合并如何正式影响ISO 27001认证？

Question

组织A有一项经过ISO 27001认证的服务。它是由没有任何认证的组织B获得的。

采购对ISO 27001认证的正式影响是什么？

我对两个案件感兴趣：

1. 在收购之后，A组织→没有任何变化，我的理解是认证作为是完整的
   1. 范围并无改变；及
   2. 处理需求的方法(例如补丁管理)也没有改变。

2. 组织B整合了组织A，处理需求的方法也发生了变化。以上面的补丁管理为例，它现在是临时的，不受控制的，换句话说，不适合ISO 27001的要求。→认证仍然有效吗？

另一种看待这一问题的方法是，认证是否是每年检查的快照(希望一年中的情况是正确的)，或者该年的任何负面变化是否会自动使其失效。

如果是后者，这种失效是如何发生的？

Answer 1

答案1是正确的。认证总是针对特定的范围。我认识许多公司，他们只对一些分支机构进行认证，并且仍然将证书放在他们的网站上。

没有自动失效。认证可以在年检后撤销，但通常只有在发现重大缺陷时才能撤销。大多数情况下，您将有几个月的时间来解决这个问题，而在此期间，您仍然持有证书。但是，如果你在这段时间内没有得到改善，你将不得不重新认证.

过程中的变化是完全正常的，必须按照ISO 27001中的描述来处理。