ISO 27001_2022 与 GB_T 41387 数据安全能力成熟度模型（DSMM）对照手册.docxVIP

ISO27001:2022与GB/T41387数据安全能力成熟度模型（DSMM）对照手册

前言

ISO/IEC27001:2022是全球通用的信息安全管理体系认证标准，以风险管控为核心，构建覆盖组织、人员、物理、技术的全维度闭环安全治理体系，侧重信息安全全域体系化、标准化、常态化合规管控，属于国际自愿性认证规范，核心价值是建立统一的信息安全管理框架，实现资产安全风险的闭环管控与持续改进，适配全行业通用信息安全建设与认证需求。

GB/T37988-2019《信息安全技术数据安全能力成熟度模型》（行业通用简称DSMM，本次标题GB/T41387为编号笔误，本手册以官方生效国标为准）是我国数据安全领域核心能力评估国家标准，聚焦“数据全生命周期安全”，以组织建设、制度流程、技术工具、人员能力四大能力维度为支撑，划分1-5级成熟度等级，核心目标是量化评估企业数据安全治理能力、规范数据全生命周期管控、指导企业分阶段提升数据安全建设水平，是国内数据安全能力评估、招投标、行业合规评级的核心依据，侧重数据专项能力的分级建设与迭代优化。

在企业实际合规建设中，普遍存在ISO27001通用安全体系与DSMM数据能力建设脱节的问题：ISO27001侧重全域信息资产的体系合规，对数据专项精细化、分级化、生命周期化管控覆盖不足；DSMM侧重数据安全能力的分级落地，但缺乏标准化的管理体系