认可说明 编号:CNAS-EC-039:2014 第1页共3页 认证机构依据1SO/IEC27001:2013实施 CNAS 信息安全管理体系认证的认可转换说明 0背景 0.1当前,我国信息安全管理体系(ISMS)认证的认证依据是GB/T22080-2008 《信息技术安全技术信息安全管理体系要求》(IDT1SO/IEC27001:2005). 0.2国际标准化组织(ISO)于2013年10月1日发布了ISO/EC27001:2013《信息 技术安全技术信息安全管理体系要求》.该标准代替了1SO/IEC27001:2005. 0.3我国正按照等同采用的原则,由全国信息安全标准化技术委员会 (SAC/TC260)负责将1SO/IEC27001:2013转换为国家标准(以下简称“新版GB/T 22080”) 以代替GB/T22080-2008. 0.42013年10月国际认可论坛(1AF)成员大会,通过了有关1SO/IEC27001:2013 转换的决议(编号为:IAF Resolution2013-13).该决议规定:1)符合SO/IEC 27001:2013的截止日期为该标准发布之后的2年,即转换截止日期为2015年9月30 日;2)自该标准发布一年后(即2014年10月1日),新颁发的、获认可的认 证证书均应依据1SO/IEC27001:2013. 1目的 为确保ISO/IEC27001:2013的顺利转换,CNAS根据IAF相关决议、我国ISMS 认证认可的实际情况以及ISO/1EC27001新旧版本之间的变化情况,制定本文件. 2转换期 2.1作为AF成员,CNAS需执行IAF有关1SO/IEC27001:2013的转换决议(见0.4). 2.2需要时,CNAS将根据国家的相关法规要求和新版GB/T22080的实施日期,调整 ISMS认可证书和ISMS认证证书的转换截止日期,并通知相关方. 3认可证书的转换 3.1获认可的认证机构应分析1SO/IEC27001新旧版本之间的差异及其对ISMS认证 活动的影响,并调整自身的管理体系,以满足ISMS认证转换的需要. 发布日期:2014年06月20日 实施日期:2014年06月20日 认可说明 编号:CNAS-EC-039:2014 第2页共3页 3.2自2014年9月1日至2015年7月31日,CNAS将结合年度监督或复评的办公室评 审,对已认可的ISMS认证机构实施转换评审.如有需要,认证机构也可向CNAS申 请专项评审,以完成转换.自2015年8月1日以后,CNAS不再安排针对1SO/IEC 27001:2013转换的现场评审工作. 3.3在转换评审时,CNAS将关注认证机构针对ISO/IEC27001:2013转换所采取的措 施,包括但不限于: 1)对ISO/EC27001新旧版本之间的变化及其影...
CNAS-EC-039:2014 认证机构依据ISOIEC 270012013实施信息安全管理体系认证的认可转换说明.pdf
