贯标集团-天津谈谈ISO27001:2022信息安全管理体系标准

      在国ji标准化组织（ISO）于2022年10月正式发布ISO/IEC27001:2022《信息安全、网络安全和隐私保护-信息安全管理体系-要求》前，国际认可论坛（IAF）已于2022年8月发布了强制性文件IAFMD26:2022《ISO/IEC27001:2022转换要求》（第1版），这份文件明确规定了IAF成员(IAF成员主要包括加入论坛的各个国家/地区认可机构，例如CNAS-中国合格评定国家认可委员会、ANAB-美国国家认可委员会、UKAS-英国皇家认可委员会、JAS-ANZ-澳新联合认可体系等等）ISO/IEC27001:2022标准认证转换要求。中国合格评定国家认可委员会（CNAS）根据国际认可论坛（IAF）的要求，制定了认可说明文件CNAS-EC-066:2022《关于ISO/IEC27001:2022认证标准换版的认可转换说明》，各认证机构也基于认可机构的要求对新版标准转换认证的关键时间节点进行了明确规定。

不同的认证机构在新版标准认证及换版时间节点方面略微不同，这是由于认证机构由不同认可机构认可，认可机构在转换要求方面存在细微的差别，但原则上必须满足国际认可论坛IAF的强制文件要求。已获得认证企业应提前向相关认证机构了解新版标准转换期的安排以提前做好换版认证安排。

以下关于ISO/IEC27001:2022标准换版认证安排的信息分别来自于两个不同认证机构，供有需要的企业组织参考。

获证企业顺利进行新版标准转版应完成的主要工作

按照上述ISO/IEC27001:2022标准换版要求，获证企业必须在2025年10月底之前完成换版认证工作，否则企业目前的ISO/IEC27001:2013版标准认证证书即到期失效，已获证企业从现在开始应为满足新版标准要求做好准备，以便在2025年前完成转版认证工作。以下是我们结合ISO27001:2022标准修订内容（详细修订内容介绍参见上一期公众号文）建议获证企业为顺利进行新版标准转换应完成的主要工作：

01

结合企业年度商业计划确定新版标准转换认证需求：

获证企业应结合年度商业计划确定公司在未来一段时间是否按照新版标准要求进行认证，企业应结合以下因素就信息安全管理绩效对公司年度商业计划影响进行全面分析（这项工作实际也是ISO/IEC27001:2022标准“4.1理解组织环境”的要求）：

• 外部环境因素：所属行业/产品的信息安全管理需求、监管与合规要求、客户要求、主要竞争对手分析、新技术的发展等；

• 内部环境因素：内部运营管控能力、资源与知识准备、组织机构与职责、现有体系执行的有效性等。

02

 基于新版标准要求制定实施方案：

当企业确定在未来一年内按照ISO/IEC27001:2022ISO27001新版标准进行换版时，应制定《信息安全管理体系换版认证实施方案》，详细说明企业在换版认证时需要完成的相关工作、时间安排以及责任部门。制定全面细致的换版认证实施方案，这也恰好是ISO/IEC27001:2022信息安全管理体系新增条款“6.3变更策划”的管理要求。《信息安全管理体系换版认证实施方案》可考虑按照下图建议的事项来进行策划：

03

 按照实施方案确定的节点完成换版认证相关工作内容：

企业负责信息安全管理的高层管理人员（通常为企业信息安全管理者代表/首席信息安全官）应组织信息安全管理体系维护人员以及各相关职能信息安全协调员按照《信息安全管理体系换版实施方案》规定的时间节点与工作内容开展换版认证相关工作，有关《实施方案》中各项工作需要考虑的具体内容参见本文下一章节《新版标准换版体系实施方案各项工作的详细说明》。

04

 与认证机构确定认证时间，完成换版认证审核：

企业应按照第三方认证机构有关新版标准转换的时间节点进行换版认证准备工作。为确保ISO27001信息安全管理体系认证证书有效性以及换版认证审核尽量不影响企业正常经营管理工作，换版认证审核具体的时间安排应考虑：

• 完成期限：在新版标准转换过渡期（即2025年10月31日前）内完成，否则按照ISO27001:2013版本认证的证书将自动失效；

• 换版认证审核时间安排：将换版认证审核时间安排在年度监督审核或复评换证时完成。