【摘要(yao)】国际标准(zhun)化组(zu)织(zhi)(ISO)于2013年10月1日发布了(le)ISO/IEC27001:2013《信(xin)息(xi)技术安全技术信(xin)息(xi)安全管(guan)理体系要(yao)求(qiu)》。为落(luo)实国家认可(ke)论坛(IAF)有关ISO/IEC27001:2013转换安排,CNAS组(zu)织(z������hi)制定(ding)了(le)认可(ke)说(shuo)明文件《认证机构依据.���..
【关键(jian)词】信息安(an)全管理体(ti)系;ISO/IEC27001
国际(ji)标准(zhun)化组(zu)织(ISO)于2013年(nian)10月1日(ri)发布了(le)ISO/IEC27001:2013《信息技(ji)术(shu)安全技(ji)术(shu)信息安全管(guan)(guan)理(���li)体系要求》。为落实������(shi)国家认(ren)(ren)可(ke)论坛(IAF)有关ISO/IEC27001:2013转(zhuan)换安排,CNAS组(zu)织制定(ding)了(le)认(ren)(ren)可(ke)说(shuo)明(ming)文(wen)件《认(ren)(ren)证(zheng)机构依据ISO/IEC27001:2013实(shi)施信息安全管(guan)(guan)理(li)体系认(ren)(ren)证(zheng)的认(ren)(ren)可(ke)转(zhuan)换说(shuo)明(ming)》(CNAS-EC-039:2014)。经审批,该认(ren)(ren)可(ke)说(shuo)明(ming)文(wen)件于2014年(nian)6月20日(ri)发布实(shi)施。
认证机�����构依(yi)据ISO/IEC 27001:2013实����施(shi)信(xin)息安全管理体系认证的认可(ke)转换说明
0 背景
0.1 当前,我国信(xin)息(xi)安全(quan)管(guan)(guan)理(l�������i)体系(xi)(ISMS)认证的认证依据是GB/T 22080-2008《信(xin)息(xi)技(ji)术(shu)安全(quan)技(�����ji)术(shu)信(xin)息(xi)安全(quan)管(guan)(guan)理(li)体系(xi)要求(qiu)》(IDT ISO/IEC 27001:2005)。
0.2 国(guo)际标准化组织(ISO)于(yu)2013年(nian)10月1日发布了ISO/IEC 27001:2013《信(xin)息(xi)技术安全技术信(xin)息(xi)安全管(guan)理体(ti)系要求(qiu)》。该标准代替了I����SO/IEC 27001:2005。
0.3 我国(guo)正(zheng)按照(zhao)等同采用的(de)原(yuan)则,由全国(guo)信息安全标(biao)准��������化技术委员会(SAC/TC260)负责(ze)将ISO/IEC 27001:2013转换为国(guo)家标(biao)准(以(yi)下简称“新版GB/T 22080”),以(yi)代替GB/T 22080-2008。
0.4 2013年10月(yue)国(guo)际(ji)认(ren)可论坛(IAF)成(cheng)员大会,通过了有关ISO/IEC 27001:2013转换的决(jue)(jue)议(编号为:IAF Resolution 2013-13)。该(gai)(gai)决(jue)(jue)议规定:1)符合ISO/IEC 27001:2013的截(jie)止日为该(gai)(gai)标准(zhun)发(fa)布(bu)(bu)之后(hou)的2年,即转换截(jie)止日期为2015年9月(yue)30日;2)自该(gai)(gai)标准(zhun)发(fa)布(b�������u)(bu)一年后(hou)(即2014年10月(yue)1日),所有新颁发(fa)的、获认(ren)可的认(ren)证证书均应依据ISO/IEC 27001:2013。
1 目的
为确保(bao)ISO/IEC 27001:2013的顺(shun)利转(zhuan)换,CNAS根据IAF相关决议、我国ISMS认��(ren)证认(ren)可的实际(ji)情况以及ISO/I��������EC 27001新(xin)旧版本之间的变化情况,制定(ding)本文件(jian)。
2 转换期
2.1 作为IAF成员(yuan),CNAS需执(zhi)行������(xing)IAF有关ISO/IEC 27001:2013的转换决(jue)议(见������0.4)。
2.2 需要时,CNAS将根据(ju)国家的相关法规要求(qiu)和新版GB/T 22080的实(shi)施(shi)日期(qi),调整ISMS认(ren)可证书(shu)和ISMS认(r�������en)证证书(shu)的转换截(jie)止日期(�������qi),并通知相关方。
3 认可证书的转换
3.1 获认(ren)(ren)可(ke)的(de)认(ren)(ren)证(zheng)机构应分析ISO/IEC 27001新(xin)旧(jiu)版本之间的(de)差(cha)异及其(qi)对ISMS认(ren)(ren)证(zheng)活动的(de)影响,并(bing)调整(zheng)自身的(de)管理体(ti)系,以满足(zu)ISMS认(ren)(ren)证(zheng)转换的(d��������e)需(xu)要。
3.2 自(zi)2014年(nian)9月1日(ri)至2015年(nian)7月31日(ri),CNAS将结合(he)年(nian)度监督(du)或复评(ping)的������办(ban������)公室评(ping)审,对已认可的ISMS认证机构(gou)实施转换评(ping)审。如有需(xu)要(yao),认证机构(gou)也(ye)可向CNAS申(shen)请(qing)专项评(ping)审,以(yi)(yi)完成转换。自(zi)2015年(nian)8月1日(ri)以(yi)(yi)后,CNAS不(bu)再安排(pai)针对ISO/IEC 27001:2013转换的现场评(ping)审工作(zuo)。
3.3 在转(zhuan)换评审(shen)时(shi),CNAS将关注(zhu�����������)认证机构针对ISO/IEC 27001:2013转(zhuan)换所采取的(de)措施,包括但不限于(yu):
1)对(dui�����)ISO/IEC 27001新旧版本(��������ben)之间的变化(hua)及其影(ying)响的分析;
2) ISMS能力(li)(li)分析(xi)评价系统的(de)调整(zheng)与(yu)实施,包括参�����与(yu)审核(he)与(yu)认证过(guo)程的(de)各类人员的(de)培(pei)训和能力(li)(li)评价;
3)自身管理(li)体系文件的修订(ding)计划及实施情况;
4)对获(huo)证客户(hu)的转换安(an)排及(ji)实施情况;
5)适用(yong)时,针对认证机构(gou)认证业务范围������的(de)行(xing)政审(shen)批(pi)、ISMS审(shen)核员执业资格注(zhu)册等合规性问题所做的(de)安排。
CNAS评(ping)(ping)审(shen)(shen)组将(jiang)评(ping)(�������ping)价(jia)认(ren)证(zheng)机构所采取措施(shi)的适宜性、充分性和(he)有(you)效性(适当(dang)时),并(bing)在认(ren)可评(ping)(ping)审(shen)(shen)报告中做出是否(fou)通过转换评(ping)(ping)审(shen)(shen�������)的推荐建议。
3.4 ������通过CNAS转(zhuan)换评审的������认(ren)证机构,可在(zai)新版(ban)GB/T 22080发(fa)布之后向CNAS提(ti)出更换认(ren)可证书(shu)附件(jian)的书(shu)面申请。CNAS将为(wei)其换发(fa)依据新版(ban)GB/T 22080的认(ren)可证书(shu)附件(jian)。
3.5 在更换认可证书之后的首(shou�����)次办公室评审(shen),CNAS评审(shen)组(zu)将(jiang)继续跟踪认证机构(gou)针对(dui)本(ben)次转换所采取措施的实施情(qing)况。
4 已认(ren)可的认(ren)证证书的转换
4.1 CNAS鼓励����获认可(ke)的(de)认证机构尽早在认证审(shen)核过程中关注获证客(ke)户满足������ISO/IEC 27001:2013的(de)情况。
4.2 获(huo)认(ren)(ren)可(ke)(ke)(ke)的(de)认(ren)(ren)证机构可(ke)(ke)(ke)以(yi)结合例(li)行的(de)监督(du)审(shen)核(he)(he)或再认(ren)(ren)证审(shen)核(he)(he)对(dui)获(huo)证客户进行转(zhuan)换(huan)审(shen)核(he)(he),也可(ke)(ke)(ke)以(yi)采取专项审(shen)核(he)(he)的(de)方式����(shi)实(shi)施转(zhuan)换(huan)审(shen)核��������(he)(he)。此外,获(huo)认(ren)(ren)可(ke)(ke)(ke)的(de)认(ren)(ren)证机构还可(ke)(ke)(ke)以(yi)选(xuan)择(ze)在完成CNAS认(ren)(ren)可(ke)(ke)(ke)转(zhuan)换(huan)之前对(dui)获(huo)证客户实(shi)施转(zhuan)换(huan)审(shen)核(he)(he)。
4.3 在获得(de)了依(yi)据(ju)新(xin)版GB/T 22080的(de)认(ren)可证(zheng)书之后,认(ren)证(zheng)机(ji)构方可在CNAS已认(ren)可的(de)业务范围内为通过(guo)转换(huan)审核(he)的(d�����e)获证(zheng)组织(zhi)换(huan)发带有CNAS认(ren)可标识的(de)、依(yi)据(ju)新(xin)版GB/T 22080的(de)认(ren)证(zheng)证(zheng)书。
4.4 自新版(ban)GB/T 22080的(de)实(shi)施日(ri)期起,所有(you)新颁发的(de)、加施了CNAS认可��������(ke)标识(shi)的(de)I������SMS认证证书均(jun)应依据新版(ban)GB/T 22080。
注:�������新颁(ban)发的认(����ren)证证书(shu),包括初次认(ren)证和再认(ren)证所颁(ban)发的认(ren)证证书(shu)。
5 依(yi)据GB/T 22080-2008的(de)认可申请
5.1 自本(ben)文件(jian)发布(bu)之日(ri)起(qi),CNAS不再受理依(yi)据(ju)GB/T 22080-2008的(de)(de)初次认(ren)可(ke)或扩大认(ren)可(ke)领(ling)域������的(de)(de)认(ren)可(ke)申(shen)请。对于(yu)已受理的(de)(de)申(shen)请,CNAS将在(zai)评(ping)审过程(cheng)中增加ISO/IEC 27001:2013转换的(de)(de)评(ping)审内容(详见本(ben)文“3.认(ren)可(ke)证书(shu)的(de)(de)转换”)。
5.2 自本文件发布之日(ri)起(qi),CNAS不再受理依据GB/T 220����80-2008的扩(kuo)大认(ren)可业务范围的认(ren)可申请。
������� 5.3 新版G�����B/T 22080发布之后,CNAS将受(shou)理(li)依(yi)据(ju)新版GB/T 22080实(shi)施(shi)ISMS认(ren)证(zheng)的认(ren)可申请。
6 其他
6.1 CNAS在(zai)实施(s�������hi)转换评(ping)审时将适当地(di)增加评(pi����ng)审人天数。
6.2 在认证(zheng)机构已换发了依(yi)据新版GB/T 22080的认可(ke)证(zheng)书(shu)之(zhi)后,或�����在新版GB/T 22080的实施日(ri)期之(zhi)后,CNAS将依(yi)据新版GB/T 22080进行见证(zheng)评(ping)审。
6.3 ISO正在(zai)修订(ding)ISO/IEC 27006:2011《信(xin)息(xi)技术安全(quan)技术信(xin)息(xi)安全(quan)管理(li)体(ti)系(xi)审核认(ren)(ren)证机构的(de)(de)要求》。CNAS将在(zai)新版ISO/IEC 27006发(fa)(fa)布(bu)后统(tong)一(yi)修订(ding)CNAS-CC17:2012《信(xin)息(xi)安全(quan)管理(li)体(ti)系(xi)认(ren)(ren)证机构要求》和(he)CNAS-SC18:2012《信(xin)息(xi)安全(quan)管理(li)体(ti)系(xi)认(ren)(ren)证机构认(ren)(ren)可方(fang)案》。在(zai)此(ci)之(zhi)前,CNAS-CC17:2012和(he)CNAS-SC18:2012中引用(yong)GB/T 22080-2008的(de)(de)相关(guan)内容,CNAS将会在(zai)新版GB/T ���22080发(fa)(fa)布(bu)之(zhi)后的(de)(de)认(ren)(ren)可评审中按照(zhao)等(deng)同引用(yong)新版GB/T 22080相应内容的(de)(de)方(fang)式处理(li)。
国(guo)际标注化(hua)组织(ISO)于2013年10月(yue)1日发(fa)布了(le)ISO/IEC27001:2013《信(xin)息技(ji)术(shu)安全(quan)技(ji)术(shu)信(xin)息安全(quan)管理(li)体系(xi)(xi)要求(qiu)》。为落实(shi)国(guo)家(jia)认可(ke)论坛(IAF)有关ISO/IEC27001:2013转(zhuan)换安排(pa�������i),CNAS组织制定了(le)认可(ke)说明文件《认证(zheng)机构依(yi)据ISO/IEC27001:2013实(shi)施(shi)信(xin)息安全(quan)管理(li)体系(xi)(xi)认证(zheng)的认可(ke)转(zhuan)换说明》(CNAS-EC-039:2014)。经(jing)审(shen)批(pi),该说明于2014年6月(yue)20日发(fa)布实(shi)施(shi)。