尊敬的獲證組織：

國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)（CNCA）于2026年1月14日正式發(fā)布了《信息安全管理體系認(rèn)證規(guī)則》（CNCA-ISMS-01:2026）和《信息技術(shù)服務(wù)管理體系認(rèn)證規(guī)則》（CNCA-ITSMS-01:2026），并于2026年3月1日起正式實(shí)施。上述規(guī)則分別是ISMS和ITSMS認(rèn)證活動(dòng)的基本依據(jù)和底線要求，也是地方認(rèn)證監(jiān)管部門對(duì)獲證組織及認(rèn)證機(jī)構(gòu)認(rèn)證監(jiān)管的重要依據(jù)。

為確保貴組織認(rèn)證證書的持續(xù)有效并符合上述《規(guī)則》的要求，現(xiàn)將相關(guān)的重點(diǎn)內(nèi)容通告如下：

一、主要變化內(nèi)容摘要

說明：未注明 “摘自 XX 規(guī)則” 的為 ISMS 和 ITSMS 兩類認(rèn)證的通用要求，申請(qǐng)任一體系均需滿足。注明來源的為對(duì)應(yīng)體系的專屬要求，僅需根據(jù)所申請(qǐng)的認(rèn)證體系，滿足對(duì)應(yīng)條款即可。

（一）認(rèn)證申請(qǐng)階段

1. 認(rèn)證申請(qǐng)條件（《規(guī)則》5.1.2）

提出認(rèn)證申請(qǐng)時(shí)，認(rèn)證委托人應(yīng)具備以下條件：

(1) 取得合法主體資格，并處于有效期內(nèi)；

(2) 取得相關(guān)法律法規(guī)規(guī)定的行政許可（適用時(shí)），并處于有效期內(nèi)；

(3) 根據(jù)所申請(qǐng)的認(rèn)證體系，滿足對(duì)應(yīng)要求：

申請(qǐng) ISMS：已按 ISMS 認(rèn)證標(biāo)準(zhǔn)建立體系，且運(yùn)行滿三個(gè)月（摘自 ISMS 規(guī)則）；

申請(qǐng) ITSMS：已按 ITSMS 認(rèn)證標(biāo)準(zhǔn)建立體系，且運(yùn)行滿三個(gè)月（摘自 ITSMS 規(guī)則）。

(4) 根據(jù)所申請(qǐng)的認(rèn)證體系，滿足對(duì)應(yīng)要求（適用時(shí)）：

申請(qǐng) ISMS：因獲證組織自身原因被原發(fā)證機(jī)構(gòu)暫停、注銷或撤銷 ISMS 認(rèn)證證書已滿一年（摘自 ISMS 規(guī)則）；

申請(qǐng) ITSMS：因獲證組織自身原因被原發(fā)證機(jī)構(gòu)暫停、注銷或撤銷 ITSMS 認(rèn)證證書已滿一年（摘自 ITSMS 規(guī)則）。

(5) 根據(jù)所申請(qǐng)的認(rèn)證體系，滿足對(duì)應(yīng)要求（適用時(shí)）：

申請(qǐng) ISMS：原 ISMS 認(rèn)證證書發(fā)證機(jī)構(gòu)被國(guó)家認(rèn)監(jiān)委撤銷 ISMS 認(rèn)證資質(zhì)已滿三個(gè)月（摘自 ISMS 規(guī)則）；

申請(qǐng) ITSMS：原 ITSMS 認(rèn)證證書發(fā)證機(jī)構(gòu)被國(guó)家認(rèn)監(jiān)委撤銷 ITSMS 認(rèn)證資質(zhì)已滿三個(gè)月（摘自 ITSMS 規(guī)則）。

(6) 當(dāng)前未被行政監(jiān)管部門責(zé)令停產(chǎn)停業(yè)整頓；

(7) 當(dāng)前未列入“國(guó)家企業(yè)信用信息公示系統(tǒng)”和“信用中國(guó)”發(fā)布的嚴(yán)重違法失信名單；

(8) 一年內(nèi)未發(fā)生重大及以上級(jí)別的網(wǎng)絡(luò)安全事件；注：網(wǎng)絡(luò)安全事件級(jí)別依據(jù)GB/T 20986判定。（僅ISMS適用，摘自ISMS規(guī)則）

(9) 其他應(yīng)具備的條件。

2. 認(rèn)證申請(qǐng)需提交的信息和文件資料（《規(guī)則》5.1.3）

認(rèn)證申請(qǐng)需提交的信息和文件資料中特別需要注意以下資料的提交：

(1) 認(rèn)證申請(qǐng)，包括認(rèn)證委托人的名稱、地址、認(rèn)證依據(jù)的標(biāo)準(zhǔn)、申請(qǐng)的認(rèn)證范圍、認(rèn)證范圍內(nèi)人員數(shù)量及影響體系有效性的外包過程；

(2) 根據(jù)所申請(qǐng)的認(rèn)證體系，滿足對(duì)應(yīng)要求

法律地位的證明文件，當(dāng) ISMS覆蓋多個(gè)法律實(shí)體時(shí)，應(yīng)提供每個(gè)法律實(shí)體的法律地位證明文件；（摘自 ISMS 規(guī)則）

法律地位的證明文件，當(dāng) ITSMS覆蓋多個(gè)法律實(shí)體時(shí)，應(yīng)提供每個(gè)法律實(shí)體的法律地位證明文件。（摘自 ITSMS 規(guī)則）

(3) 根據(jù)所申請(qǐng)的認(rèn)證體系，滿足對(duì)應(yīng)要求

申請(qǐng)認(rèn)證范圍所涉及的網(wǎng)絡(luò)安全法律法規(guī)要求的行政許可文件、資質(zhì)證書等（適用時(shí)）；（摘自 ISMS 規(guī)則）

申請(qǐng)認(rèn)證范圍所涉及的信息技術(shù)法律法規(guī)要求的行政許可文件、資質(zhì)證書等（適用時(shí)）；（摘自 ITSMS 規(guī)則）

(4) 組織機(jī)構(gòu)及職責(zé)；

(5) 根據(jù)所申請(qǐng)的認(rèn)證體系，滿足對(duì)應(yīng)要求

生產(chǎn)/服務(wù)的流程、班次及輪班情況；（ISMS適用）

信息技術(shù)服務(wù)的流程、班次及輪班情況（ITSMS適用）

(6) 所申請(qǐng)的管理體系運(yùn)行滿三個(gè)月的證據(jù)；

(7) （適用時(shí)）一年內(nèi)所發(fā)生的與網(wǎng)絡(luò)安全相關(guān)的行政處罰以及整改情況。（僅ISMS適用，摘自ISMS規(guī)則）

(8) 其他需要提供的文件

（二）認(rèn)證合同簽署、費(fèi)用支付及相關(guān)責(zé)任

明確了認(rèn)證費(fèi)用的支付要求以及認(rèn)證委托人/申請(qǐng)組織額外的責(zé)任：

1. 合同簽署和費(fèi)用支付（《規(guī)則》5.3.1）

認(rèn)證機(jī)構(gòu)應(yīng)與每個(gè)認(rèn)證委托人（注：即申請(qǐng)認(rèn)證的組織）簽訂具有法律效力的認(rèn)證合同。認(rèn)證委托人應(yīng)向認(rèn)證機(jī)構(gòu)直接支付認(rèn)證費(fèi)用，不得通過第三方支付。認(rèn)證委托人的上級(jí)單位（如認(rèn)證委托人所屬的集團(tuán)公司、事業(yè)單位、社會(huì)團(tuán)體或機(jī)關(guān)）或下級(jí)單位向認(rèn)證機(jī)構(gòu)支付費(fèi)用是可接受的形式。

2. 認(rèn)證委托人應(yīng)承擔(dān)的法律責(zé)任（《規(guī)則》5.3.3、5.3.4）

認(rèn)證委托人應(yīng)遵守認(rèn)證程序要求，應(yīng)如實(shí)提供相關(guān)材料和信息，配合認(rèn)證行政監(jiān)管部門的監(jiān)督檢查，及時(shí)向認(rèn)證機(jī)構(gòu)通報(bào)相應(yīng)管理體系及認(rèn)證申請(qǐng)條件的變更情況，并承擔(dān)選擇的認(rèn)證機(jī)構(gòu)資質(zhì)被撒銷而帶來的認(rèn)證活動(dòng)終止、認(rèn)證證書無法使用的風(fēng)險(xiǎn)。

（三）審核安排要求

1. 認(rèn)證審核應(yīng)在認(rèn)證委托人的現(xiàn)場(chǎng)實(shí)施，包括初次認(rèn)證審核以及認(rèn)證周期內(nèi)的每年度的監(jiān)督審核、再認(rèn)證審核和特殊審核。（《規(guī)則》5.5.1）

2. 初審審核：初次認(rèn)證審核應(yīng)分為兩個(gè)階段實(shí)施：第一階段審核和第二階段審核。兩個(gè)階段審核時(shí)間間隔最短不應(yīng)少于5日，最長(zhǎng)不應(yīng)超過6個(gè)月。（《規(guī)則》5.6.1）

3. 監(jiān)督審核：初次認(rèn)證及再認(rèn)證后的第一次監(jiān)督審核應(yīng)在認(rèn)證證書簽發(fā)之日起12個(gè)月內(nèi)進(jìn)行。此后，監(jiān)督審核間隔不應(yīng)超過12個(gè)月。第二次監(jiān)督審核應(yīng)在認(rèn)證證書簽發(fā)之日起24個(gè)月內(nèi)進(jìn)行。（《規(guī)則》5.4.1.4、5.4.1釋義、5.7.2）

4. 再認(rèn)證審核：再認(rèn)證審核應(yīng)在獲證組織現(xiàn)場(chǎng)進(jìn)行，并應(yīng)在認(rèn)證證書到期前完成。不能在認(rèn)證證書到期前完成現(xiàn)場(chǎng)審核的，認(rèn)證機(jī)構(gòu)應(yīng)按初次認(rèn)證開展認(rèn)證活動(dòng)。（《規(guī)則》5.8.2）

5. 提前較短時(shí)間通知的審核：為調(diào)查投訴、突發(fā)事件，對(duì)變更做出回應(yīng)或?qū)Ρ粫和５目蛻暨M(jìn)行追蹤，可能需要在提前較短時(shí)間或不通知獲證組織的情況下進(jìn)行審核。（《規(guī)則》5.9.2）

（四）審核時(shí)間 （《規(guī)則》5.4.2、附錄B）

1. 審核時(shí)間以“人日”計(jì)，1人日為8小時(shí)，不應(yīng)通過增加工作日的工作小時(shí)數(shù)以減少審核人日數(shù)。如果認(rèn)證委托人工作日實(shí)際工作時(shí)間不足8小時(shí)，則應(yīng)延長(zhǎng)現(xiàn)場(chǎng)審核天數(shù)以滿足審核時(shí)間要求。

2. 《信息安全管理體系認(rèn)證實(shí)施規(guī)則》附錄 B 信息安全管理體系認(rèn)證審核時(shí)間要求有效人數(shù)與審核時(shí)間對(duì)照表中，相比認(rèn)可規(guī)范（CNAS-CC170）新增 15 人以下單獨(dú)檔位的劃分，認(rèn)可規(guī)范中該人員區(qū)間分為兩個(gè)檔位。

3. 對(duì)于市場(chǎng)監(jiān)管總局（國(guó)家認(rèn)監(jiān)委）或認(rèn)可機(jī)構(gòu)未明確審核時(shí)間要求的管理體系，ISMS/ITSMS不能與其實(shí)施結(jié)合審核，也不能通過結(jié)合審核的方式減少審核時(shí)間。（《規(guī)則》5.4.2 釋義1）

（五）審核實(shí)施過程（《規(guī)則》5.5）

1. 首末次會(huì)議的參與要求（《規(guī)則》5.5.3）

    認(rèn)證委托人的最高管理者、管理體系相關(guān)職能部門負(fù)責(zé)人應(yīng)參加首、末次會(huì)議，認(rèn)證機(jī)構(gòu)應(yīng)保留首、末次會(huì)議簽到記錄、圖片/音像證明材料。認(rèn)證委托人的最高管理者不能參加首、末次會(huì)議的，應(yīng)由獲得書面授權(quán)的其他高級(jí)管理層成員參會(huì)，審核組應(yīng)記錄最高管理者缺席理由。

2. 最高管理者的審核重點(diǎn)（《規(guī)則》5.5.4）

   審核組應(yīng)通過面對(duì)面訪談等形式，對(duì)認(rèn)證委托人的最高管理者在管理體系中發(fā)揮領(lǐng)導(dǎo)作用的情況進(jìn)行重點(diǎn)審核，并保留現(xiàn)場(chǎng)圖片/音像、審核記錄等證明材料。最高管理者不熟悉組織自身的管理體系方針、目標(biāo)，未親自參與并推動(dòng)管理體系實(shí)施的，認(rèn)證審核應(yīng)不予通過。

3. 審核終止情況（《規(guī)則》5.5.5、5.5.5釋義4、5.6.2.4）

(1) 認(rèn)證委托人對(duì)審核活動(dòng)不予配合，審核活動(dòng)無法進(jìn)行；

(2) 認(rèn)證委托人的最高管理者或經(jīng)授權(quán)的高級(jí)管理層成員缺席首、末次會(huì)議；

(3) 認(rèn)證委托人實(shí)際情況與申請(qǐng)材料有重大不一致；

(4) 認(rèn)證機(jī)構(gòu)通過第一階段審核發(fā)現(xiàn)相關(guān)申請(qǐng)信息和文件資料存在虛假情況的，應(yīng)終止認(rèn)證活動(dòng)。

(5) 其他導(dǎo)致審核程序無法完成的情況。

（六）認(rèn)證證書

1. 認(rèn)證證書的有效期（《規(guī)則》6.2.1、6.2.3）

    認(rèn)證證書的有效期最長(zhǎng)為3年。本規(guī)則實(shí)施后（2026年3月1日起），新簽發(fā)的再認(rèn)證證書有效期也不得超過3年。

    對(duì)于未能在原認(rèn)證證書到期前完成再認(rèn)證決定的，獲證組織的認(rèn)證證書到期后自動(dòng)失效，直至獲得新簽發(fā)的再認(rèn)證證書，新簽發(fā)的再認(rèn)證證書的終止日期不超過上一認(rèn)證周期終止日期再加3年。

2. 認(rèn)證證書編號(hào)規(guī)則（《規(guī)則》附錄C）

    認(rèn)證證書編號(hào)由認(rèn)證機(jī)構(gòu)代碼、發(fā)證年份號(hào)、管理體系簡(jiǎn)寫、順序號(hào)、認(rèn)證周期、認(rèn)可機(jī)構(gòu)代碼和子證書號(hào)構(gòu)成。

（七）獲證后保持（《規(guī)則》5.3.4）

    獲證組織應(yīng)遵守認(rèn)證程序要求，如實(shí)提供相關(guān)材料和信息，通過認(rèn)證后持續(xù)有效運(yùn)行管理體系，配合認(rèn)證行政監(jiān)管部門的監(jiān)督檢查，在廣告、宣傳等活動(dòng)中正確使用認(rèn)證證書、認(rèn)證標(biāo)志和有關(guān)信息，及時(shí)向認(rèn)證機(jī)構(gòu)通報(bào)管理體系及“認(rèn)證申請(qǐng)條件”中條件的變更情況，承擔(dān)選擇的認(rèn)證機(jī)構(gòu)資質(zhì)被撤銷而帶來的認(rèn)證證書無法使用的風(fēng)險(xiǎn)。

（八）認(rèn)證記錄保存（《規(guī)則》10.5）

   獲證組織應(yīng)留存認(rèn)證證書有效期內(nèi)相應(yīng)的認(rèn)證記錄，至少包括：

（1）認(rèn)證合同；

（2）審核計(jì)劃；

（3）首、末次會(huì)議簽到表；

（4）不符合報(bào)告及原因分析和糾正措施；

（5）審核報(bào)告；

（6）暫停、撤銷通知（適用時(shí)）。

（九）認(rèn)證證書的暫停、撤銷和注銷（《規(guī)則》7.2、7.3、7.4）

1. 認(rèn)證證書的暫停（《規(guī)則》7.2）

    獲證組織有以下情形之一的，認(rèn)證機(jī)構(gòu)應(yīng)在調(diào)查核實(shí)后5日內(nèi)暫停其認(rèn)證證書，并保留相應(yīng)證據(jù)：

(1) 管理體系持續(xù)或嚴(yán)重不滿足認(rèn)證要求的，包括文件與實(shí)際業(yè)務(wù)運(yùn)作嚴(yán)重脫離；

(2) 不滿足管理體系適用的法律法規(guī)要求，且未采取有效糾正措施的；

(3) 受到與網(wǎng)絡(luò)安全相關(guān)的行政處罰，且尚未完成整改的（ISMS適用，摘自ISMS規(guī)則）；受到與信息技術(shù)服務(wù)相關(guān)的行政處罰，且尚未完成整改的（ITSMS適用，摘自ITSMS規(guī)則）

(4) 發(fā)生重大及以上級(jí)別網(wǎng)絡(luò)安全事件，反映獲證組織ISMS運(yùn)行存在重大缺陷的（ISMS適用，摘自ISMS規(guī)則）。

(5) 拒絕配合市場(chǎng)監(jiān)管部門的認(rèn)證執(zhí)法監(jiān)督檢查，或者提供虛假材料或信息的；

(6) 持有的與相應(yīng)管理體系認(rèn)證范圍有關(guān)的行政許可文件、資質(zhì)證書等過期失效的；

(7) 不能按照規(guī)定的時(shí)間間隔接受監(jiān)督審核的；

(8) 未按相關(guān)規(guī)定正確引用和宣傳獲得的認(rèn)證證書和有關(guān)信息，包括認(rèn)證證書和認(rèn)證標(biāo)志的使用；

(9) 不承擔(dān)、履行認(rèn)證合同約定的責(zé)任和義務(wù)的；

(10) 被有關(guān)行政監(jiān)管部門責(zé)令停產(chǎn)停業(yè)整頓的；

(11) 發(fā)生與相應(yīng)管理體系相關(guān)重大輿情的；

(12) 主動(dòng)請(qǐng)求暫停的；

(13) 監(jiān)督審核時(shí)發(fā)現(xiàn)的嚴(yán)重不符合的糾正措施未能在3個(gè)月內(nèi)完成驗(yàn)證的；

(14) 其他應(yīng)暫停認(rèn)證證書的。

2. 認(rèn)證證書的撤銷（《規(guī)則》7.3）

    規(guī)則明確了撤銷的認(rèn)證證書失效，且不可恢復(fù)。明確了獲證組織有以下情形之一的，認(rèn)證機(jī)構(gòu)應(yīng)在獲得相關(guān)信息并調(diào)查核實(shí)5日內(nèi)撤銷其認(rèn)證證書，并保留相應(yīng)證據(jù)：

（1） 被注銷或撤銷法律地位證明文件的；

（2） 被“國(guó)家企業(yè)信用信息公示系統(tǒng)”和“信用中國(guó)”列入嚴(yán)重違法失信名單的；

（3） 認(rèn)證證書的暫停期限已滿，但導(dǎo)致暫停的問題未得到解決或有效糾正的；

（4） 經(jīng)行政監(jiān)管部門確認(rèn)因獲證組織違規(guī)而造成重大及以上級(jí)別網(wǎng)絡(luò)安全事件的（ISMS適用，摘自ISMS規(guī)則）；

（5） ISMS沒有運(yùn)行或者已不具備運(yùn)行條件的（ISMS適用，摘自ISMS規(guī)則）； ITSMS沒有運(yùn)行或者已不具備運(yùn)行條件的（ITSMS適用，摘自ITSMS規(guī)則）。

（6） 其他應(yīng)撤銷認(rèn)證證書的。

3. 認(rèn)證證書的注銷（《規(guī)則》7.4）

    獲證組織主動(dòng)申請(qǐng)不再保持認(rèn)證證書時(shí)，認(rèn)證機(jī)構(gòu)應(yīng)確認(rèn)在不存在暫?；虺蜂N情形后，注銷其認(rèn)證證書，并保留相應(yīng)證據(jù)。

二、對(duì)貴組織的建議與要求

    《規(guī)則》是認(rèn)證活動(dòng)必須遵守的法規(guī)性文件，對(duì)認(rèn)證機(jī)構(gòu)和認(rèn)證客戶均提出了更加明確和細(xì)化的要求。

    請(qǐng)擬申請(qǐng)ISMS或ITSMS認(rèn)證的客戶以及獲證客戶高度重視，組織相關(guān)人員進(jìn)行學(xué)習(xí)，充分了解認(rèn)證工作的合規(guī)要求和風(fēng)險(xiǎn)，積極完善體系運(yùn)行，提升人員能力，確保管理體系持續(xù)滿足新版規(guī)則要求。并提前與認(rèn)證機(jī)構(gòu)聯(lián)系安排認(rèn)證事宜，以免造成認(rèn)證證書的暫停、撤銷，以及在地方認(rèn)證監(jiān)管部門中產(chǎn)生的監(jiān)管處罰。

三、《規(guī)則》的有關(guān)要求的落實(shí)

    為有效貫徹《規(guī)則》，我們將有序更新相關(guān)認(rèn)證信息，包括但不限于：認(rèn)證合同、認(rèn)證證書模板、其他可能使用的文件。

    關(guān)于認(rèn)證證書編號(hào)規(guī)則的變更，我們將在2029年3月1日前，結(jié)合監(jiān)督審核/再認(rèn)證審核為獲證組織更換認(rèn)證證書。

    隨函附上《信息安全管理體系認(rèn)證規(guī)則》（CNCA-ISMS-01:2026）/《信息技術(shù)服務(wù)管理體系認(rèn)證規(guī)則》（CNCA-ITSMS-01:2026）及其釋義文件，敬請(qǐng)?jiān)敿?xì)查閱。如有任何疑問，可隨時(shí)與我機(jī)構(gòu)總部及各分支機(jī)構(gòu)聯(lián)系。

   同時(shí)，感謝貴組織一直以來的信任與支持！

新世紀(jì)檢驗(yàn)認(rèn)證有限責(zé)任公司

2026年1月16日

附件：

1. 《信息安全管理體系認(rèn)證規(guī)則》（CNCA-ISMS-01:2026）

2. 《信息技術(shù)服務(wù)管理體系認(rèn)證規(guī)則》（CNCA-ITSMS-01:2026）

3. 《信息安全管理體系認(rèn)證規(guī)則》釋義

4. 《信息技術(shù)服務(wù)管理體系認(rèn)證規(guī)則》釋義