2026年伊始,国家认证认可监督管理委员会(简称“国家认监委”)正式发布《信息安全管理体系认证规则》等5项新版管理体系认证规则。根据公告,自2026年3月1日起,新版《信息安全管理体系认证规则》(ISMS)将全面实施,旧版相关规则及各认证机构自行制定的规则同步废止。这意味着,所有涉及信息安全管理体系(ISMS)的认证活动,必须严格依照新版规则执行。
一、新规出台背景:提升认证公信力,压实机构责任
近年来,随着网络安全威胁日益复杂、数据泄露事件频发,国家对信息安全管理体系的合规性与有效性提出了更高要求。为压实认证机构主体责任、提升质量认证公信力,国家认监委依据《中华人民共和国认证认可条例》等法律法规,组织修订并统一发布了包括环境(EMS)、职业健康安全(OHSMS)、信息安全(ISMS)、信息技术服务(ITSMS)和能源(EnMS)在内的5项管理体系认证规则。
其中,《信息安全管理体系认证规则》的更新尤为关键,不仅与最新国家标准 GB/T 22080—2025 / ISO/IEC 27001:2022 全面对接,还首次纳入了气候变化相关风险考量,体现了国家对信息安全与可持续发展协同治理的战略导向。
二、标准核心变化:更聚焦网络安全与隐私保护
新版国家标准 GB/T 22080—2025 等同采用国际标准 ISO/IEC 27001:2022,其主要变化包括:
标准名称更新:明确涵盖“网络安全”与“隐私保护”,全称为《网络安全技术 信息安全管理体系 要求》;
控制措施优化:附录A引用 ISO/IEC 27002:2022,新增11项控制、更新58项、合并优化原有条款,形成93项结构化控制措施;
新增气候行动关联内容:整合 ISO/IEC 27001:2022/Amd 1:2024 修正案,要求组织在信息安全管理中考虑极端气候事件对IT基础设施的潜在影响;
术语与流程更精准:如将“外包过程”修订为“外部提供的过程、产品和服务”,避免歧义。
值得注意的是,尽管标准内容有调整,但因属等同采用国际标准,本次转换不增加审核人日,企业换证成本可控。
三、过渡期安排:2026年2月28日前完成换版
国家认监委明确设定了2026年1月14日至2月28日为认证规则换版过渡期。在此期间:
新版规则、旧版《信息技术服务管理体系认证实施规则》《能源管理体系认证规则》,以及各认证机构自行制定的ISMS规则并行适用;
获证组织可结合年度监督审核或再认证审核,申请按新版规则进行换版审核;
审核通过后,将换发新版认证证书,有效期保持不变。
自2026年3月1日起,所有新申请、监督、再认证等ISMS相关活动,必须严格依据新版规则执行,旧版证书及规则将不再被认可。
四、企业应对建议:主动学习、及时换证、强化能力
面对新规落地,获证组织应积极行动:
组织内部培训:深入学习 GB/T 22080—2025 与新版认证规则要求;
开展差距分析:对照新标准附录A的93项控制措施,评估现有体系的符合性;
联系认证机构:尽快与赛宝、Intertek、贯标集团等认证机构沟通,安排换版审核;
加强能力建设:尤其关注网络安全、隐私保护及气候韧性等新增维度,提升整体信息安全管理成熟度。
结语
新版《信息安全管理体系认证规则》的实施,标志着我国信息安全认证体系迈入与国际接轨、兼顾本土需求的新阶段。对于企业而言,这不仅是合规要求,更是提升数据治理能力、增强客户信任的重要契机。2026年2月28日是最后窗口期,建议各组织务必把握时间,顺利完成换版,确保认证持续有效,筑牢数字时代的安全防线。
相关文章
最新文章