在4.15国家安全宣传日来临之际，为进一步强化网络安全与数据安全防护意识，筑牢国家安全网络防线，3月31日上午10:00，昆明市网络安全协会主办，云南南天信息安全测评中心、昆明信息港承办的《网络安全等级保护 数据安全治理体系建设指南》云南省地方标准解读直播，在昆明信息港举行。嘉宾们围绕《网络安全等级保护 数据安全治理体系建设指南》云南省地方标准的出台背景、目的，以及各界关心的数据安全相关问题，进行解读和答疑，直播取得圆满成功。

直播现场。记者王竣彦/摄

“云南标准”细化国家法律，填补地方落地空白

昆明市住房和城乡建设局张曦文主持直播，她就“如何看待《网络安全等级保护 数据安全治理体系建设指南》云南省地方标准和《数据安全法》的结合”这个问题，首先请教了云南南天信息安全测评中心查红泽。

张曦文主持直播。记者周拓/摄

查红泽说，以标准为载体，有利于推动法律要求具象化落地；以标准补短板，有利于填补法律实操层面空白；以标准作支撑，有利于压实法律责任与技术底线。总体而言，标准始终坚守《数据安全法》等法律法规的强制性底线，同时立足云南数字经济发展实际与“数字云南”建设需求，对法律内容如何创新执行进行了补充完善、细化延伸，为地方数据安全治理提供了“有法可依、有标可循”的实践范本。

查红泽在直播现场。记者周拓/摄

DAMA大中华区副主席兼认证体系负责人，恩核（北京）信息技术创始人郑保卫认为，《网络安全等级保护 数据安全治理体系建设指南》云南省地方标准的出台，取得了五项突破：一是填补地方落地空白，聚焦数据安全治理核心，明确全维度实操要求，覆盖数据全生命周期关键环节；二是强化分类分级基础，要求各单位结合行业特性制定分类分级作业指导书；三是完善治理架构，建立决策—管理—执行—监督四级架构，破解跨部门管理壁垒，适配云南数据协同需求；四是落实动态管控，要求每年至少开展1次风险评估、权限审计、安全检查，推动安全策略动态调整；五是规范权限管理，遵循“业务必需、最小权限、职责分离”原则，明确数据共享、披露、转让等要求，有利于助力数据要素在全省范围内安全高效流通，为“数字云南”建设赋能。

筑牢基础，加强数据采集、传输、存储和使用管理

昆明市科技情报研究所洪昆，就数据采集过程中需要注意的地方进行了解读。他说，数据采集作为数据全生命周期的首要环节，是筑牢数据安全防线的基础，具体体现在五个方面：一是严守法律底线，严控采集合法性与授权边界，严格遵循“合法、正当、必要”原则，针对个人信息和重要数据需获取明确授权，杜绝超范围采集；二是紧扣法律要求，强化采集过程安全管控，细化不同采集方式的防护措施，管控采集终端与工具安全；三是衔接法律精神，落实认证要求与持续合规，提前梳理相关材料，建立常态化评估机制；四是立足法律准则，保障数据质量与可追溯性，建立数据校验机制，留存完整采集日志并确保防篡改；五是细化法律条款，规范第三方与跨境采集管控，明确第三方安全义务，严格落实跨境数据采集合规程序。

云南京建轨道交通投资建设有限公司陆阳，就数据传输过程中要注意的地方进行了解读。他说，一要筑牢传输网络安全防线，严守分级保护与全流程管控要求；二要保障数据传输完整性与保密性，合规运用技术防护手段；三要强化传输终端与工具安全管控，落实准入与合规管理义务；四要落实身份认证与抗抵赖管控，保障传输行为合法可追溯。

陆阳在直播现场。记者张朝瑞/摄

查红泽对数据存储方面的规定进行了解读。他说，核心是抓好四大要点：一是规范分域分级存储，坚守最小够用原则，结合数据分类分级结果制定差异化存储方案；二是科学制定备份恢复策略，适配数据安全需求；三是定期开展风险评估，动态优化防控措施，针对问题建立整改台账并闭环管理；四是常态化开展灾备演练，动态调整备份策略，结合演练结果优化预案与策略。

郑保卫就数据使用环节的注意事项进行了阐述，他说，数据使用作为数据处理的核心环节，要紧扣法律要求，聚焦权限管控、全流程审计、场景化防护三大核心，具体要做到八点：一是精准管控数据访问权限，遵循“最小够用”原则；二是规范数据导出全流程管控，明确合法导出场景与审批流程，留存完整导出日志；三是强化数据加工过程安全管控，规范加工逻辑，落实数据脱敏、环境隔离措施；四是严控数据展示环节安全风险，明确展示条件与权限，落实水印、禁用复制等防护措施；五是规范开发测试数据安全管理，实现开发测试与生产环境隔离；六是合规开展数据公开披露，履行多维度审核与审批流程；七是规范数据共享全流程管理，共享前开展安全影响评估；八是审慎规范数据转让行为，严格限定转让场景，履行告知义务并明确承接方安全责任。

精准施策，平衡数据安全与使用效率

作为全国知名专家，在数据治理领域深耕十余年的资深人士，郑保卫指出，数据分类分级的步骤通常为：一是“定标准”，要结合法律法规、行业规范和业务实际，搭建可落地的分类分级体系，避免“一刀切”或“过度复杂”，可采用“敏感级别+业务类型”的二维标签体系；二是“摸家底”，开展数据资产盘点与标签初赋，通过元数据工具全量扫描数据，进行人工标注，结合业务场景判断数据敏感属性；三是“技术赋能”，人工标注后，依托技术工具让标签跟随数据全生命周期流转，同时建立校验机制确保准确性；四是“建闭环”，也就是运营保障与动态迭代，建立长效机制，适配业务迭代与法规更新，将分类分级成效与业务部门KPI挂钩，避免“标签赋完就不管”。

郑保卫在直播现场。记者张朝瑞/摄

郑保卫认为，数据安全管理并不是一个孤立、单独的流程或步骤，它与元数据、数据质量等各个数据管理环节都是深度融合、紧密关联的。在实际操作中，许多企业或单位由于元数据基础薄弱，跨部门之间的分类口径也不统一，导致批量字段级的数据分类难度很大。他说，元数据就像数据的“说明书”，是用于说明数据的来源、含义、结构、关系、业务规则、权属、变更、使用场景等多种信息，在现代数据安全管理中，元数据驱动已成为安全管理的技术工具之一，我们要做的，不是在元数据管理之外额外增加安全环节，而是把安全属性“内嵌”到元数据的定义、采集、维护全流程中，明确脱敏规则和访问范围，从源头解决口径不统一的问题。同时借助人工智能手段来完成元数据从被动向主动的转变，提升元数据的管理效率，比如利用人工智能，辅助自动识别和补全元数据，支持实时的变更捕获；构建和校验元数据血缘；驱动元数据分类分级和标签管理等，也是解决元数据管理基础薄弱的有效途径。

谈及如何从底层技术层面去平衡数据安全与数据使用效率，郑保卫说，核心解决方案是“技术智能化+策略差异化”。在技术层面，通过自动化工具和人工智能工具降低安全治理的人力成本和时间成本，比如采用智能脱敏引擎，根据数据类型自动匹配最优脱敏算法，构建智能审计平台，自动识别异常访问模式，替代人工排查，提升审计查询效率。在策略层面，建立安全治理与数据成熟度评估的联动机制，通过成熟度模型定期评估安全治理成效，动态优化策略。数据安全管理也要与业务发展保持平衡，过度强调安全会导致数据使用效率低下，数据流通壁垒加高，影响业务发展，寻找数据安全管理与业务发展之间的平衡，是数据管理者最大的挑战。

协同共建，突破数据单点治理局限

洪昆从“技术落地、业务协同、生态共建”三个维度，谈了对数据治理发展的思考。他说，在技术落地层面，要坚持“安全为基、智能赋能”的核心方向，把底层安全技术与业务场景深度融合，将加密、脱敏等安全能力封装为标准化组件，推动治理从“事后补救”向“事前预防、事中管控”升级；在业务协同层面，建立“业务+技术+合规”三方协同机制，让业务部门主导明确数据价值与场景，技术部门落地安全工具，合规部门把控标准，针对不同业务线制定差异化治理方案；在生态共建层面，数据治理需要“开放共建、标准统一”，积极借鉴行业权威标准，加强跨行业技术交流与合作，同时注重复合型人才培养，突破单点治理的局限。

洪昆在直播现场。记者张朝瑞/摄

陆阳表示，关基行业的核心特点是“数据涉密性高、影响范围广”，一旦分类分级出现漏洞，可能引发系统性安全风险，甚至威胁国计民生。“标准先行、技术赋能、闭环运营”思路，完全适配关基行业的需求，在落地时，还要额外突出“合规刚性”和“应急适配”两大核心，严格遵循《关键信息基础设施安全保护条例》，建立“关基企业+上下游合作方”协同机制，同步更新防护规则，确保业务拓展与安全治理同频。

查红泽表示，安全测评行业作为数据治理成效的“第三方检验者”，核心工作就是验证分类分级是否“真落地、真有效”。重点包括三方面：一是核查标准适配性，确保分级体系贴合行业法规要求；二是核查技术落地成效，检验安全防护措施是否有效执行；三是核查闭环运营能力，抽查复盘报告、审计记录等。不同行业测评侧重点不同，本质上，测评的核心是验证分类分级的有效性，让安全治理真正落地，而非停留在纸面上。（昆明信息港 记者江枫）