本次升级的核心是公安部发布的四项数据安全专项标准,首次系统性将数据安全全面纳入等级保护框架,构建了 "基本要求 + 机构能力 + 测评指南 + 风险评估" 的完整闭环体系。
标准编号 | 标准名称 | 核心作用 | 实施影响 |
GA/T 2380-2026 | 信息安全技术网络安全等级保护数据安全基本要求 | 规定各等级系统数据全生命周期防护的技术与管理要求 | 成为企业数据安全建设的刚性依据,替代原分散的数据安全要求 |
GA/T 2381-2026 | 信息安全技术网络安全等级保护数据安全测评机构能力要求 | 明确测评机构在数据安全领域的人员、技术、管理能力标准 | 测评机构需重新认证,无资质机构不得开展数据安全测评 |
GA/T 2394-2026 | 信息安全技术网络安全等级保护数据安全测评指南 | 提供数据安全测评的具体方法、流程和判定依据 | 测评过程标准化、可量化,减少自由裁量空间 |
GA/T 2395-2026 | 信息安全技术网络安全等级保护数据安全风险评估方法 | 规范数据安全风险识别、分析与评价流程 | 风险评估系统化,助力企业精准定位数据安全隐患 |
这四项标准与GB/T 22239-2019《网络安全等级保护基本要求》形成互补,将《数据安全法》《个人信息保护法》的原则性要求转化为可落地、可测评、可判定的刚性条款,解决了此前数据安全要求 "碎片化、难落地" 的痛点。
核心转变:测评重心从传统的网络边界、主机安全、应用安全,全面转向数据全生命周期防护,覆盖数据采集、传输、存储、处理、交换、销毁等 8 大环节。
具体表现:
• 数据安全相关指标在测评总分中占比提升至30% 以上,成为判定等保是否通过的关键项
• 未完成数据资产梳理和分类分级的系统,将被直接判定为重大风险隐患,无法通过测评
• 数据泄露防护、数据溯源能力成为三级及以上系统的强制要求
核心原则:按系统等级 (1-4 级) 和数据级别 (一般 / 重要 / 核心) 实施差异化防护,精准匹配安全投入与风险等级。
数据级别 | 二级系统 | 三级系统 | 四级系统 |
一般数据 | 建议加密存储 | 强制加密存储 | 国密算法加密 |
重要数据 | 强制加密 | 国密算法加密 | 国密算法 + 硬件加密 |
核心数据 | 禁止存储 | 国密算法 + 硬件加密 | 多重加密 + 物理隔离 |
关键要求:三级及以上系统必须建立数据分类分级管理制度,明确数据安全负责人,定期开展数据安全培训与应急演练。
核心技术变化:
• 三级及以上系统:核心数据强制国密算法加密存储,重要数据必须多因素认证访问
• 二级及以上系统:敏感个人信息必须去标识化 / 脱敏处理,建立全流程数据溯源机制
• 数据传输:跨网络传输必须加密,核心数据需采用专用加密通道
• 数据销毁:明确规定不同级别数据的销毁方式,核心数据需物理销毁 + 数据擦除双重保障
• 数据备份:三级系统每日至少一次全量 / 增量备份,备份数据异地存储;四级系统需两地三中心备份架构
核心管理变化:
• 建立数据安全责任制,明确数据安全负责人,落实 "一把手负责制"
• 制定数据安全管理制度,涵盖数据分类分级、访问控制、安全审计、应急处置等全流程
• 定期开展数据安全培训,确保全员掌握数据安全要求和操作规范
• 建立数据安全应急响应机制,每年至少开展一次数据安全应急演练
• 二级及以上系统需完成数据资产清单和分类分级梳理,并报主管部门备案
核心机构变化:
• 测评机构必须通过GA/T 2381-2026认证,具备数据安全测评专业能力
• 测评人员需通过数据安全专项培训,掌握数据安全测评方法和工具
• 测评过程引入自动化工具,提高数据安全测评的准确性和效率
• 测评报告新增数据安全专项章节,详细说明数据安全防护措施和风险情况
面对 6 月 1 日即将实施的新规,企业应从以下五个方面着手,确保顺利通过等保测评:
1. 紧急启动数据资产摸底与分类分级(优先级:★★★★★)
• 全面梳理企业数据资产,建立数据资产清单,明确数据来源、存储位置、使用权限
• 按照重要性和敏感性将数据分为核心数据、重要数据和一般数据三类
• 对照 GA/T 2380-2026 标准,确定不同级别数据的防护要求和责任主体
2. 对标标准,完善数据安全技术防护体系(优先级:★★★★☆)
防护环节 | 核心措施 | 适用系统等级 |
数据存储 | 国密算法加密(SM4/SM3)、访问控制、数据备份 | 三级及以上 |
数据传输 | TLS 1.3 加密、专用通道、完整性校验 | 二级及以上 |
数据访问 | 多因素认证、最小权限原则、操作审计 | 二级及以上 |
数据处理 | 脱敏 / 去标识化、行为监控、异常检测 | 二级及以上 |
数据销毁 | 符合标准的擦除 / 销毁流程、销毁记录留存 | 所有等级 |
• 制定数据安全管理办法,明确数据安全组织架构和岗位职责
• 建立数据安全审批流程,规范数据访问、共享、出境等操作
• 开展全员数据安全培训,提升数据安全意识和操作技能
• 制定数据安全应急预案,定期开展应急演练,提高应急处置能力
• 对照 GA/T 2380-2026 标准,开展数据安全专项自查,找出差距和不足
• 针对自查发现的问题,制定整改计划,明确整改责任人、整改措施和整改期限
• 优先解决重大风险隐患,如数据未加密、无备份、权限管控不严等问题
• 整改完成后,邀请具备资质的测评机构进行预测评,确保符合标准要求
• 引入数据安全自动化工具,实现数据安全的实时监控和预警
• 定期开展数据安全风险评估,及时发现和处置数据安全风险
• 将数据安全要求嵌入业务流程,实现安全与业务的深度融合
• 关注数据安全标准和法规的最新变化,及时调整数据安全策略
6 月 1 日等保测评的重大变革,不是简单的标准升级,而是我国网络安全治理理念的一次深刻转变,标志着数据安全正式进入 \\"强监管、严落实"\\ 的新阶段。
对于企业而言,这既是挑战也是机遇。挑战在于需要投入更多资源加强数据安全建设;机遇在于通过合规建设,提升数据安全能力,增强客户信任,为数字化转型提供安全保障。
