ISO/IEC 27001:2022 標準改版認證轉換公告

各申請組織和獲證組織：

國際標準化組織（ISO）於 2022 年 10 月發布了 ISO/IEC 27001:2022《Information security, cybersecurity and privacy protection—Information security management systems — Requirements》（資訊安全、網路安全和隱私保護 - 資訊安全管理體系 - 要求），該標準代替了 ISO/IEC 27001:2013。為做好認證標準換版工作，我中心根據 CNAS 和 IAF 的相關要求，將開展 ISO/IEC 27001:2022 認證標準轉換活動。現就 ISO/IEC 27001:2022 標準換版有關工作公告如下：

一、認證標準轉換期限

1. 新版標準的轉換期限為 3 年，至 2025 年 10 月 31 日結束，即 2025 年 11 月 01 日起，所有 ISO/IEC 27001:2013（簡稱舊版標準）版認證證書均將失效，不論其證書中標識的有效期是否到期。
2. 根據 CNAS 轉換要求，為了保護認證客戶的利益，我中心將從 2024 年 4 月 30 日之後不再頒發認證標準 ISO/IEC 27001:2013 的初次認證和再認證證書。對已簽訂的認證標準 ISO/IEC 27001:2013 的認證合約必須確保在相應日期之前完成現場審核和認證決定工作，對於因認證決定過程評定發現的問題導致未能通過的，需要客戶依據新版標準要求建立管理體系後重新申請認證。
3. 針對已獲證客戶，證書變更和監督仍可以繼續依據舊版標準實施認證審核活動，但需保持認證證書的客戶在 2025 年 10 月 31 日之前完成轉版工作。

二、認證標準轉換安排

1. 我中心計畫從 2023 年 6 月起開始受理新版標準認證工作和獲證單位標準轉換工作，經認證決定，對滿足新版標準要求的客戶換發或發放新版標準認證證書。
2. 各獲證單位應按要求有計畫的實施標準轉版工作，確保在轉換截止日期（2025 年 10 月 31 日）前完成認證證書轉換工作。
3. 在轉換期內我中心可以根據獲證單位的意願，結合年度監督審核或再認證審核實施認證標準轉換工作。
4. 因 CNAS 剛剛開展依據 ISO/IEC 27001:2022 標準的認可工作，在我中心取得新標準認可之前頒發的認證證書不帶有 CNAS 認可標識，待通過認可後我們將根據認可範圍為您更換帶有認可標識的認證證書。
5. 由於新版標準相對於舊版標準變化較大，請各相關單位提前策劃，按新版標準要求對資訊安全管理體系進行調整，並按新版標準要求運行，實施內部稽核和管理審查等。確保轉版工作的順利進行。我中心可提供新版標準培訓、新版標準內部稽核員培訓等培訓課程，如有需要可聯繫中心商務人員。
6. 有關認證標準轉換的詳細技術要求和工作安排請與我中心聯繫溝通。