尊敬的客戶：

首先感謝您選擇亞瑞仕國際驗證股份有限公司為您提供驗證服務。ISO/IEC 27006-1:2024已正式發佈，亞瑞仕的轉版作業已在2025年12月31日完成，新規範在2026年1月1日起正式適用，此信函中我們向您說明相關資訊。
 

一、認證規範中與驗證客戶關係緊密的主要變化
依據新版標準要求，對申請27001驗證之客戶，正式採用更新後的稽核準則。屆時部分稽核重點與程序將進行調整，例如：對驗證範圍內人員的認定與匡列，將擴大覆蓋與驗證範圍內遵循ISMS要求工作之人員（例如:驗證範圍內的使用者），換言之，貴組織的稽核時間可能將因應驗證人數擴大而增加。此舉將有助於強化驗證的嚴謹性與公信力，進一步確保貴公司資訊安全管理系統（ISMS）的持續符合性與有效性。

亞瑞仕將要求驗證客戶提供驗證範圍內組織管理下，人數較高從事特定相同活動的相關資訊，據此計算有效人數做為計算稽核時間的起始點。

對於已在驗證週期中的客戶，2026年4月1日起追查稽核之稽核時間會隨有效人數重新計算而變動。

註：組織管制的工作人員包括所有在驗證範圍內必須依ISMS要求工作的全體員工(不論是否為組織編制人力)。

二、關於有效人數
亞瑞仕已更新驗證申請書，申請驗證的組織請依據驗證申請書指引提供以下資訊（適用時）：
1) 核心資訊處理人員：日常工作需常態性存取、處理或管理 ISMS 範圍內的敏感資訊或關鍵系統。例如：IT管理員、系統開發人員、資安人員。
2) 敏感資訊使用者：會接觸 ISMS 範圍內的資訊系統，涉及系統管理或敏感資料的深度處理。例如：財務、人資、系統開發人員、管理階層。
3) 一般資訊使用者：接觸 ISMS 範圍內的資訊系統，但主要為一般性使用，不涉及系統管理或敏感資料的深度處理。例如：行政人員、業務人員、行銷人員。
4) 低度關聯人員：在 ISMS 範圍內工作，但其職務幾乎不涉及或極少涉及資訊系統或敏感資料的存取。例如：部分現場作業員、清潔人員、警衛（若其職責不含監控IT告警）。
5) 外部單位人員：對 ISMS 有存取權限的外部人員，如：駐點承包商、顧問、關鍵供應商的遠端維護人員。
　a) 微風險 (如：清潔員、保全，完全不使用電腦或資訊系統)
　b) 低風險 (如：IT服務台，僅存取非敏感資訊)
　c) 中風險 (如：駐點開發人員，受內部監督)
　d) 高風險 (如：機房監控，管理關鍵基礎設施)

三、轉版實施的時間軸
亞瑞仕在通過ISO/IEC 27006-1:2024轉版認證後，依據新版規範計算稽核時間，執行各階段稽核，相關期程說明如下：
1. 初次驗證： 2026年1月1日起，依新版規範以有效人數計算稽核時間。
2. 重新驗證：以申請日期為準，2026年1月1日起，依新版規範以有效人數計算稽核時間。
3. 追查稽核：以執行日期為準，至2026年3月31日止，追查稽核依原來的初次驗證稽核時間的三分之一計算；2026年4月1日起稽核時間以新版規範依有效人數重新計算稽核時間。

四、對準備申請驗證客戶的建議
為使驗證申請順利，亞瑞仕建議貴客戶做好下列準備：
1. 檢視驗證範圍匡列是否明確陳述涵蓋的場域、人員、產品、服務、流程、資訊系統等。
2. 依照驗證申請表中的人員分類，針對驗證範圍涵蓋人員進行盤點。
3. 準備足供亞瑞仕確認各類人員數量的佐證資料，例如人員權限清冊。

五、亞瑞仕的支持
對此次認證規範轉版有任何疑問請聯絡您的客戶經理或我們的市場部，我們竭誠為您提供全方位的驗證服務。

感謝您的理解與支持。