国家认监委关于发布《信息安全管理体系认证规则》等 5 项管理体系认证规则的公告
为进一步压实认证机构主体责任,切实提升质量认证公信力和有效性,依据《中华人民共和国认证认可条例》等法律法规,国家认监委组织制定了《环境管理体系认证规则》《职业健康安全管理体系认证规则》《信息安全管理体系认证规则》,并对旧版《信息技术服务管理体系认证实施规则》(国家认监委 2012 年第 8号公告)和《能源管理体系认证规则》(国家认监委 2014 年第 21号公告)进行了修订。现将制修订后的上述 5 项认证规则(以下称新版规则)予以公布,并就有关事项公告如下:
、自2026年3月1日起,新版规则正式实施,旧版《信息技术服务管理体系认证实施规则》《能源管理体系认证规则》同时废止,认证机构自行制定的《环境管理体系认证规则》《职业健康安全管理体系认证规则》和《信息安全管理体系认证规则》自动失效。二、本公告发布之日起至2026年2月28 日为认证规则换版过渡期。过渡期内,新版规则、旧版《信息技术服务管理体系认证实施规则》《能源管理体系认证规则》以及认证机构自行制定的《环境管理体系认证规则》《职业健康安全管理体系认证规则》和《信息安全管理体系认证规则》并行适用。认证机构可根据获证组织申请,结合年度监督或再认证审核,按照新版规则对现行有效的认证证书实施换版审核,经审核符合新版规则要求的,换发新版认证证书,新证书有效期与原证书有效期保持一致。
三、自2026年3月1日起,环境管理体系、职业健康安全管理体系、信息安全管理体系、信息技术服务管理体系和能源管理体系认证活动应当按照新版规则实施。
四、认证机构应认真组织开展新版规则的学习培训,及时修订有关管理文件及技术规范,调整完善认证程序,确保认证人员能力以及认证活动全过程符合新版规则的要求。
五、获证组织应积极学习新版规则内容,加强内部人员能力建设,适时进行认证证书换版,确保本组织建立并运行的环境管理体系、职业健康安全管理体系、信息安全管理体系、信息技术服务管理体系和能源管理体系持续符合新版规则要求。
信息安全管理体系认证规则
适用范围
1.1 为规范信息安全管理体系(以下称ISMS)认证活动,根据《中华人民共和国认证认可条例》和《认证机构管理办法》等法律法规,结合相关技术标准制定本规则。
1.2本规则规定了认证机构实施 ISMMS 认证的程序与管理的基本要求,是认证机构从事ISMS认证活动的基本依据。
1.3 在中华人民共和国境内从事 ISMS 认证活动应遵守《中华人民共和国认证认可条例》《认证机构管理办法》及本规则。1.4 认证机构遵守本规则的规定,并不意味着可免除其所承担的法律责任。
2 认证依据
《网络安全技术信息安全管理体系要求》(GB/T22080)/《Information security,cybersecurity and privacy protectionInforation security managementsysternsRequirements 》(ISO/EC 27001)
3 对认证机构的基本要求
3.1 获得国家认证认可监督管理委员会(以下简称国家认监委)批准、取得ISMS认证领域资质:
3.2开展ISMS认证活动,应当围绕国家经济和社会发展目标,重点服务于经济社会高质量发展,不得影响国家安全和社会
公共利益,不得违背社会公序良俗
3.3 内部管理和认证活动符合GB/T 27021.1/SO/EC 17021-1《合格评定管理体系审核认证机构要求第1部分:要求》和 GB/T25067/SO/EC 27006-1,确保持续满足开展ISMS 认证的基本要求。
3.4 建立风险防范机制,对从事ISMS认证活动可能引发的风险和责任采取合理有效措施。认证机构应能证明其已对ISMS认证活动引发的风险进行了评估,对引发的责任作出了充分安排(如保险或储备金)。
3.5 建立认证人员管理制度,明确认证人员的能力准则、选择条件、聘用和评价程序,以及能力提升机制。确保从事ISMS认证的人员持续具备相应职业素养和能力。
3.6在拟开展的ISMS认证业务范围(认证业务范围分类见附录A表A),具备2名(含)以上ISMS专业领域审核员。认证机构应结合认证业务范围识别相关专业的学历和专业信息安全工作经历。相应认证业务范围的专业领域审核员,应具备如下条件之-:
(1)具有本科(含)以上学历:在中风险认证业务范围具有至少2年(含)以上该专业的信息安全工作经历或具有该专业的中级(含)以上技术职称;在高风险认证业务范围具有至少3年(含)以上该专业的信息安全工作经历或具有该专业高级技术职称;
3.3 内部管理和认证活动符合 GB/T 27021.1/SO/EC 17021-1《合格评定 管理体系审核认证机构要求 第1部分:要求》和 GB/T27021.10/SO/ECTS 17021-10《合格评定 管理体系审核认证机构要求第10部分:职业健康安全管理体系审核与认证能力要求》,确保持续满足开展 OHSMS 认证的基本要求。
3.4 建立风险防范机制,对从事OHSMS 认证活动可能引发的风险和责任采取合理有效措施。认证机构应能证明其已对OHSMS 认证活动引发的风险进行了评估,对引发的责任作出了充分安排(如保险或储备金)。
3.5 建立认证人员管理制度,明确认证人员的能力准则、选择条件、聘用和评价程序,以及能力提升机制。确保从事OISMS认证的人员持续具备相应职业素养和能力。
3.6 在拟开展的 OHSMS 认证业务范围(认证业务范围分类见附录A表A.1),具备2名(含)以上 OHSMS 专业领域审核员认证机构应结合认证业务范围识别相关专业的学历和专业职业健康安全(以下称 OH&S)工作经历。相应认证业务范围的专业领域审核员,应具备如下条件之-:
(1)具有相关专业大专(含)以上学历:在中风险认证业务范围具有至少1年(含)以上该专业的OH&S工作经历;在高风险认证业务范围,大专学历具有3年(含)以上,本科及以上学历具有2年(含)以上该专业的OH&S工作经历;
注1:相关专业是指与认证业务范围类别专业知识相关的教育经历
3.3 内部管理和认证活动符合 GB/T 27021.1/SO/EC 17021-1《合格评定 管理体系审核认证机构要求 第1部分:要求》和 GB/T27021.10/SO/ECTS 17021-10《合格评定 管理体系审核认证机构要求第10部分:职业健康安全管理体系审核与认证能力要求》,确保持续满足开展 OHSMS 认证的基本要求。
3.4 建立风险防范机制,对从事OHSMS 认证活动可能引发的风险和责任采取合理有效措施。认证机构应能证明其已对OHSMS 认证活动引发的风险进行了评估,对引发的责任作出了充分安排(如保险或储备金)。
3.5 建立认证人员管理制度,明确认证人员的能力准则、选择条件、聘用和评价程序,以及能力提升机制。确保从事OISMS认证的人员持续具备相应职业素养和能力。
3.6 在拟开展的 OHSMS 认证业务范围(认证业务范围分类见附录A表A.1),具备2名(含)以上 OHSMS 专业领域审核员认证机构应结合认证业务范围识别相关专业的学历和专业职业健康安全(以下称 OH&S)工作经历。相应认证业务范围的专业领域审核员,应具备如下条件之-:
(1)具有相关专业大专(含)以上学历:在中风险认证业务范围具有至少1年(含)以上该专业的OH&S工作经历;在高风险认证业务范围,大专学历具有3年(含)以上,本科及以上学历具有2年(含)以上该专业的OH&S工作经历;
注1:相关专业是指与认证业务范围类别专业知识相关的教育经历
3.3 内部管理和认证活动符合 GB/T 27021.1/SO/EC 17021-1《合格评定 管理体系审核认证机构要求 第1部分:要求》和 GB/T27021.10/SO/ECTS 17021-10《合格评定 管理体系审核认证机构要求第10部分:职业健康安全管理体系审核与认证能力要求》,确保持续满足开展 OHSMS 认证的基本要求。
3.4 建立风险防范机制,对从事OHSMS 认证活动可能引发的风险和责任采取合理有效措施。认证机构应能证明其已对OHSMS 认证活动引发的风险进行了评估,对引发的责任作出了充分安排(如保险或储备金)。
3.5 建立认证人员管理制度,明确认证人员的能力准则、选择条件、聘用和评价程序,以及能力提升机制。确保从事OISMS认证的人员持续具备相应职业素养和能力。
3.6 在拟开展的 OHSMS 认证业务范围(认证业务范围分类见附录A表A.1),具备2名(含)以上 OHSMS 专业领域审核员认证机构应结合认证业务范围识别相关专业的学历和专业职业健康安全(以下称 OH&S)工作经历。相应认证业务范围的专业领域审核员,应具备如下条件之-:
(1)具有相关专业大专(含)以上学历:在中风险认证业务范围具有至少1年(含)以上该专业的OH&S工作经历;在高风险认证业务范围,大专学历具有3年(含)以上,本科及以上学历具有2年(含)以上该专业的OH&S工作经历;
注1:相关专业是指与认证业务范围类别专业知识相关的教育经历
3.3 内部管理和认证活动符合 GB/T 27021.1/SO/EC 17021-1《合格评定 管理体系审核认证机构要求 第1部分:要求》和 GB/T27021.10/SO/ECTS 17021-10《合格评定 管理体系审核认证机构要求第10部分:职业健康安全管理体系审核与认证能力要求》,确保持续满足开展 OHSMS 认证的基本要求。
3.4 建立风险防范机制,对从事OHSMS 认证活动可能引发的风险和责任采取合理有效措施。认证机构应能证明其已对OHSMS 认证活动引发的风险进行了评估,对引发的责任作出了充分安排(如保险或储备金)。
3.5 建立认证人员管理制度,明确认证人员的能力准则、选择条件、聘用和评价程序,以及能力提升机制。确保从事OISMS认证的人员持续具备相应职业素养和能力。
3.6 在拟开展的 OHSMS 认证业务范围(认证业务范围分类见附录A表A.1),具备2名(含)以上 OHSMS 专业领域审核员认证机构应结合认证业务范围识别相关专业的学历和专业职业健康安全(以下称 OH&S)工作经历。相应认证业务范围的专业领域审核员,应具备如下条件之-:
(1)具有相关专业大专(含)以上学历:在中风险认证业务范围具有至少1年(含)以上该专业的OH&S工作经历;在高风险认证业务范围,大专学历具有3年(含)以上,本科及以上学历具有2年(含)以上该专业的OH&S工作经历;
注1:相关专业是指与认证业务范围类别专业知识相关的教育经历
