DSMM与ISO27001信息安全管理体系有什么不同?

DSMM数据安全能力成熟度模型、ISO27001信息安全管理体系、信息系统安全等级保护都是关注互联网安全方向的标准,那么他们之间有什么不同呢?

DSMM标准是以组织为评估对象,聚焦数据全生命周期的防护,从四个安全能力维度提出分级要求,帮助组织打造与业务贴合紧密的数据安全架构。

DSMM的架构由安全能力、能力成熟度等级、数据安全过程三个维度构成:

(1)安全能力维度

安全能力维度明确了组织在数据安全领域应具备的能力.包括组织建设、制度流程、技术工具和人员能力。

(2)能力成熟度等级维度

组织的数据安全能力成熟度等级划分为五级,具体包括:1级(非正式执行级),2级(计划跟踪级),3 级(充分定义级),4级(量化控制级),5级(持续优化级)。

(3)数据安全过程维度

数据安全过程包括数据生存周期安全过程和通用安全过程;

数据生存周期安全过程具体包括:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全6个阶段。

ISO27001标准是以组织为对象,偏向信息安全管理,侧重于指导组织依据信息安全风险评估的结果选择合适的控制措施,设计构建信息安全管理体系。

该标准通过14个安全控制域、114项控制措施的选择和落实,实现了对信息安全的全面保障。ISO/IEC27001可以帮助企业更好地识别并应对信息安全风险,它有助于确保企业业务安全,帮助企业在运行日常业务的同时,清楚地向客户和供应商表明公司对信息安全的承诺 。

 

等保标准以备案系统为主要评估对象,偏向传统网络系统安全,侧重于物理安全、网络安全、安全建设管理等方面的网络系统安全保护。

信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。

信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。