尊敬的認(rèn)證委托人及獲證組織:
國家認(rèn)證認(rèn)可監(jiān)督管理委員會(CNCA)修訂發(fā)布了《信息安全管理體系認(rèn)證規(guī)則》(CNCA-ISMS-01:2026)(以下簡稱“規(guī)則”)��,并將于2026年3月1日正式實(shí)施��。為保障貴組織認(rèn)證活動合規(guī)、持有的認(rèn)證證書持續(xù)有效���。公司決定自2026年3月1日期按新規(guī)則受理認(rèn)證申請和實(shí)施審核����,現(xiàn)將有關(guān)情況通告如下:
一、新版規(guī)則的重要變化
(一)認(rèn)證申請(《規(guī)則》5.1.2條)
提出認(rèn)證申請時���,認(rèn)證委托人應(yīng)具備以下條件:
(1)取得合法主體資格���,并處于有效期內(nèi);
(2)取得相關(guān)法律法規(guī)規(guī)定的行政許可(適用時)����,并處于有效期內(nèi);
(3)已按認(rèn)證標(biāo)準(zhǔn)建立ISMS��,且運(yùn)行滿三個月�;
(4)因獲證組織自身原因被原發(fā)證機(jī)構(gòu)暫停、注銷或撤銷ISMS 認(rèn)證證書已滿一年(適用時)��;
(5)原ISMS 認(rèn)證證書發(fā)證機(jī)構(gòu)被國家認(rèn)監(jiān)委撤銷ISMS 認(rèn)證資質(zhì)已滿三個月(適用時)���;
(6)當(dāng)前未被行政監(jiān)管部門責(zé)令停產(chǎn)停業(yè)整頓�����;
(7)當(dāng)前未列入“國家企業(yè)信用信息公示系統(tǒng)”和“信用中國”發(fā)布的嚴(yán)重違法失信名單;
(8)一年內(nèi)未發(fā)生重大及以上級別的網(wǎng)絡(luò)安全事件(注:網(wǎng)絡(luò)安全事件的級別依據(jù)GB/T 20986判定);
(9)其他應(yīng)具備的條件�。
(二)認(rèn)證合同及費(fèi)用支付方式(《規(guī)則》5.3.1條)
通過申請評審的���,認(rèn)證機(jī)構(gòu)應(yīng)與每個認(rèn)證委托人簽訂具有法律效力的認(rèn)證合同,明確認(rèn)證服務(wù)的費(fèi)用���、付費(fèi)方式和違約條款�����,及認(rèn)證委托人�����、認(rèn)證機(jī)構(gòu)和獲證組織的責(zé)任��。認(rèn)證費(fèi)用應(yīng)由認(rèn)證委托人向認(rèn)證機(jī)構(gòu)直接支付����。
(二)認(rèn)證委托人與獲證組織的責(zé)任(《規(guī)則》5.3.3/5.3.4條)
認(rèn)證委托人/獲證組織應(yīng)遵守認(rèn)證程序要求�,如實(shí)提供相關(guān)材料與信息,配合認(rèn)證行政監(jiān)管部門的監(jiān)督檢查�����,及時向認(rèn)證機(jī)構(gòu)通報ISMS及5.1.2 中條件的變更情況��,并承擔(dān)因選擇的認(rèn)證機(jī)構(gòu)資質(zhì)被撤銷而導(dǎo)致的風(fēng)險(認(rèn)證委托人面臨認(rèn)證活動終止,獲證組織面臨認(rèn)證證書無法使用的風(fēng)險)�。
其中,獲證組織還需在通過ISMS認(rèn)證后持續(xù)有效運(yùn)行ISMS�,并在廣告、宣傳等活動中正確使用認(rèn)證證書����、認(rèn)證標(biāo)志及有關(guān)信息。
(三)監(jiān)督審核間隔(《規(guī)則》5.4.1.4條)
監(jiān)督審核間隔不超過12個月����。
(四)審核時間計算及審核安排(《規(guī)則》5.4.1.3/5.4.2.1/5.4.5.2/5.4.5.3/5.5.1條)
(1)審核時間以人日計,1人日為8小時����,不應(yīng)通過增加工作日的工作小時數(shù)以減少審核人日數(shù)。如果認(rèn)證委托人工作日的實(shí)際工作時間不足8小時�����,則應(yīng)延長現(xiàn)場審核天數(shù)以滿足審核時間要求�����。
(2)現(xiàn)場審核應(yīng)安排在認(rèn)證委托人的生產(chǎn)或服務(wù)處于正常運(yùn)行時進(jìn)行。初次認(rèn)證審核和再認(rèn)證審核��,應(yīng)覆蓋GB/T
22080/ISO/IEC 27001 所有要求��,以及認(rèn)證范圍內(nèi)的主要信息安全風(fēng)險及所涉及的典型過程/活動��、產(chǎn)品和服務(wù)�����。認(rèn)證證書有效期內(nèi)的監(jiān)督審核累計應(yīng)覆蓋GB/T 22080/ISO/IEC 27001 所有要求�����。��。
(3)現(xiàn)場審核開始前��,應(yīng)將審核計劃提交給認(rèn)證委托人并經(jīng)其確認(rèn)��。如需要臨時調(diào)整審核計劃���,應(yīng)經(jīng)雙方協(xié)商一致后實(shí)施。
(4)ISMS認(rèn)證審核應(yīng)在認(rèn)證委托人的現(xiàn)場實(shí)施����,包括初次認(rèn)證審核以及認(rèn)證周期內(nèi)的每年度的監(jiān)督審核���、再認(rèn)證審核和特殊審核。
(五)首/末次會議參會要求(《規(guī)則》5.5.3條)
審核組應(yīng)會同認(rèn)證委托人召開首�、末次會議,認(rèn)證委托人的最高管理者�、ISMS 相關(guān)職能部門負(fù)責(zé)人應(yīng)參加首、末次會議�,認(rèn)證機(jī)構(gòu)應(yīng)保留首末次會議簽到記錄、圖片/音像證明材料����。認(rèn)證委托人的最高管理者不能參加首、末次會議的����,應(yīng)由獲得書面授權(quán)的其他高級管理層成員參會,審核組應(yīng)記錄最高管理者缺席理由�。
(六)最高管理者訪談重點(diǎn)(《規(guī)則》5.5.4條)
審核組應(yīng)通過面對面訪談等形式,對認(rèn)證委托人的最高管理者在ISMS 中發(fā)揮領(lǐng)導(dǎo)作用的情況進(jìn)行重點(diǎn)審核��,并保留現(xiàn)場圖片/音像�����、審核記錄等證明材料。最高管理者不熟悉組織自身的信息安全方針�、信息安全目標(biāo),未親自參與并推動ISMS實(shí)施的��,認(rèn)證審核將不予通過���。
(七)終止審核情形(《規(guī)則》5.5.5條)
以下情形,審核組應(yīng)向認(rèn)證機(jī)構(gòu)報告后終止審核:
(1)認(rèn)證委托人對審核活動不予配合�,審核活動無法進(jìn)行;
(2)認(rèn)證委托人的最高管理者或經(jīng)授權(quán)的高級管理層成員缺席首����、末次會議;
(3)認(rèn)證委托人實(shí)際情況與申請材料有重大不一致�;
(4)其他導(dǎo)致審核程序無法完成的情況。
(八)初次認(rèn)證時間間隔(《規(guī)則》5.6.1條)
初次認(rèn)證審核應(yīng)分為兩個階段實(shí)施:第一階段審核和第二階段審核��。兩個階段審核時間間隔最短不應(yīng)少于5日�,最長不應(yīng)超過6個月。如需要更長的時間間隔�,應(yīng)重新實(shí)施第一階段審核。
(九)初次認(rèn)證第一階段審核要求(《規(guī)則》5.6.2.2條)
為達(dá)到第一階段審核的目的和要求�,除下列情況外,第一階段審核應(yīng)在認(rèn)證委托人現(xiàn)場實(shí)施:
(1)認(rèn)證委托人已獲本認(rèn)證機(jī)構(gòu)頒發(fā)的其他領(lǐng)域的有效認(rèn)證證書�,認(rèn)證機(jī)構(gòu)已對認(rèn)證委托人ISMS有充分了解;
(2)認(rèn)證委托人獲得了經(jīng)認(rèn)可機(jī)構(gòu)認(rèn)可的其他認(rèn)證機(jī)構(gòu)頒發(fā)的有效的ISMS認(rèn)證證書,通過對其文件和資料的審核可以達(dá)到第一階段審核的目的和要求�����。
(十)再認(rèn)證審核要求(《規(guī)則》5.8.1/5.8.2/6.2.3條)
(1)再認(rèn)證審核應(yīng)在獲證組織現(xiàn)場進(jìn)行��,并應(yīng)在認(rèn)證證書到期前完成����。以判斷獲證組織的ISMS作為一個整體與GB/T 22080/ISO/IEC 27001持續(xù)符合性和運(yùn)行的有效性;
(2)對于未能在原認(rèn)證證書到期前完成再認(rèn)證決定的,獲證組織的ISMS認(rèn)證證書到期后自動失效��,直至獲得新簽發(fā)的再認(rèn)證證書���,新簽發(fā)的再認(rèn)證證書的終止日期不超過上一認(rèn)證周期終止日期再加3年��。
(十一)特殊審核要求(《規(guī)則》5.9.2條)
為調(diào)查投訴����、對變更作出回應(yīng)或?qū)Ρ粫和5目蛻暨M(jìn)行追蹤��,可能需要在提前較短時間或不通知獲證組織的情況下進(jìn)行審核����。
(十二)嚴(yán)重不符合驗證時限(《規(guī)則》5.10.3/5.10.4條)
(1)初次認(rèn)證:在第二階段審核結(jié)束之日起6個月內(nèi)完成����;
(2)監(jiān)督審核:在審核結(jié)束之日起3個月內(nèi)完成����;
(3)再認(rèn)證:在原認(rèn)證證書到期前完成。
未在認(rèn)證證書到期前完成驗證的���,認(rèn)證證書到期自動失效��。獲證組織再次申請認(rèn)證的,按初次認(rèn)證受理并審核��。
(十三)認(rèn)證記錄留存要求(《規(guī)則》10.5條)
為了證實(shí)認(rèn)證活動的實(shí)施���,獲證組織應(yīng)留存認(rèn)證證書有效期內(nèi)相應(yīng)的認(rèn)證記錄����,至少包括:
(1)認(rèn)證合同��;
(2)審核計劃�;
(3)首、末次會議簽到表���;
(4)不符合報告及原因分析和糾正措施���;
(5)審核報告��;
(6)暫停��、撤銷通知(適用時)��。
(十四)認(rèn)證證書和認(rèn)證標(biāo)志相關(guān)要求(《規(guī)則》6.1.2/6.1.3/6.2.1條)
(1)獲證組織可以在認(rèn)證證書有效時使用ISMS認(rèn)證證書和認(rèn)證標(biāo)志�����,并接受認(rèn)證機(jī)構(gòu)的監(jiān)督管理���。認(rèn)證證書處于暫停期間、被撤銷或注銷后���,不得繼續(xù)使用認(rèn)證證書和認(rèn)證標(biāo)志�����;
(2)獲證組織應(yīng)當(dāng)在廣告等有關(guān)宣傳中正確使用ISMS認(rèn)證標(biāo)志�,不得在產(chǎn)品上僅標(biāo)注ISMS認(rèn)證標(biāo)志��,只有在注明獲證組織通過ISMS認(rèn)證及認(rèn)證機(jī)構(gòu)名稱的情況下,方可在產(chǎn)品包裝上使用ISMS認(rèn)證標(biāo)志���;
(3)認(rèn)證機(jī)構(gòu)應(yīng)及時向認(rèn)證決定符合要求的組織出具認(rèn)證證書��,認(rèn)證證書的有效期最長為3年����。
(十五)認(rèn)證證書的暫停(《規(guī)則》7.2.1條)
獲證組織有以下情形之一的��,認(rèn)證機(jī)構(gòu)應(yīng)在調(diào)查核實(shí)后5日內(nèi)暫停其認(rèn)證證書��,并保留相應(yīng)證據(jù):
(1)ISMS 持續(xù)或嚴(yán)重不滿足認(rèn)證要求的��,包括ISMS 文件與實(shí)際業(yè)務(wù)運(yùn)作嚴(yán)重脫離���;
(2)不滿足ISMS 適用的法律法規(guī)要求,且未采取有效糾正措施的�;
(3)受到與網(wǎng)絡(luò)安全相關(guān)的行政處罰,且尚未完成整改的�����;
(4)發(fā)生重大及以上級別網(wǎng)絡(luò)安全事件����,反映獲證組織ISMS運(yùn)行存在重大缺陷的���;
(5)拒絕配合市場監(jiān)管部門的認(rèn)證執(zhí)法監(jiān)督檢查,或者提供虛假材料或信息的����;
(6)持有的與ISMS 認(rèn)證范圍有關(guān)的行政許可文件、資質(zhì)證書等過期失效的���;
(7)不能按照規(guī)定的時間間隔接受監(jiān)督審核的����;
(8)未按相關(guān)規(guī)定正確引用和宣傳獲得的認(rèn)證證書和有關(guān)信息��,包括認(rèn)證證書和認(rèn)證標(biāo)志的使用����;
(9)不承擔(dān)、履行認(rèn)證合同約定的責(zé)任和義務(wù)的��;
(10)被有關(guān)行政監(jiān)管部門責(zé)令停產(chǎn)停業(yè)整頓的��;
(11)發(fā)生與網(wǎng)絡(luò)安全相關(guān)重大輿情的�;
(12)主動請求暫停的���;
(13)監(jiān)督審核時發(fā)現(xiàn)的嚴(yán)重不符合的糾正措施未能在3 個月內(nèi)完成驗證的;
(14)其他應(yīng)暫停認(rèn)證證書的����。
(十六)認(rèn)證證書的撤銷(《規(guī)則》7.3條)
獲證組織有以下情形之一的,認(rèn)證機(jī)構(gòu)應(yīng)在獲得相關(guān)信息并調(diào)查核實(shí)后5 日內(nèi)撤銷其認(rèn)證證書���,并保留相應(yīng)證據(jù):
(1)被注銷或撤銷法律地位證明文件的��;
(2)被“國家企業(yè)信用信息公示系統(tǒng)”和“信用中國”列入嚴(yán)重違法失信名單的�����;
(3)認(rèn)證證書的暫停期限已滿����,但導(dǎo)致暫停的問題未得到解決或有效糾正的���;
(4)經(jīng)行政監(jiān)管部門確認(rèn)因獲證組織違規(guī)而造成重大及以上級別網(wǎng)絡(luò)安全事件的
(5)ISMS 沒有運(yùn)行或者已不具備運(yùn)行條件的;
(6)其他應(yīng)撤銷認(rèn)證證書的�����。
(十七)認(rèn)證證書的注銷(《規(guī)則》7.4條)
獲證組織主動申請不再保持認(rèn)證證書時,認(rèn)證機(jī)構(gòu)應(yīng)確認(rèn)在不存在暫?��;虺蜂N情形后��,注銷其認(rèn)證證書�,并保留相應(yīng)證據(jù)���。
二���、配合與支持
為確保認(rèn)證順暢與證書有效,幫助貴組織順利適應(yīng)新版規(guī)則�,保障認(rèn)證流程高效推進(jìn)及證書持續(xù)有效,請配合做好以下工作:
(一)認(rèn)證受理及換證時間節(jié)點(diǎn)
(1)自2026年3月1日起����,本公司將按照新版規(guī)則受理初次認(rèn)證和再認(rèn)證客戶的認(rèn)證申請。
(2)持有從本公司頒發(fā)的��,不符合新版規(guī)則的有效認(rèn)證證書��,自2026年3月1日起結(jié)合最近一次監(jiān)督審核或再認(rèn)證開始換發(fā)認(rèn)證證書���。
(二)資料準(zhǔn)備與信息通報
(1)申請認(rèn)證時�����,需完整�、如實(shí)提供合法主體資格證明(如營業(yè)執(zhí)照)、相關(guān)行政許可文件(適用時)����、ISMS運(yùn)行滿3個月的證據(jù)(如內(nèi)審、運(yùn)行記錄)等材料�;
(2)若組織架構(gòu)、資質(zhì)文件(如許可證)�����、ISMS關(guān)鍵活動��、等發(fā)生變更��,需在變更后15日內(nèi)通過書面形式告知本機(jī)構(gòu)���,避免影響認(rèn)證狀態(tài)��。發(fā)生與網(wǎng)絡(luò)安全相關(guān)的重大輿情、經(jīng)行政監(jiān)管部門確認(rèn)因獲證組織違規(guī)而造成重大及以上級別網(wǎng)絡(luò)安全事件應(yīng)立即告知認(rèn)證機(jī)構(gòu)
(三)審核現(xiàn)場配合
2026年3月1日起,現(xiàn)場審核將按照新版規(guī)則實(shí)施��,請您配合做好以下工作:
(1)審核開始前確認(rèn)產(chǎn)品和服務(wù)處于正常運(yùn)作狀態(tài)����,否則可能導(dǎo)致補(bǔ)充審核。若需調(diào)整審核時間���,提前5個工作日與本機(jī)構(gòu)協(xié)商����;
(2)協(xié)調(diào)最高管理者參會首���、末次會議����,確有特殊情況無法參會的�����,需提供書面授權(quán)文件(明確授權(quán)高管及權(quán)限)���,并說明缺席理由�����;
(3)最高管理者應(yīng)接受面對面訪談�,并按審核計劃提供真實(shí)、完整的體系運(yùn)行過程記錄���。
(四)認(rèn)證費(fèi)用支付
請嚴(yán)格按認(rèn)證合同約定�,由貴組織直接向本機(jī)構(gòu)支付認(rèn)證費(fèi)用�,不得委托第三方(如合作方、代理機(jī)構(gòu))代付��。
(五)定期自查自糾
(1)核查自身是否存在“列入嚴(yán)重違法失信名單�����、相關(guān)資質(zhì)過期���、違規(guī)使用認(rèn)證標(biāo)志”等風(fēng)險情形�����,重點(diǎn)關(guān)注“國家企業(yè)信用信息公示系統(tǒng)”“信用中國”的信用信息更新�����;
(2)發(fā)現(xiàn)問題后請立即報告軍友誠信�,及時制定整改方案并落實(shí),向軍友誠信提交整改報告��,避免因未及時處理導(dǎo)致證書暫停�����、撤銷�����。
新版規(guī)則對雙方要求更明確�,望貴組織提前籌備�����,配合我機(jī)構(gòu)完成相關(guān)審核與認(rèn)證工作�����。隨函附上《信息安全管理體系認(rèn)證規(guī)則》(CNCA-ISMS-01:2026)全文及釋義�����,敬請詳細(xì)查閱。如對新版規(guī)則有任何疑問或需進(jìn)一步解讀�,可隨時通過以下方式聯(lián)系:
市場部(認(rèn)證受理):喬 琦,010-68116836����,13910860954
質(zhì)量保證部(證書管理):王 淘,010-68116819���,13141465518
審核管理部(審核安排):殷桂芝����,010-68116812�,15810478968
體系管理部(認(rèn)可管理):劉 婷,010-68116845,13522681040
附件:1.《信息安全管理體系認(rèn)證規(guī)則》(CNCA-ISMS-01:2026)
2.《信息安全管理體系認(rèn)證規(guī)則》釋義
北京軍友誠信檢測認(rèn)證有限公司
2026年2月4日
