【摘(zhai)要】國際標準(zhun)化組織(zhi)(ISO)于2013年10月1日發(fa)布了ISO/IEC27001:20����13《信息(xi)技(ji)術安全技�����(ji)術信息(xi)安全管理(li)體系要求(qiu)》。為(wei)落實國家認可(ke)(ke)論壇(IAF)有關ISO/IEC27001:2013轉換安排,CNAS組織(zhi)制定了認可(ke)(ke)說明文件(jian)《認證機構依(yi)據...
【關鍵詞(ci)】信息安全管理體系;ISO/IEC27001
國際標準化組織(ISO)于2013年10月1日(ri)發布(bu)了ISO/IEC27001:2013《信(xin)息(xi)技術(shu)安(an)全技術(shu)信(xin)息(xi)安(an)全管理(li)體系要求》。為落實(shi)(shi)(shi)國家認(�������ren)可(ke)論壇(tan)(IAF)有(you)關(guan)ISO����/IEC27001:2013轉(zhuan)換安(an)排,CNAS組織制定(ding)了認(ren)可(ke)說明文件《認(ren)證機構(gou)依據ISO/IEC27001:2013實(shi)(shi)(shi)施(shi)信(xin)息(xi)安(an)全管理(li)體系認(ren)證的認(ren)可(ke)轉(zhuan)換說明》(CNAS-EC-039:2014)。經審(shen)批,該認(ren)可(ke)說明文件于2014年6月20日(ri)發布(bu)實(shi)(shi)(shi)施(shi)。
認證(zheng)機構依據(ju)ISO/IEC 27001:2013實(shi)施(shi)信(xin)息安全管理(����li)體系認證(������zheng)的認可轉換說明(ming)
0 背景
0.1 當前(qian),我國信(xin)息安(an)全管理體系(xi)(ISMS)認證的認證依(yi)據(ju)是(shi)GB/T 22080-2008《信(xin)息技術安(an)全技術信(xin)息安(an)全管理體系(xi)要求》(IDT ISO/IEC 2��������7001:2005)。
0.2 國際標準(zhun)化組織(zhi)(ISO)于(yu)2013年(nian)10月1日發布了(le)�����ISO/IEC 27001:2013《信(xin)息(xi)技(ji)術(shu)安全(quan)技(ji)術(shu)信(xin)息(xi)安全(quan)管理體系(xi)要(yao)求》。該標準(zhun)代替了(le)ISO/IEC ��������27001:2005。
0.3 我國正按照等同采用的原則,由全(quan)國信息安全(quan)標(biao)準化(hua)技術委員會(SAC/TC260)負(fu)責(ze)將ISO/IEC 27001:2013轉(zhuan)換為國家標(biao)準(以下簡稱(cheng)“新版GB/T 22080”),以代替GB/T 22080������-2008。
0.4 2013年(nian)10月國際認可論壇(IAF)成(cheng)員大會,通(tong)過了有關ISO/IEC 27001:2013轉換的決議(yi)(編號為(wei):IAF Resolution 2013-13)。該決議(yi)規定(ding):1)符合ISO/IEC 27001:2013的截(jie)止日為(wei)該標準發(fa)(fa)布之后的2年(nian),即(ji)轉換截(jie)止日期為(wei)2015年(nian)9月30日;2)自(zi)該標準發(fa)(fa)布一年(nian)后(即(ji)2014年(nian)10月1日),所有新頒發(fa)(fa)的、獲認可的認證證書均應依據ISO/IEC�������� 2����7001:2013。
1 目的
為確(que)保(bao)ISO/IEC 27001:2013的(de)(de)順利轉換(huan),CNAS根(gen)據IAF相關決議、我國ISMS認證(zheng)認可的(de)(de)實際情況以及ISO/IEC 27001新舊版本��之間的(de)(de)變化情況,制(zhi)定本文件。
2 轉換期
2.1 作為IAF成員,CNAS需執(zhi)行IAF有關ISO/����IEC 27001:2013的(de)轉換決議(見0.4)。
2.2 需要(yao)時,CNAS將(jiang)根據國家的(de)相關(guan)法(fa)規(gui)要(yao)求和(he)新版GB/T 22080的(������de)實(shi)施(shi)日(ri)期(qi),調整ISMS認可證書(shu)和(he)ISMS認證證書(shu)�����的(de)轉(zhuan)換截止日(ri)期(qi),并通知相關(guan)方(fang)。
3 認可證書的轉換
3.����1 獲認(ren)可(������ke)的(de)認(ren)證機(ji)構應分析ISO/IEC 27001新舊版本之間的(de)差異及其對(dui)ISMS認(ren)證活動的(de)影響,并調整自身的(de)管(guan)理體(ti)系,以滿足ISMS認(ren)證轉(zhuan)換的(de)需要。
3.2 自(z������i)2014年(nian)9月1日至2015年(nian)7月31日,CNAS將結合年(nian)度監督或(huo)復評(ping)(ping)的辦公室評(ping)(ping)審(shen),對(dui)已認可(ke)的ISMS認證機(ji)構(gou)實施(shi)轉換(huan)評(ping)(ping)審(shen)。如有需要������,認證機(ji)構(gou)也可(ke)向(xiang)CNAS申請專(zhuan)項評(ping)(ping)審(shen),以完成轉換(huan)。自(zi)2015年(nian)8月1日以后(hou),CNAS不再安排針(zhen)對(dui)ISO/IEC 27001:2013轉換(huan)的現場評(ping)(ping)審(shen)工作。
3.3 在轉換評審時,CNAS將(jiang)關注認證�������機構(gou)針對ISO/IEC 27001:2013轉換所采取的措施,包(bao)括但不限(xian)于:
1)�������對ISO/IEC 27001新舊版(ban)本之(zhi)間的(de)變化及其影響的(de)������分析;
2) ISMS能(neng)力(li)分析評價系統的調(diao)整與(yu)實施,包括(kuo)參與(yu)審核與(������yu)認證(zheng)過程的各(ge)類人(ren)員(yuan)的培訓和能(neng)力(li)評價;
3)自身管理體系文件的修訂(ding)計劃及實施情(qing)況;
4)對獲證客戶的轉換安排及(ji)實施情況;
5)適用������(yong)時(shi),針對認(ren)證(zheng)機構(gou)認(ren)證(zheng)業務(wu)范圍的(de)行政(zheng)審批、ISMS������審核員(yuan)執業資格注冊等合規性問(wen)題所做的(de)安排。
CNAS評(ping)審組將評(ping)價(jia)認證機構所(su�����o)采取(qu)措���施的(de)適(shi)宜性、充分性和有效性(適(shi)當(dang)時),并(bing)在(zai)認可評(ping)審報告(gao)中做出是否通過(guo)轉換評(ping)審的(de)推薦建議。
3.4 通過CNAS轉換評審�������的認證(zheng)(zheng)機(ji)構(gou),可在新版(ban)GB/T 22080發(fa)布之后向(xiang)CNAS提出更換認可證(zheng)(zheng)書(shu)附件(jian)的書(shu)面申請。CNAS將為其換發(fa)依據新版(ba������n)GB/T 22080的認可證(zheng)(zheng)書(shu)附件(jian)。
3���������.5 在更換認(ren)可證書之(zhi)���后的首次(ci)辦公室(shi)評審,CNAS評審組(zu)將(jiang)繼續跟蹤認(ren)證機構針對本次(ci)轉換所(suo)采取措施的實(shi)施情況(kuang)。
4 已認(ren)(ren)可(ke)的認(ren)(ren)證證書的轉換
4.1 CNAS鼓勵(li)獲認(ren)可(ke)的認(ren)證機構盡早在認(ren)證審核過程中關注獲證客戶滿足ISO/IEC 27001:2013的情(qing)況(kuan������g)。
4.2 獲認可(ke)(ke)(ke)的(de)(de)認證(zheng)(zheng)機構(gou)可(ke)(ke)(ke)以結合例行的(de)(de)監督審(shen)(shen)核(he)(he)或再(zai)認證(zheng)(���zheng)審(shen)(shen)核(he)(he)對獲證(zheng)(zheng)客戶進行轉換審(shen)(shen)核(he)(he),也可(ke)(ke)(ke)以采(cai)取專項(xiang)審(shen)(shen)核(he)(he)的(de)(de)方式實(shi)施轉換審(shen)(shen)核(he)(he)。此外,獲認可(ke)(ke)(ke)的(de)(de)認證(zheng)(zheng)機構(gou)還可(ke)(ke)(ke)以選擇在(zai)完成CNAS認可(ke)(ke)(ke)轉換����之前(qian)對獲證(zheng)(zheng)客戶實(shi)施轉換審(shen)(shen)核(he)(he)。
4.3 在(zai)獲(h������uo)得了(le)依(yi)據(ju)新(xin)版GB/T 22080的(de)(de)認(ren)可證書(shu)(shu)之后,認(ren)證機(ji)構(gou)方可在(zai)CNAS已(yi)認(ren)可的(de)(de)������業務范圍內為通過(guo)轉換審核的(de)(de)獲(huo)證組織換發帶(dai)有CNAS認(ren)可標識(shi)的(de)(de)、依(yi)據(ju)新(xin)版GB/T 22080的(de)(de)認(ren)證證書(shu)(shu)。
4.4 自新(xin)版GB/T 22080的實施日(ri)期起,所有新(xin)頒發的、加(jia)施了CNAS認可標識�����的ISMS認證(zheng)證(zheng)書均應(ying)依據新(xin)版GB/T 22080。
注:新頒發的認證證書(shu),包(bao)括初次認證和再認證所頒發的認證證書(shu)。
5 依據GB/T 22080-2008的認可(ke)申請(qing)
5.1 自本文(wen)件發(fa)布之日起,CNAS不(bu)再受理依據GB/T 22080-2008的(de)初次認(ren)可或擴大認(ren)可領(ling)域的(de)認(ren)可申請(qing)。對于(yu)已(yi)受理的(de)申請(qing),CNAS將在評審過(guo)程中增加ISO/IEC 2700������1:2013轉(zhuan)換的(de)評審內容(詳(xiang)見本文(wen)“3.認(ren)可證(zheng)書(shu)的(d����e)轉(zhuan)換”)。
5.2 自本文件發布(bu)之(zhi)日起,CNAS不再(zai)受理依(yi)據(ju)GB/T 22080-2008的擴大認可業務(wu)范圍的認可申請������。
5.3 新版(ban)(ban)GB/T 22080發布之后(hou),CNAS將受理依據新版(ban)(ban)GB/T������� 22080實施(shi)ISMS認證的認可(ke)申請。
6 其他
6.1 CNAS在實施(shi)轉換評審時將適當地增(zeng)加評審人天數。
6.2 在(zai)認(ren)證(zheng)機(ji)構已換(huan)發了依據新(xin)版GB/T 22080的認(ren)可證(zheng)書之(zhi)后(hou),或在(zai)新(xin)版GB/T 22080的實(shi)施日期之(zhi)后(���hou),CNAS將依據新(xin)版GB/T 22080進行見證(zheng)評審。
6.3 ISO正在(zai)修訂ISO/IEC 27006:2011《信(xin)息技(ji)術安(an)全(quan)技(ji)術信(xin)息安(an)全(quan)管理(li)(li)體系審(shen)核(he)認(ren)證(z�����heng)機構的要求》。CNAS將在(zai)新(xin)版(ban)(ban)ISO/IEC 27006發(fa)布后統一修訂CNAS-CC17:2012《信(xin)息安(an)全(quan)管理(li)(li)體系認(ren)證(zheng)機構要求》和CNAS-SC18:2012《信(xin)息安(an)全(qu�������an)管理(li)(li)體系認(ren)證(zheng)機構認(ren)可方案》。在(zai)此之前(qian),CNAS-CC17:2012和CNAS-SC18:2012中(zhong)引(yin)用(yong)GB/T 22080-2008的相關內容(rong),CNAS將會在(zai)新(xin)版(ban)(ban)GB/T 22080發(fa)布之后的認(ren)可評(ping)審(shen)中(zhong)按照等同引(yin)用(yong)新(xin)版(ban)(ban)GB/T 22080相應(ying)內容(rong)的方式處(chu)理(li)(li)。
國(guo)際標(biao)注化組織(ISO)于2013年10月(y������ue)1日(ri)發布(bu)了ISO/IEC27001:2013《信(xin)息(xi)技術安(an)全技術信(xin)息(xi)安(an)全管理體系(xi)要求》。為落(luo)實(shi)國(guo)家認可(ke)論壇(IAF)有關ISO/IEC27001:2013轉換(huan)安(an)排,CNAS組織制定了認可(ke)說明文(wen)件《認證(zheng)機構依據ISO/IEC27001:2013實(shi)施信(xin)息(xi)安(an)全管理體系(xi)認證(zheng)的(de)認可(ke)轉換(huan)說明》(CNA������S-EC-039:2014)。經(jing)審批,該說明于2014年6月(yue)20日(ri)發布(bu)實(shi)施。