认可说明 编号:CNAS-EC-070:2024 第1页共10页 关于CNAS-CC170和CNAS-SC170认可规范换 CNAS 版的转换说明 1背景 1.1ISO发布ISO/IEC27006-1:2024 国际标准化组织(ISO)于2024年3月发布了ISO/IEC27006-1:2024《信息安 全、网络安全和隐私保护信息安全管理体系审核和认证机构要求第1部分:通 用》,该标准代替了ISO/IEC27006:2015及其相应的修改单.
可从ISO网站(.iso.org/store.html)或中国标准信息服务网 (.sacinfo.cn/)购买ISO/IEC27006-1:2024.
1.2IAF发布IAFMD29:2024 国际认可论坛(IAF)在2024年5月发布了IAFMD29:2024(ISO/IEC 27006-1:2024转换要求》(第1版).
该文件识别了ISO/IEC27006-1:2024的主要变 化及影响,提出了本次转换周期,并规定了认可机构和认证机构实施转换过程的具体 要求.
IAF MD29可从IAF网站下载:(iaf.nu/en/iaf-documents/?catid=7).
1.3CNAS发布CNAS-CC170:2024和CNAS-SC170:2024 为落实IAF-MD29的相关要求,CNAS按照等同采用ISO/IEC27006-1:2024的原则, 发布了CNAS-CC170:2024《信息安全管理体系认证机构要求》,以取代 CNAS-CC170:2015.
此外,CNAS根据CNAS-CC170:2024以及ISMS认可经验总结,修订 并发布了CNAS-SC170:2024《信息安全管理体系认证机构认可方案》,以取代 CNAS-SC170 : 2017.
注: 1)附录1和附录2分别提供了CNAS-CC170:2024与CNAS-CC170:2015、 CNAS-SC170:2024与CNAS-SC170:2017的条款对照关系.
2)以上规范文件将于2024年9月30日实施,后文中“新版认可规范”代指 和CNASSC170:2017.
2目的和范围 本转换说明用于指导开展CNAS-CC170:2024和CNAS-SC170:2024的转换活 动.
发布日期:2024年09月30日 实施日期:2024年09月30日
认可说明 编号:CNAS-EC-070:2024 第2页共10页 本次认可转换工作涉及《CNAS认可制度体系表》(CNAS-ASCO1)中信息安全 管理体系(ISMS)专项认证机构认可制度.
3规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.
其中, 注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最 新版本(包括的修改单)适用于本文件.
IAF MD29:2024 ISO/IEC27006-1:2024转换要求 4转换期 根据IAFMD29:2024第3章规定的要求,结合CNAS相关工作,转换期如下: 活动 截止日期 认可机构 认可机构开始接 CNAS自2024年9月30日起接受机构认可转换申请.
受认可转换申请 认可机构依据新 自新版认可规范文件发布之日起,CNAS不再受理依据旧版认 版认可规范实施 可规范的初次认可申请或扩大ISMS认可资格申请.
初次认可或扩大 ISMS认可资格评 认可机构完成对 不晚于ISO/IEC27006-1:2024发布月份最后一天起24个月,即 认证机构的转换 2026年3月31日: 认证机构 认证机构不再依 认证机构获得新版认可规范的认可后,应在初次认证审核和再 据旧版认可规范 认证审核中依据新版认可规范实施审核.
实施初次认证审 核和再认证审核 认证机构完成对 ISO/IEC27006-1:2024发布月份最后一天起24个月,即2026 获证客户的转换 年3月31日; 不晚于 5认可转换准备 5.1CNAS的认可转换准备 2024年9月30日前,CNAS完成本次转换的相关准备工作.
发布日期:2024年09月30日 实施日期:2024年09月30日
认可说明 编号:CNAS-EC-070:2024 第3页共10页 5.2认证机构的转换安排 5.2.1认证机构应按照本文件要求策划转换安排,转换安排应满足IAFMD29:2024的 4.2条款的要求,即: 活动是 备注 / 否 认证 是 1)根据认可机构的要求,对拟提交给认可机构的转换安排进行策划和 机构 准备,并根据设定的日期做好应用认可规范新要求的准备.
的安 2)完成差距分析 排 3)制定转换计划,转换计划应关注以下事项: 识别新旧版本认可规范之间的变化.
认证机构需要考虑进行变更 的常见过程可能包括销售/报价、审核过程、认证文件、能力管理 和与现有获证客户的沟通.
分析认可规范的变化对认证机构相关活动和过程的影响,并识别 需采取的措施,以确保与新版认可规范的符合性.
例如,管理体 系、文件和适用时,IT工具.
4)监视本次转换所需变更的证据,并验证这些变更得到持续实施.
5)确保受变更影响的相关人员对新版认可规范和转换过程具备能力.
人员可包括,但不限于:审核员、复核审核报告的人员、认证决定 人员、申请评审人员和审核方案策划人员.
6)鼓励认证机构尽早策划实施所需的措施.
注:表中的“是”表示认证机构需要完成相关活动,并满足“备注”栏中的要求.
5.2.2认证机构转换安排应明确依据CNAS-CC170:2024(ISO/IEC27006-1:2024, IDT)开展初次认证审核和再认证审核的日期,并证实其合理性.
5.2.3认证机构的转换计划应考虑相关工作的完成时限,应确保在接受CNAS转换评 审时认证机构的运作能够满足新版认可规范的要求.
5.2.4CNAS-CC170:2024中修改了确定审核时间的要求,这可能导致认证机构和其 获证客户之间的合同需要做出调整.
6认可转换实施过程 6.1认可转换申请 6.1.1自2024年9月30日起,CNAS接受已认可的ISMS认证机构的转换申请.
1)申请专项认可转换时,CNAS通常将在受理转换申请后两个月内完成转换评 审并形成转换评审结论.
注:单独申请专项认可转换时,应避免与例行评审并行进行.
发布日期:2024年09月30日 实施日期:2024年09月30日
认可说明 编号:CNAS-EC-070:2024 第4页其10页 以便安排评审组实施转换评价.
通常情况下,结合例行评审实施的转换评审, 其转换评审结论将与例行评审结论同时产生.
注:认证机构在确定采取结合例行办公室评审实施转换时,需适当考虑完成例行 评审各项活动所需的总体时间,以确保在认可转换截止期前完成转换.
6.1.2无论采取何种转换方式,已认可的认证机构均需填写附表《CNAS-CC170和 认证机构填报的附表及提供相应的证明材料时,需同时提供纸质版和电子版.
6.2认可转换评审方法 IAFMD29:2024中4.1条中有关转换评审方法的内容适用,即: 活动 是/否 备注 文件评审 否 技术性文件评审 是 审查认证机构的差距分析、转换计划/实施计划、与 认证机构相应变更有关的文件(包括必要的实施证据) 和认可机构认为必要的其他相关信息.
转换是否需要额 是 至少1.0人日,以确认认证机构是否满足转换要求.
外的时间?
在认证机构的总 适用时 如果认可机构通过技术性文件评审能够审查认证机 部实施技术性文 构针对转换所需进行的变更及其实施情况,则不需要安 件评审(现场或 排对认证机构总部的办公室评审:否则,需要进行办公 远程) 室评审.
见证评审 否 认可机构的转换 是 当已识别的问题已经得到适当解决且已证实了 决定 认证机构的能力时,认可机构应作出与新版认可规范转 换的认可决定.
注:表中“是”表示本次转换评审需实施相关活动并满足“备注”栏中的要求,“否” 表示本次转换评审不需要实施相应活动.
6.3转换评审结论与输出 在转换评审过程中可能需要认证机构补充提交评审资料,认可转换评审将产生 “转换评审通过”或“转换评审不予通过”的结论.
1)对转换评审不予通过的认证机构,可以在自身调整或补充完成相关转换工作 后重新申请转换.
2)对转换评审通过的认证机构,CNAS将换发该领域认可证书附件.
6.4转换评审完成后的认可评审 发布日期:2024年09月30日 实施日期:2024年09月30日
认可说明 编号:CNAS-EC-070:2024 第5页共10页 6.4.1在认证机构的转换安排全部完成之后,CNAS在后续认可评审中验证认证机构转 换安排的实施情况.
6.4.2通过转换评审之后,CNAS所策划的见证评审将选取按照新版认可规范实施的 认证审核项目.
7其他 7.1自本文件发布之日起,CNAS不再受理依据旧版认可规范的初次认可申请.
在本 文件发布前已经受理的初次认可申请,CNAS将按照正常程序完成相应认可活动,认 证机构在转换期内完成认可转换.
7.2在转换期内,原则上仅接受完成认可转换后机构提出的扩大ISMS认可业务范围 申请,鼓励认证机构尽早完成认可转换准备,并向CNAS提出认可转换申请.
7.3对转换期内尚未申请或尚未完成认可转换的认证机构,CNAS在评审中将关注认 证机构转换工作的准备情况,并向认证机构说明不能按时完成转换工作对认可资格的 影响.
7.4自2026年3月31日起,未完成本次转换的认证机构,CNAS将按照有关认可规范 要求对其相应的认可资格做出处置.
附录ACNAS-CC170:2024与CNAS-CC170:2015对照关系 附录BCNAS-SC170:2024与CNAS-SC170:2017对照关系 附表 CNAS-CC170和CNAS-SC170换版的认可转换申请与评价 发布日期:2024年09月30日 实施日期:2024年09月30日
