依據所得知的消息,自2022年11月1日起將會有3年的新舊版證書轉換期,所有的2013年舊版標準證書,預計將在2025年11月1日起失效。
目前已取得2013年舊版證書的組織,可以選擇在既定的後續審查 (CAV) 或三年重審 (RA) 時,同時進行轉版稽核,但要注意的是從2024年5月1日起,想要申請 ISO 27001 首次驗證 (IA) 或進行三年重審的組織,就不能選擇再採用2013年舊版標準來進行稽核了。
至於轉版的規劃,以下步驟可作為參考:
1. 取得新版的ISO 27001:2022國際標準,若有需要也可取得ISO 27002:2022國際標準,以便了解新版控制措施的實施指引。
2. 針對新版國際標準的要求,進行差異分析 (包括本文和附錄A) 和風險評鑑。
3. 針對ISMS管理體系和現有的控制措施,實施必要的改變和調整,並保留實施的文件化證據 (在轉版驗證時提供給稽核員看)。
4. 請務必更新適用性聲明書 (SOA) 以反映所實施新版國際標準的控制措施,並且說明適用和不適用的理由。
5. 主動與組織的驗證單位連繫,提早確認預計要進行轉版稽核的時間。