国际标准化组织(ISO)于2013年10月1日发布了ISO/IEC 27001:2013《信息技术安全技术 信息安全管理体系 要求》,该标准代替了ISO/IEC 27001:2005。2013年10月国际认可论坛(IAF)成员大会,通过了有关ISO/IEC 27001:2013转换的决议(编号为:IAF Resolution 2013-13)。国家认可委(CNAS)依据IAF的有关决议于2014年6月20日发布了《认证机构依据ISO/IEC 27001:2013实施信息安全管理体系认证的认可转换说明》(CNAS-EC-039:2014)及2014年9月30日发布的《关于实施CNAS-EC-039:2014的补充说明的通知》。
为确保我公司信息安全管理体系认证工作的有效开展,顺利完成认证标准ISO/IEC 27001:2013的转换工作,根据CNAS文件精神和新版GB/T22080的等同转化工作进展情况,现就信息安全管理体系认证标准转换工作通知如下:
(一)所有依据GB/T 22080:2008版本颁发的体系认证证书自新版GB/T 22080实施之日起,应在一年内完成新版标准转换工作。
(二)我公司鼓励客户关注新版要求的变化,并尽快启动标准换版工作。因等同采用ISO/IEC 27001:2013的新版国家标准GB/T 22080尚未发布,自2015年5月1日起,对已依据GB/T 22080-2008颁发认证证书的获证组织,我公司可以依据ISO/IEC 27001:2013结合再认证、年度监督或专项评审工作进行转换。通过审核后可颁发依据标准为ISO/IEC 27001:2013的认证证书。
(三)2015年5月1日起,我公司不再接受依据GB/T 22080-2008的认证申请。
(四)为满足客户需求从 2015年5月1日起,我公司开始受理依据标准ISO/IEC 27001:2013建立的信息安全管理体系认证业务,
通过审核后颁发可依据标准为ISO/IEC 27001:2013的认证证书。待新版国家标准GB/T 22080颁布后,为获得ISO/IEC 27001:2013证书的客户换发证书。
(五)自新版GB/T 22080实施之日起,我公司接受依据新版GB/T 22080的认证申请,按要求实施认证审核。
本次换版工作具体事宜可与我公司体系认证部联系。
周召:010-56313448
特此通知。
二〇一五年四月二十二日