北京英伦凯悦管理咨询有限公司 专业深耕 19 年,打造一站式认证咨询服务平台
联系人:付老师电话:010-8360-7858手机:130-2009-1712
联系人:简老师手机:137-1665-7566

GB/T 35273-2020 个人信息安全管理体系

GB/T 35273-2020是中国国家标准《信息安全技术 个人信息安全规范》,是我国个人信息保护的基础性标准,对《个人信息保护法》的实施具有重要支撑作用。该标准规定了个人信息收集、存储、使用、共享、转让、公开披露等处理活动应遵循的原则和安全要求。

标准信息

国际标准 国家标准 GB/T 35273-2020
标准名称 标准名称 信息安全技术 个人信息安全规范
发布机构 发布机构 国家市场监督管理总局 国家标准化管理委员会
发布日期 发布日期 2020 年 3 月

标准简介

GB/T 35273-2020是中国国家标准《信息安全技术 个人信息安全规范》,是我国个人信息保护的基础性标准,对《个人信息保护法》的实施具有重要支撑作用。该标准规定了个人信息收集、存储、使用、共享、转让、公开披露等处理活动应遵循的原则和安全要求。核心内容包括个人信息安全基本原则(权责一致、目的明确、选择同意、最小必要、公开透明、确保安全、主体参与)、个人信息的收集安全、个人信息的保存安全、个人信息的使用安全、个人信息主体的权利保障、个人信息的委托处理、共享、转让、公开披露安全、个人信息安全事件处置及组织的个人信息安全管理要求。该标准适用于所有处理个人信息的组织,通过实施可建立系统化的个人信息保护能力,有效防范个人信息泄露和滥用风险,满足法律法规要求,增强个人信息主体的信任。

标准目的

  • 保护个人信息规范个人信息的收集、存储、使用、传输、共享、销毁等全流程处理活动,保护个人信息权益,防止个人信息泄露、滥用
  • 合规信息要求确保组织个人信息处理活动符合国家个人信息保护相关法律法规及行业规范,规避个人信息合规风险
  • 提升安全能力建立个人信息安全管控机制,提升组织个人信息安全防护能力,防范个人信息安全事件发生
  • 增强用户信任通过规范的个人信息管理,提升用户对组织个人信息保护的信任度,增强组织品牌竞争力
  • 规范管理流程统一个人信息安全管理流程与标准,明确各部门个人信息安全职责,提升全员个人信息保护意识

适用范围

  • 行业覆盖适用于所有处理个人信息的组织,涵盖互联网、金融、医疗、电商、教育、通信等全行业,包括个人信息处理者与服务提供者
  • 规模覆盖适配小微企业、中小企业、大型集团、跨国企业等不同规模组织,可根据个人信息处理量灵活调整管控措施
  • 场景覆盖涵盖个人信息收集、存储、加工、传输、共享、公开、销毁、应急处置等全流程处理场景
  • 管理覆盖覆盖个人信息安全方针制定、风险评估、安全防护、应急管理、合规审计、持续改进等全管理环节
  • 认证覆盖支持单一站点、多站点、集团化等不同组织架构的认证模式,满足总部与分支机构个人信息安全一体化管理需求

标准内容

  • 1 范围
  • 2 规范性引用文件
  • 3 术语和定义
  • 4 个人信息安全基本原则

体系运行过程模型

阶段 GBT35273中的定义 在标准中的核心映射
P (策划)识别信息资产和风险,明确安全目标、适用控制和治理策略。第4章、5章、6章(上下文、领导作用、风险策划)
D (实施)落地安全控制、职责分工、运行流程与监控机制。第7章、8章(支持与运行)及控制域实施
C (检查)通过监控、审计、评审验证控制有效性并识别差距。第9章(监视测量、内审、管理评审)
A (处置)处理安全事件和不符合,更新风险评估与控制措施。第10章(不符合、纠正和持续改进)

GBT35273 标准解读

  • 暂无对应标准解读,欢迎联系我们获取专项方案。

认证咨询流程

初次获证要求

  • 合规性证明需持有法律地位证明文件(如营业执照)
  • 资质许可特殊认证范围,需提供必要的行政许可、资质证书、强制性认证证书
  • 成立周期公司成立超过3个月
  • 运行周期体系运行超过3个月
  • 体系要求依据GBT35273标准建立符合的个人信息安全规范
  • 运行要求有健全的个人信息安全规范运行证据
  • 内审管评必须有一次完整的内审和管理评审
  • 现场审核通过一二阶段现场审核,并完成不符合整改

证书维护要求

  • 证书有效期个人信息安全规范证书是三年有效期
  • 监督审核个人信息安全规范证书需每年一次监督审核,与上次审核间隔不超过12个月
  • 再认证审核个人信息安全规范证书有效期3年,到期前需进行一次换证审核,审核通过后,换发新三年周期的有效证书
  • 变更审核当组织的个人信息安全规范发生变化,比如公司业务调整、办公地址变化、组织机构调整、人员变化等,可申请证书变更,可结合监督审核 / 换证审核一起进行变更,也可以单独申请变更
  • 证书暂停当证书超出监督审核周期时,证书进行暂停状态,暂停期间不可以使用证书
  • 证书撤销当证书超出三年有效期而没有进行换证审核,或者在暂停截至日期前没有进行有效的监督审核,或发生重大质量安全事故或有严重违法违规行为,或被列入质量信用严重失信企业名单,证书会进行撤销处理

实施 GBT35273 的价值

  • 风险可控识别信息资产风险并建立控制措施。
  • 合规治理满足数据安全与隐私合规要求。
  • 客户信任提升客户对平台与服务的安全信心。
  • 业务连续减少安全事件对业务运行的影响。
  • 治理能力形成跨部门协同的安全管理机制。
  • 持续防护通过监测审计持续提升防护能力。

与其他体系结合

常见问题及误区

  • Q1:GB/T 35273-2020是推荐性标准,企业不遵循也无需承担责任?

    A:不是,虽然是推荐性标准,但该规范是《个人信息保护法》等法律法规的重要实操依据,司法实践中常作为判定企业个人信息处理行为是否合规的参考,不遵循可能面临合规风险。

  • Q2:只有互联网企业才需要遵循GB/T 35273-2020,传统行业无需关注?

    A:不是,任何在国内收集、处理、存储个人信息的组织均需遵循,包括零售、医疗、电信、政务机构、制造业等,只要涉及个人信息,就需规范处理行为。

  • Q3:遵循GB/T 35273-2020就是制定一套个人信息管理制度,无需实际执行?

    A:不是,规范强调实际落地执行和证据留存,要求企业将规范要求融入日常业务流程,如个人信息收集告知、权限管控、数据销毁等,均需有实际操作和记录。

  • Q4:个人信息处理环节外包后,企业就无需再遵循规范要求?

    A:不是,企业作为个人信息处理者,是责任主体,需评估外包方的个人信息安全能力,签订安全保护协议,对外包方的处理过程进行监督,确保其遵循规范要求。

  • Q5:只要不泄露个人信息,就符合GB/T 35273-2020的所有要求?

    A:不是,规范涵盖个人信息处理的全流程要求,包括收集、存储、传输、加工、使用、共享、转让、销毁等,泄露防护只是其中一部分,还需遵循隐私最小化、主体权利响应等要求。

认证及咨询费用

费用影响因素占比

组织地理位置(及多个办公场所)15%

一线城市或多办公场所会增加差旅与审核组织成本,偏远地区可能有额外服务费用。

组织人员数量20%

人员规模影响审核人日和咨询工作量,人数越多,评估与辅导投入越高。

组织业务范围10%

业务线越多、范围越广,体系边界与过程设计越复杂,实施成本会同步增加。

选择认证机构25%

不同认证机构的品牌影响力、审核规则与项目组织方式不同,费用差异较明显。

咨询质量要求25%

资深顾问、定制化交付与全流程辅导方案,通常较基础辅导投入更高。

认证周期要求10%

加急周期会带来额外资源协调成本,常规周期通常更具费用优势。

最终费用,请联系我们

服务业绩