尊敬的认证客户：

感谢贵公司长期以来的信任与支持！国家认证认可监督管理委员会（CNCA）已于2026年1月14日正式发布《信息安全管理体系认证规则》CNCA-ISMS-01:2026（以下简称《规则》）(2026年第2号)。规则将于2026年3月1日起正式实施。

为确保贵公司认证活动的持续合规与证书有效性，现将关键过渡安排与核心变化要点告知如下：

一、重要时间节点与过渡安排

过渡期：自公告发布之日起至2026年2月28日。在此期间，新版规则与机构自行制定的《信息安全管理体系认证规则》并行适用。

正式实施：自2026年3月1日起，所有信息安全管理体系认证活动均须按照新版规则实施。

二、相关重点内容及变化摘要（节选）

1.认证申请条件(《规则》5.1.2)

提出认证申请时，认证委托人应具备以下条件：

(1) 取得合法主体资格，并处于有效期内；

(2) 取得相关法律法规规定的行政许可（适用时），并处于有效期内；

(3) 已按 ISMS 认证标准建立体系，且运行满三个月；

(4) 因获证组织自身原因被原发证机构暂停、注销或撤销 ISMS 认证证书已满一年；

(5) 原 ISMS 认证证书发证机构被国家认监委撤销 ISMS 认证资质已满三个月；

(6) 当前未被行政监管部门责令停产停业整顿；

(7) 当前未列入“国家企业信用信息公示系统”和“信用中国”发布的严重违法失信名单；

(8) 一年内未发生重大及以上级别的网络安全事件；注：网络安全事件级别依据GB/T 20986判定。

(9) 其他应具备的条件。

2.认证申请需提交的信息和文件资料（《规则》5.1.3）

认证申请需提交的信息和文件资料中特别需要注意以下资料的提交：

（1）认证申请，包括认证委托人的名称、地址、认证依据的标准、申请的认证范围、认证范围内人员数量及影响体系有效性的外包过程；

（2）法律地位的证明文件，当ISMS 覆盖多个法律实体时，应提供每个法律实体的法律地位证明文件；

（3）申请认证范围所涉及的网络安全法律法规要求的行政许可文件、资质证书等（适用时）；

（4）组织机构及职责；

（5）生产/服务的流程、班次及轮班情况；

（6）ISMS 运行满三个月的证据；

（7）一年内所发生的与网络安全相关的行政处罚以及整改

情况（适用时）；

（8）其他需要提供的文件。

3.认证合同及相关责任(《规则》5.3条)

3.1认证机构应与每个认证委托人（注：即申请认证的组织）签订具有法律效力的认证合同。认证委托人应向认证机构直接支付认证费用，不得通过第三方支付。认证委托人的上级单位（如认证委托人所属的集团公司、事业单位、社会团体或机关）或下级单位向认证机构支付费用是可接受的形式。

3.2认证委托人应遵守认证程序要求，应如实提供相关材料和信息，配合认证行政监管部门的监督检查，及时向认证机构通报ISMS及认证申请条件的变更情况，并承担选择的认证机构资质被撒销而带来的认证活动终止、认证证书无法使用的风险。

4.认证审核安排(《规则》 5.4, 5.6-5.9, 5.12)

4.1初次审核:分为第一阶段审核和第二阶段审核。两个阶段审核时间间隔最短不应少于5日，最长不应超过6个月。如需要更长的时间间隔，应重新实施第一阶段审核。

4.2监督审核:初次认证及再认证后的第一次监督审核应在认证证书签发之日起12个月内进行。此后，监督审核间隔不应超过12个月。

4.3审核时间:审核时间按人日计算，1人日为8小时，如果贵组织工作日的实际工作时间不足8小时，则应延长现场审核天数以满足审核时间要求。

4.4再认证审核:应在认证证书到期前完成。如果在当前认证证书终止日期前，未能完成再认证审核或对严重不符合实施的纠正和纠正措施未能进行验证，则不应予以再认证，也不应延长原认证证书的有效期。只能通过重新进行初次认证审核获得认证证书。

4.5特殊审核:调查投诉、对变更作出回应或对被暂停的客户进行追踪时，我机构需要在提前较短时间通知贵组织的情况下进行审核。

5.审核实施要求(《规则》5.5，5.10)

5.1审核计划确认要求：组织应提前确认审核计划，确保现场审核时贵组织认证范围内的生产或服务处于正常运行状态。

5.2首末次会议参会要求：最高管理者、ISMS相关职能部门负责人应参加首、末次会议，最高管理者因故无法参会的，需提前授权其他高级管理层成员参会，说明缺席理由，并提交书面授权文件。

5.3面谈要求：最高管理者应接受审核组面对面访谈，对认证委托人的最高管理者在体系中发挥领导作用的情况进行重点审核，并保留现场图片/音像、审核记录等证明材料。最高管理者不熟悉组织自身的方针、目标，未亲自参与并推动体系实施的，认证审核不予通过。

5.4终止审核要求：发生下列情况的，我机构将终止审核:

（1）对审核活动不予配合，审核活动无法进行;

（2）最高管理者或经授权的高级管理层成员缺席首、末次会议;

（3）实际情况与申请材料有重大不一致;

（4）其他导致审核程序无法完成的情况;

5.5对审核中发现的不符合，应在规定时间内按要求完成原因分析，采取相应的纠正措施并通过审核组验证，否则将不予授予通过认证、保持认证或更新认证。

5.6获证组织应留存认证证书有效期内相应的认证记录，至少包括:认证合同、审核计划、首次和末次会议签到表、不符合报告及原因分析和纠正措施、审核报告、暂停通知书(适用时)、撤销通知书(适用时)。

6.认证证书和认证标志(《规则》6)

6.1认证证书和标志的使用(规则6.1)

获证组织可以在认证证书有效时使用认证证书和认证标志，并接受认证机构的监督管理。认证证书处于暂停期间、被撤销或注销后，不得继续使用认证证书和认证标志。

获证组织应当在广告等有关宣传中正确使用认证标志，不得在产品上仅标注认证标志，只有在注明获证组织通过体系认证及认证机构名称的情况下，方可在产品包装上标注认证标志。

6.2认证证书有效期(规则6.2)

认证证书有效期最长为3年。新签发的再认证证书的终止日期不超过原证书终止日期再加3年。

7.认证证书的暂停、撤销和注销 (《规则》7.2、7.3、7.4)

新版《规则》详细规定了各种应暂停(如体系严重不符、受行政处罚、重大及以上级别网络安全事件等)、撤销(如法律地位注销、被"国家企业信用信息公示系统”和"信用中国”列入严重违法失信名单、经行政监管部门确认因获证组织违规而造成重大及以上级别网络安全事件等)、注销认证证书的情形、程序和时限,详见新版《规则》的对应章节。请贵公司务必关注自身证书状态，确保认证证书持续有效。

8.认证信息通(《规则》5.3.4、5.1.2)

按认证合同要求及时通报相关信息、如实提供相关资料，包括但不限于:组织重大变化，相关资质变更或失效;被行政监管部门责令停产停业整顿;被“国家企业信用信息公示系统”或“信用中国”列入严重违法失信名单等。

三、我们的支持与后续步骤

1.学习与准备：我们强烈建议贵单位组织相关人员（特别是最高管理者与体系负责人）学习新版规则，深入理解新要求。

2.沟通与配合：在后续的审核活动中，请确保贵公司的信息安全管理体系相关过程处于正常运行状态，并配合审核组的现场审核工作。同时，请务必及时向我机构通报影响信息安全管理体系和认证条件的任何变更。

3.技术支持：如需获取新版规则官方文本或对上述安排有任何疑问，欢迎随时联系我们。联系电话：400-6758617/0532-85781352。

此次规则换版不仅是合规要求，更是贵公司优化管理体系、提升内在管理的良好契机。山东世通国际认证有限公司将一如既往地提供专业、优质的服务，协助贵公司持续提升管理水平，实现稳健发展。

顺祝商祺！

山东世通国际认证有限公司
2026年2月6日

附件1-信息安全管理体系认证规则.pdf

附件2-信息安全管理体系认证规则释义.pdf