各获证组织：

国际标准化组织（ISO）于2024年3月发布了ISO/IEC 27006-1:2024《信息安全、网络安全和隐私保护 信息安全管理体系审核和认证机构要求 第1部分：通用》，该标准代替了ISO/IEC 27006:2015及其相应的修改单。 国际认可论坛（IAF）在2024年5月发布了IAF MD29:2024《ISO/IEC 27006-1:2024转换要求》（第1版）。该文件识别了ISO/IEC 27006-1:2024的主要变化及影响，提出了本次转换周期，并规定了认可机构和认证机构实施转换过程的具体要求。

为落实IAF-MD29的相关要求，CNAS按照等同采用ISO/IEC 27006-1:2024的原则，发布了CNAS-CC170:2024《信息安全管理体系认证机构要求》，以取代CNAS-CC170:2015。此外，CNAS根据CNAS-CC170:2024以及ISMS认可经验总结，修订并发布了CNAS-SC170:2024《信息安全管理体系认证机构认可方案》，以取代CNAS-SC170:2017。

与认证客户直接相关的变化主要为：附录 A（规范性附录）《ISMS认证机构认证业务范围分类与分级》中部分专业中类的级别进行了调整（02.05为一级、02.07为二级、03.05为二级）。

专业级别的调整直接影响对应认证项目的审核人天数的确定，将导致客户的认证成本升提，请提前做好相关财务预算工作。详细的变化情况见CNAS-EC070:2024及其附录。与本次认可规范换版及认证相关的具体事宜请与中国中检集团各地公司或认证中心体系部联系。

地方公司联系信息请网站查询https://ccic.e-ciie.com/cn/

认证中心联系人：刘湛010-83886959；刘彦龙010-83886621

特此通知。

附件： CNAS-EC070：2024《关于CNAS-CC170和SC170认可规范换版的认可转换说明》

中国质量认证中心

2025年7月22日