关于受理依据ISO/IEC 27001:2022标准认证申请的告客户书

尊敬的客户：

新世纪检验认证有限责任公司（以下简称：BCC）已与2023年5月22日获得中国合格评定国家认可委员会（以下简称：CNAS）依据ISO/IEC 27001:2022标准转版认可。

自2023年5月22日起，BCC可以颁发依据ISO/IEC 27001:2022标准带有CNAS认可标志的认证证书。

国际标准化组织（ISO）于2022年10月发布了ISO/IEC 27001:2022《信息安全 网络安全和隐私保护 信息安全管理体系 要求》，该标准代替了ISO/IEC 27001:2013。根据IAF MD26决议和CNAS认可文件规定，认证机构对获证客户的转换不应晚于2025年10月31日。

为了确保客户做好依据ISO/IEC 27001:2022标准认证转换工作，BCC再次重申如下安排：

一、认证申请 

即日起至2024年4月29日，BCC仍然可以依据ISO/IEC 27001:2013（以下简称旧版标准）受理认证申请并颁发依据旧版标准的认证证书，认证证书有效截止日期为2025年10月31日。

自2024年4月30日起，BCC将全部依据ISO/IEC 27001:2022（以下简称新版标准）实施初次认证审核和再认证审核。

二、认证证书的转换方式和审核时间 

依据CNAS认可文件CNAS-EC-066:2022《关于 ISO/IEC 27001:2022 认证标准换版的认可转换说明》。获证组织可以选择结合再认证、监督审核或专项现场审核方式进行转换：

1）当转换审核是结合再认证审核实施时，转换审核需至少安排0.5审核人天；

2）当转换审核是单独进行的或是结合监督审核实施时，转换审核需至少安排1.0审核人天。

另外，根据客户组织的特定（例如客户组织的组织架构复杂程度、所在行业的风险级别、过程的复杂程度、客户准备的情况、外包情况及控制程度等），审核时间可能还会增加。

三、旧版认证证书的有效期 

自2023年3月31日起，所有依据旧版标准的初次认证/再认证证书的有效截止日期统一为2025年10月31日。

• 选择结合监督或专项现场审核方式换版的，认证证书的有效截止日期为原证书签发之日起三年。 
• 选择再认证审核换版的，认证证书的生效日期从签发之日起，截止日期为原证书截止日期后三年。 

四、客户关于新版标准认证的准备工作

• 客户应对新旧标准进行差异识别，分析对体系的影响，依据新编标准要求修订和完善体系，并予以实施。
• 在组织内依据新版标准进行有效的培训，并完成内审员转换。
• 至少针对按照新版标准开展的体系运行情况进行一次内部审核和管理评审。
• 提交一份修订后的形成文件的信息说明情况，必要时提交详细文件。

新世纪检验认证有限责任公司

2023年5月22日