尊敬的信息安全管理体系认证客户：

       国际标准化组织（ISO）于2022年10月发布了ISO/IEC 27001:2022《信息安全、网络安全和隐私保护 信息安全管理体系 要求》，该标准代替了ISO/IEC 27001：2013。国际认可论坛（IAF）在2022年8月发布了IAF MD26：2022《ISO/IEC 27001：2022转换要求》（第1版），该文件识别了ISO/IEC 27001：2022的主要变化及影响，提出了本次转换周期，并规定了认可机构和认证机构实施转换过程的具体要求。新版标准自发布日起施行，过渡期将持续到2025年10月31日。针对该认证标准的版本更新，我机构对获证组织和拟申请认证组织做出如下告知：

一、标准换版的时限

       1.新版标准转换过渡期为3年，自2022年10月31日起至2025年10月31日止。

       2.我机构于ISO/IEC 27001:2022标准发布月份最后一天起18个月开始不再受理依据旧版标准的初次及再认证的认证申请，即2024年4月30日起，所有信息安全管理体系只受理依据新版标准的初次及再认证申请；

       3.所有已获证客户的换版时间不晚于ISO/IEC 27001:2022发布月份最后一天起36个月，即2025年10月31日。

二、换版工作安排

1. 获证组织的认证标准换版流程见附件1。

2. 转换方式及费用

       1）获证组织可结合监督、再认证审核进行认证转换，也可以单独实施转换审核。

       2）针对认证依据更新，对结合监督或单独实施审核进行转换时，转换审核人日增加1；结合再认证审核实施转换时，转换审核人日增加0.5，以确认获证客户是否满足转换要求。审核人日的增加，也将收取审核人日费用。

3. 转换审核

转换审核应包括，但不限于以下方面：

       1）ISO/IEC 27001:2022的差距分析，以及客户ISMS的变更需求；

       2）符合性声明（SoA）的更新；

       3）适用时，风险处置计划的更新；

       4）客户所选的、新的或变化的信息安全控制的实施情况及其有效性。

4. 转换准备

获证客户应对本单位信息安全管理体系的认证/转换工作进行策划、准备、实施，识别新版标准中的新增、变化内容对其管理体系的影响，对管理体系文件进行必要的评审、修订，并对其管理体系进行调整，确保符合新版标准的要求。

获证客户申请认证转换前应完成以下工作：

       1）组织内审员、体系相关管理人员进行新版标准的培训，以充分了解掌握新版标准修订变化的主要内容及要求。

       2）识别新版标准与旧版标准之间的差异，分析这些差异对管理体系文件的影响，并根据分析结果对管理体系文件进行必要的修订；

       3）组织全员实施修订后的管理体系文件的培训，以了解和掌握修订后的管理体系要求，并按新要求实施运行管理体系；

       4）组织实施新版认证管理体系的内审及管理评审工作（也可以是专项管理评审、专项内审或专项检查）。

5. 申请

       1）依据新版认证标准申请初次认证/再认证的客户应按附件2《依据新版标准申请认证、申请认证转换客户应提交资料》要求提交全部申请资料。

       2）已获得旧版认证证书的客户，当结合监督审核实施认证转换时，客户需提交如下认证转换申请材料：

       a．监督审核信息确认单。

       b．按依据ISO/IEC 27001:2022标准申请认证、申请认证转换客户，应提交的资料（见附件2）要求提交申请资料。如确认之前已提交资料中已有相关资料且无变化的，可不再提供。

三、认证证书

1. 经现场审核确认客户信息安全管理体系已符合新版认证标准要求，经认证决定后，对满足要求的客户颁发/换发认证证书。

2. 已获得我机构旧版标准认证证书的客户在最近一次监督/再认证审核活动中，以及未单独实施转换审核的，未进行新版认证标准转换，证书将于2025年10月31日后暂停。

3. 依据新版标准实施认证，颁发的认证证书上的认证依据为ISO/IEC 27001:2022。

4. 换发的新版标准认证证书的同时，原旧版标准认证证书作废。

       请各信息安全管理体系认证的获证客户按照新版标准要求对建立的信息安全管理体系进行相应的更新，并做好信息安全管理体系证书换版的安排，确保贵公司的信息安全管理体系认证证书持续满足认证要求。如有问题可与我机构联系：010-84720998

       特此通知        

北京万坤认证服务有限公司

2023年11月6日