GB_T 22080-2025 与 GB_T 25067-2020 整合实施指南 中文版（ISMS 与 PIMS 双体系）.docxVIP

GB/T22080-2025与GB/T25067-2020整合实施指南中文版（ISMS与PIMS双体系）

前言

数字化时代下，政企组织的业务运营、客户服务、经营管理高度依赖信息系统与个人信息处理活动，信息安全合规与个人信息权益保护已成为企业合规经营、风险防控、市场准入的核心底线。GB/T22080-2025《网络安全技术信息安全管理体系要求》（等同ISO/IEC27001:2022）是全域信息安全管控核心标准，聚焦信息资产全生命周期安全，通过风险驱动模式构建保密性、完整性、可用性三位一体的安全防护体系，解决网络攻击、系统漏洞、数据泄露、权限滥用等通用信息安全风险。

GB/T25067-2020《信息技术安全技术信息安全管理体系审核和认证机构要求》（等同ISO/IEC27006:2015），行业通用落地延伸为个人信息管理体系（PIMS）合规管控规范，聚焦个人信息处理全流程合规、隐私权益保护、认证审核合规适配，衔接《个人信息保护法》《网络安全法》等法律法规，专项解决个人信息过度收集、违规存储、非法流转、权益处置缺失、认证合规不达标等隐私合规风险。

当前行业普遍存在两大体系割裂落地的痛点：多数企业仅搭建ISMS通用安全防护体系，缺失PIMS专项个人信息合规管控，导致技术安全到位、隐私合规缺失；部分企业单独搭建隐私合规制度，未与ISMS安全技术管控联动，