尊敬的认证组织：

国际标准化组织（ISO））于 2022 年 10 月发布 ISO/IEC 27001:2022《信息安全、网络安全和隐私保护—信息安全管理体系—要求》。国家标准委于 2025 年 6 月 30 日发布 GB/T 22080-2025/ISO/IEC 27001:2022《网络安全技术 信息安全管理体系 要求》（以下简称新版国家标准），并于 2026 年 1 月 1 日正式实施。新版国家标准是等同采用 ISO/IEC 27001:2022 标准，代替了 GB/T 22080-2016/ISO/IEC 27001:2013 标准（以下简称旧版国家标准）。

新版国家标准较 ISO/IEC 27001:2022 标准主要存在两处差异：

一、为与中国技术标准体系协调一致，新版国家标准将标准名称调整为《网络安全技术 信息安全管理体系 要求》，而非 ISO/IEC 27001:2022 标准英文名称直译，明确了其在国家标准体系中的领域归属，此项调整不改变标准的范围、核心要求及实施目标；

二、在新版国家标准 4.1 和 4.2 条款处正式将 ISO/IEC 27001:2022/Amd 1:2024 修正案 1（气候行动变化）纳入标准正文。

根据国家认监委（CNCA）2015 年第 30 号公告《国家认监委关于管理体系认证标准换版工作安排的公告》的相关要求，本机构应在等同采用的新版国家标准发布实施后，结合最近一次审核活动，为符合新版国家标准的获证组织换发或重新颁发认证依据为新版国家标准的认证证书。

为了确保获证组织顺利完成此次新版国家标准转换工作，本机构对转换工作做出如下安排：

一、认证申请和审核安排

1、2026 年 1 月 1 日起，ZRC 开始受理依据GB/T 22080-2025/ISO/IEC 27001:2022的认证申请(包括初次审核、监督+转换、再认证审核+转换、专项转换审核)并开始实施审核、颁发/换发新版标准认证证书。同时停止安排依据 ISO/IEC 27001:2022 标准的所有认证审核活动。

2、对于已颁发的认证依据为 ISO/IEC 27001:2022 标准的认证证书，本机构将结合获证组织的最近一次审核活动（包括监督审核、再认证、专项审核），在确认符合新版国家标准要求后，换发依据为 GB/T 22080-2025/ISO/IEC 27001:2022 的认证证书。请获证组织结合新版国家标准对自身管理体系文件进行必要的修订。

二、认证证书的转换方式和审核时间

　　获证客户可选择结合监督或再认证审核进行转换；当获证组织出于市场需求或自身管理需要，在时间上又不能结合前两种方式进行认证转换时，也可以通过专项现场审核进行转换。

1、当转换审核是结合再认证审核实施时，依据再认证的现场审核时间。

2、当转换审核是结合监督审核或专项审核实施时，依据监督的现场审核时间。

3、根据客户的特点(如客户所在行业的风险级别、过程的复杂程度、客户准备的情况、外包情况及控制程度等)，审核时间可能还会增加。

三、客户认证转换准备

　　1、客户应分析识别新旧版标准的差异，以及标准内容变化对其体系运行的影响。

2、制定满足新版标准中新要求的措施和实施计划，至少包括：开展新版标准培训及内审员转换培训，对体系文件及相关表格修订。

3、依据修订后的管理体系文件，运行信息安全管理体系。

　　4、在认证审核前依据新版标准要求运行信息安全管理体系三个月或以上，并依据新版标准要求完成内部审核和管理评审。

四、GB/T 22080-2025/ISO/IEC 27001:2022标准认证证书的颁发安排

通过初次认证审核的组织，GB/T 22080-2025/ISO/IEC 27001:2022 标准认证证书有效期3年。通过标准认证转换审核的组织，监督审核组织GB/T 22080-2025/ISO/IEC 27001:2022标准认证证书有效期与原证书有效期保持一致；再认证组织GB/T 22080-2025/ISO/IEC 27001:2022 标准认证证书有效期基于原证书到期日后三年。

中认认证有限公司

2025年11月19日

中认认证有限公司信息安全管理体系国家标准转换通知.pdf