话题：如果要给数据安全下一个定义，应该如何理解？

如果要给数据安全下一个定义，应该如何理解？

观点1：

个人观点，每家公司由于需求不同，内涵可能都会不一样，但我梳理的框架是，要先回答清楚下面几个问题：

我们负责的“数据安全”范畴中

（1）“数据”是指公司控制范围内流转、存储的所有数据吗？还是仅指识别、分级后的需要加以控制的数据？

（2）“数据”包括结构化数据和非结构化数据吗？格式化数据大体指的是数据库、大数据平台存储的数据，以及应用系统内部和系统之间流转的数据；非格式化数据大体指是各种办公文档、文件、聊天记录、邮件、图片音视频等。

（3）“数据”包括电子数据、纸质数据吗？

（4）以上定义的“数据”有可能会包含员工的个人数据吗？比如聊天记录、个人文档图片、邮件等，都是什么形态存在的？

（5）“安全”指的是什么意思？是数据的机密性、完整性、可用性、抗抵赖性、可追溯性中的哪几个？除了通常说数据安全要做到防泄漏、防滥用、防篡改，“安全”一词还包括什么含义？

（6）机密性、完整性、可用性、抗抵赖性、可追溯性分别要做到什么地步？是绝对不允许泄漏，还是允许低频度、低危害的泄漏或滥用？完整性强度要达到怎样的状态？追溯能力要达到什么状态？

某些行业，“安全”还隐含“自证清白”的目标，也就是万一有投诉或者外部调查，自己可以举证自己是否清白。这个可以列入到追溯能力的定义中。

（7）“安全”的状态、强度，对于不同密级、敏感程度的数据是否有区别？如果有，是怎样的？

（8）如果你是数据安全负责人，你未来如何评价数据安全工作的好坏，如何向客户、领导展现工作质量的高低？

 

识别清楚以上几个问题，才能真正把数据安全工作的目标、内涵、边界定义清楚。

观点2：

DAMA的数据安全定义：数据安全包括安全策略和过程的规划、建立与执行，为数据和信息资产提供正确的身份验证、授权、访问和审计。虽然数据安全的详细情况（如哪些数据需要保护）因行业和国家有所不同，但是数据安全实践的目标是相同的，即根据隐私和保密法规、合同协议和业务要求来保护信息资产。

观点3：

回答老师提出的问题。1.数据的级别会改变，应当适当实施对数据级别变化的调整做出控制的变化。3.数据就是个符号，可以有表达的内容的都可以看作是数据。4.个人数据的定义也会改变，制定数据保护的时候切记不能对范围和性质定死。增加后期改造成本，延长合规生命。5.安全指的是在数据占有权中占据优势主导和利益被安全保护的地位。6.没人看没威胁做到什么地步都是过多投入，有时候数据也是有时间效力的，加快数据产出和价值过期，也是对利益的保护。7.就像股票，本来没价值，炒的人多了大家都信了，很多安全级别可能是假的。

话题三

如何理解“零信任架构的落地必须要以数据安全为核心目的”？

观点1：

我认为，现实世界中，安全包括生命安全和财产安全，对比网络空间中，生命安全=网络身份安全，剥夺了网络身份，即失去了存在，而财产安全就对应者“数据安全”，网络空间中一切都是以数据形式存在，数据的CIA安全属性都要达到才算安全，而“网络安全能力”是为了达到这些数据安全目标，实现数据安全能力的目的。一管之见，请各位批评指正。

观点2：

网络空间安全、数据安全、个人隐私保护，这是3部法律，说明核心不一样，要不只要制定数据安全的法律就行了，网络空间安全包括DDOS和智能终端安全，劫持不比数据安全次要，零信任架构的核心应该是网络身份，至于网络身份是否只能是数据，这点还想不出例外，前两个主要针对国家主权 后者针对个人。

观点3：

零信任是一种理念，各个安全领域都适用。比如在网络安全部分，实施网络隔离，甚至微隔离，不也是零信任的落地方案之一吗？同样以网络身份为基础，不同的场景需要不同的技术方案落地这个信任架构。

观点4：

零信任三大技术，SDP、IAM、MSG，在国家的新冠疫情防控工作中就用的非常好。SDP即软件定义的边界，外部疫情人员进入国内要隔离，IAM即二维码持续身份验证永不信任；MSG微隔离，即每个人戴口罩。可以类比的。美丽国前期不愿意戴口罩，就是要性能不要微隔离。

话题四

“信息分类方案应该：A. 考虑安全漏洞可能的影响。B. 以电子形式对个人信息分类。C. 由信息安全经理执行。D. 基于风险评估”这题答什么？

观点1：

正确答案是A，解释一下。A. 数据分类由资产的业务价值(即信息丢失、损坏或泄露对业务的潜在影响)确定。B. 以电子形式对个人信息分类是不完整的答案，因为其针对的只是一部分组织数据。C. 由数据所有者根据已接受的安全标准执行信息分类。D. 特定资产面临的风险不是分类依据，资产损坏的潜在影响才是。

观点2：

还我的话我选D，如果需要去判断分类需求，就需要看谁是权益主体，如果需要执行具体措施，也需要看谁是具体管理人，题面没有限定数据范围，那就应该是全数据集合。数据集合的权益属主，应该就是数据owner。风险评估评估损坏后的结果和影响，应该也涉及这种。

观点3：

风险评估应该是事前，事后就不叫风险了，应该叫风险事件，算事件案件，已发生。风险是客观的固有的，评估是主观的，分类分级就是主管的占多，为了尽量客观，一直强调权益属主。

观点4：

观点5：

我觉得分类和分级，你中有我，我中有你，要说classify这个词对应哪个翻译 我还是觉得分类更准确。人、软件、服务是分类，软件可再细分级为操作系统、应用系统、数据库系统。数据库系统又可再分级。这样定义下来，更规范、更一致，挺好。