赛西认证关于依据ISO/IEC27001：2013实施换版审核的通知

感谢您选择赛西认证为您提供第三方认证服务。正是您的信任和支持帮助赛西认证不断成长。赛西认证视您的信任为最珍贵的资源，希望在您的发展过程中继续为您提供可信任的服务，成为您可信赖的伙伴。

ISO/IEC已于2013年10月1日发布ISO/IEC27001：2013标准。2015年9月28日国家认监委发布了第30号公告《关于管理体系认证标准换版工作安排的公告换版工作安排的公告》，2015年10月20日中国合格评定国家认可委员会（CNAS）发布了CANS-EC-039:2015《认证机构依据ISO/IEC27001:2013实施信息安全管理体系认证的认可转换说明》，根据认监委和认可委的要求，我公司做出了关于ISO/IEC27001:2013认证转换安排如下：

一、转换方案

初审、监督和再认证的客户请根据自身情况参考如下转换方案：

备注：截止到2016年9月30日还未通过转换审核的客户，其ISO/IEC27001:2005证书将被撤销，只能通过ISO/IEC27001:2013初审获得证书。

二、转换流程

客户经理与客户洽谈换版事宜，根据具体情况结合监督换版/单独换版/结合再认证换版，协商一致后请客户在预定的换版审核日期前三个月提交换版申请（含申请表、合同及申请表中所要求的文件）。

三、转换准备

1.评审和修订文件

建议客户根据新版标准的要求评审和修订信息安全管理体系文件，确保符合新标准要求。对《适用性声明》文件，应根据新版标准的附录A的控制目标和控制措施要求，评审组织选择的控制措施与新版标准的一致性，必要时重新选择控制措施，修订《适用性声明》。

2.人员能力评价

客户可通过ISO/IEC27001:2013标准的培训、研讨等方式实施人员能力转换和评价，确保员工熟悉和理解标准知识。对于内审员，可参加相关的内审员培训课程，掌握新版标准的内审知识，并实施内审员证书转换。

3.风险评估

建议客户根据新版标准附录A控制措施的变化，评审组织选择的控制措施，实施风险再评估，对评估出的风险指定风险责任人，并选择标准附录A的控制措施或者其他措施，实施风险处置，确保控制措施得到实施。

4.内部审核

客户应依据ISO/IEC27001:2013标准实施信息安全管理体系的内部审核，策划审核方案，实施内部审核，确保管理体系符合新版标准的要求。

5.管理评审

客户应依据ISO/IEC27001:2013标准实施信息安全管理体系的管理评审，评审转版后体系的运行绩效和改进情况，确保管理体系的适宜性、充分性和有效性。

四、转换收费

所有按照ISO/IEC27001:2013版标准实施审核的企业，均需增加1.5人日审核（含0.5人日文审），人日单价3000元。

五、北京赛西认证有限责任公司的支持

我公司提供关于ISO/IEC27001:2013标准理解和内审员转版培训的公开课程，请联络您的客户经理或拨打电话010-64102686/88/89/99，我们竭诚为您提供转版认证服务。

                                                       北京赛西认证有限责任公司

                                                              2015年11月20日