各獲證組織:
國際標準化組織(ISO)于2013年10月1日發布了ISO/IEC 27001:2013《信息技術安全技術 信息安全管理體系 要求》,該標準代替了ISO/IEC 27001:2005。2013年10月國際認可論壇(IAF)成員大會,通過了有關ISO/IEC 27001:2013轉換的決議(編號為:IAF Resolution 2013-13)。該決議規定:1.符合ISO/IEC27001:2013的截止日期為該標準發布之后的2年,即轉換截止日期為2015年9月30日;2.自該標準發布1年后(即2014年10月1日),所有新頒發的、獲認可的認證證書均應依據ISO/IEC 27001:2013。
國家認可委(CNAS)于2014年6月20日發布了《認證機構依據ISO/IEC 27001:2013實施信息安全管理體系認證的認可轉換說明》(CNAS-EC-039:2014)(附件)。為確保我中心(CQC)信息安全管理體系認證工作的有效開展,順利完成認證標準ISO/IEC 27001:2013的轉換工作,根據CNAS文件精神和新版GB/T22080的等同轉化工作進展情況,現就信息安全管理體系認證標準轉換工作通知如下:
(一) 2014年10月1日起,我中心不再頒發GB/T 22080-2008認證證書。中心對已簽訂的GB/T 22080-2008認證合同必須在此前完成審核及認證決定工作。對于評定未通過,而沒有獲得認證批準的組織,組織應按新標準要求建立體系并有效運行3個月后,重新申請認證。
(二) 因目前依據ISO/IEC 27001:2013的新版國家標準尚未發布,為滿足客戶需求我中心從 2014年10月1日起,開始受理依據標準ISO/IEC 27001:2013建立的信息安全管理體系認證業務,通過后頒發不帶CNAS認可標志的認證證書。待國家標準頒布我中心獲得CNAS轉換認可后,即可按新版GB/T 22080要求評審,為獲得ISO/IEC 27001:2013證書的客戶換發帶有CNAS認可標志的證書。
(三) 2014年10月1日起,原GB/T 22080-2008認證證書的認證標準轉換工作,在征得獲證組織同意后依據ISO/IEC 27001:2013結合年度監督工作進行轉換,通過后換發不帶CNAS認可標志的認證證書,獲得CNAS認可轉換后按新版GB/T22080要求評審后換發帶有CNAS認可標志的證書。
(四) 自2015年10月1日起,原中心頒發的GB/T 22080-2008認證證書均屬無效,認證業務管理系統和中心網站將自動更新證書狀態。
(五) 本次換版工作具體事宜可與認證中心體系部聯系。