认可标识(牌)使用及认证证书管理规定》的要求,在接到暂停、撤销认证证书的通知后,获证组织应立即停止涉及认证内容的广告及相关宣传活动。
六、获证组织和申请组织应遵守本中心《认证认可标识(牌)使用及认证证书管理规定》的要求,在获得新版国家标准认证证书前,不得声明组织的信息安全管理体系通过了新版国家标准认证,也不得以任何误导方式使用认证证书和标识,以暗示组织的信息安全管理体系通过了新版国家标准认证。
关于中大华远
作为经国家认证认可监督管理委员会(CNCA)批准设立的国有全资认证机构,致力于为企业提供专业、高效的信息安全管理体系(ISMS)、信息技术服务管理体系(ITSMS)等信息技术类认证项目,助力组织提升网络安全治理能力,应对数字化时代的风险管理挑战。
