尊敬的信息安全管理体系（ISMS）认证客户：

       国际标准化组织（ISO）于2024年3月发布了ISO/IEC 27006-1：2024《信息安全、网络安全和隐私保护信息安全管理体系审核和认证机构要求第1部分：通用》，该标准代替了ISO/IEC 27006：2015标准。为落实相关要求，中国合格评定国家认可委员会（CNAS）于2024年9月30日发布实施了CNAS-CC170：2024《信息安全管理体系认证机构要求》。

       为更好地服务信息安全管理体系（ISMS）领域认证组织，我机构已启动CNAS-CC170：2024认证转换工作，现将相关事项通知如下：

一、认可规范变化的影响：

1.新版认可规范对认证机构相应认证领域的认证业务流程、人员能力等管理要求发生了变化。

2.新版认可规范的调整内容不涉及认证依据变化，对已获证组织有关的转换活动包括但不限于在必要时修订已经签订的认证合同（或签署补充协议）、调整审核方案以及换发认证证书等工作。已获证组织及拟申请认证组织不需根据新版的认可规范增加或减少自身体系运行的工作内容。

3.新版认可规范的调整内容不涉及认证依据变化，故本次转换工作不涉及获证组织信息安全管理体系（ISMS）认证证书的转换。但以下两种情况会导致已获证组织认证证书的换发：

a）当获证组织不是在明确的物理位置实施其认证范围内的任何活动时，本机构将在认证证书中注明组织所有的活动是远程实施的。

b）当获证组织的参考控制标准除ISO/IEC 27001的附录A以外，还引用了其他国家标准和国际标准作为信息安全控制来源时，本机构将在认证证书中引用该国家标准和国际标准。

二、关于认证转换的安排：

1.我机构已根据相关要求完成了对新版规范的转换工作，于2025年7月向CNAS提交新版规范的认可转换申请，在本机构通过CNAS认可转换前，仍按旧版认可规范要求实施信息安全管理体系（ISMS）领域的认证管理。

2.经CNAS认可转换评审通过后，本机构开始按照新版认可规范要求实施信息安全管理体系（ISMS）领域的认证管理，停止依据旧版认可规范要求受理认证申请，同时不再安排依据旧版认可规范实施的审核活动。

注：在本机构通过CNAS认可转换前，如有组织提出需要按新版认可规范的管理要求实施信息安全管理体系（ISMS）认证或转换的，颁发或换发的认证证书不能带有CNAS认可标识。

3.对于获证组织的认证转换在2026年3月31日前完成。

三、关于认证转换方式的说明（已获证组织适用）：

对依据旧版认可规范的管理要求实施认证的获证组织，可以通过以下两种方式实施转换：

1、结合监督审核转换：

新颁发的认证证书有效期截止日期与原颁发的认证证书有效截止日期保持一致。审核人日按新版认证规则计算，不另外增加转换审核时间。

2、结合再认证审核转换：

新认证证书的生效日期为再认证审核认证决定之日，截止日期为上一周期证书截止日期后三年。审核人日按新版认证规则计算，不另外增加转换审核时间。

       在本机构通过CNAS的转换评审后，将结合对已获证组织的最近一次审核实施认证转换。市场人员会及时与获证组织联系，沟通依据新版认可规范的管理要求实施认证转换的相关事宜，以合理安排转换审核，保证证书的持续有效性。

       为保证管理体系持续运行，有效完成转换，已获证组织及拟申请认证组织有任何需求或疑问请及时联系我公司市场部。

       联系电话：010-84724911

北京新纪源认证有限公司

2025年6月30日

       附件:关于认证机构按CNAS-CC170：2024和CNAS-SC170：2024认可规范换版有关事项安排的通知.pdf