咨询电话:400-6446-808

新闻动态

今天正式实施!数据安全纳入等保核心,合规迈入新阶段
2026-06-01 14:25:45

2026年6月1日,公安部发布的四项网络安全等级保护数据安全公安行业标准正式落地实施。这一系列标准的出台,是我国网络安全等级保护体系在数据安全领域的里程碑突破,首次将数据安全系统性、全方位融入等保框架,推动等保制度从传统 “系统安全合规” 向 “系统与数据安全并重” 的核心跃迁,为数字经济时代的数据安全治理筑牢制度与技术根基。

图片

 

标准出台背景与核心意义

随着数字经济高速发展,数据已成为国家基础性战略资源与核心生产要素,其安全保护直接关系国家安全、社会公共利益与企业合法权益。此前,《网络安全法》《数据安全法》《个人信息保护法》等法律法规已明确数据安全保护义务,但缺乏可落地、可测评的细化技术与管理规范,等保体系中数据安全维度长期存在标准空白。

此次四项标准的发布,正是对现有法律体系的具象化落地,为法律要求提供精准技术支撑,填补了等保体系在数据安全领域的标准短板。同时,推动网络安全与数据安全深度融合、协同防护,构建起 “法律 - 标准 - 实施 - 测评” 的完整闭环,既是顺应数字时代安全需求的必然选择,也是完善国家数据安全治理体系、提升整体防护能力的关键举措,为我国数字经济健康可持续发展保驾护航。

 

四项标准整体架构与分工逻辑

本次发布的四项标准,在 GB/T 22239—2019、GB/T 28448—2019 等现有等保2.0核心标准基础上升级而来,分工明确、相互支撑、闭环联动,共同搭建等保数据安全防护与测评体系,具体分工如下:

◆ GA/T 2380—2026(信息安全技术 网络安全等级保护数据安全基本要求):核心纲领,明确等保一至四级数据安全技术与管理底线要求,是企业数据安全建设、自查整改、合规落地的直接依据;

◆ GA/T 2381—2026(信息安全技术 网络安全等级保护数据安全测评机构能力要求):保障测评专业性,规范测评机构的人员资质、工具能力、质量管控与合规准则,确保测评工作客观公正;

◆ GA/T 2394—2026(信息安全技术 网络安全等级保护数据安全测评要求):明确测评标尺,细化各级别测评项、检测方法与判定规则,保障测评工作标准化、规范化;

◆ GA/T 2395—2026(信息安全技术 网络安全等级保护数据安全测评过程指南):规范测评流程,规定数据安全测评全流程的操作步骤、文档留存与质量管控要求,确保测评过程可追溯、可核查。

图片

四大标准形成 “建设有依据、能力有保障、测评有标准、过程可追溯” 的完整体系,全面覆盖数据安全从建设到测评的全链条环节。

 

核心标准 GA/T 2380—2026 深度解析

作为四项标准的核心,GA/T 2380—2026是等保数据安全合规的核心纲领,直接决定企业数据安全建设方向与测评底线,以下从定位、核心内容、分级差异三方面展开解析。

标准定位与适用范围

该标准以现有等保 2.0 基本要求为基础,衔接《敏感个人信息处理安全要求》《个人信息安全规范》等专项标准,聚焦数据分级分类差异化保护,覆盖核心数据、重要数据、一般数据三大类别,细化等保一至四级全维度数据安全要求。

标准适用于全国所有完成等保定级备案的网络运营者,指导其在现有等保基础上开展数据安全保护工作,同时为安全方案设计、日常自查整改及监管部门监督检查提供权威依据,实现数据安全保护的标准化、统一化。

 

核心内容:全维度构建数据安全防护体系

标准遵循 “分级保护、分类管控、全链覆盖、责任到人” 原则,在原有等保 10 大安全大类基础上细化扩展,新增 “安全数据处理” 核心大类,构建 “1+3” 防护架构:以数据全生命周期防护为核心,配套技术防护、管理保障、审计监督三大支撑维度,覆盖数据收集、存储、使用、加工、传输、提供、公开、销毁全流程。

 ● 全生命周期防护:每个环节均明确合规底线,如采集需遵循 “告知 - 同意” 原则、存储需加密防护、使用需脱敏管控、销毁需可追溯;

 ● 技术防护支撑:涵盖身份鉴别、细粒度访问控制、数据加密、脱敏溯源、入侵检测、态势预警等核心能力;

 ● 管理体系保障:明确组织架构、制度流程、人员职责、应急演练等要求,夯实管理根基;

 ● 审计监督闭环:要求全流程操作日志防篡改、留存合规,实现风险可发现、操作可追溯、责任可追究。

 

分级差异:逐级强化,精准匹配防护需求

标准针对等保一至四级实施差异化、逐级从严的管控要求,匹配不同数据重要性与业务风险等级:

 ● 一级(一般数据):侧重基础防护,聚焦敏感个人信息脱敏展示等底线要求,无高风险项即可通过;

 ● 二级(一般数据):强化基础安全能力,完善数据分类分级、传输加密、身份鉴别、访问控制、安全审计等措施,需清零高风险项;

 ● 三级(重要数据):全面严格管控,覆盖全生命周期核心要求,落实加密存储、逻辑隔离、数据溯源、跨境传输管控等关键能力;

 ● 四级(核心数据):针对核心数据实施最严格管控,要求动态组合身份鉴别、细粒度访问控制、安全态势实时监测预警,应急响应≤30 分钟,所有控制项必须符合。

 

 

合规影响与实施要求

 

对企业:

数据安全成强制义务,合规压力升级

标准实施后,数据安全正式纳入等保测评强制范围,不再是可选加分项,而是必达底线。未达标企业将面临罚款、业务整改、责任追究等处罚。企业需尽快对照标准完成三项工作:一是梳理数据资产,完成核心 / 重要 / 一般数据分级分类并动态更新;二是对照标准开展差距分析,补齐技术、管理短板;三是建立常态化自查与应急机制,确保合规长效落地。

 

对测评机构:

专业能力要求提升,测评更趋严格

新规实施后,测评机构需满足 GA/T 2381 的能力要求,强化数据安全专业能力,测评采用 “符合 / 基本符合 / 不符合” 三级判定,高风险项零容忍,倒逼测评从 “形式合规” 向 “实质合规” 转变。

 

创信华通:

以普法为基,筑牢数据安全防线

巧合的是,6月1日,既是这四项标准正式实施的重要节点,也恰逢《网络安全法》施行九周年。作为落实《网络安全法》《数据安全法》等法律法规的具体实践,此次四项等保数据安全标准的落地,标志着我国数据安全治理进入 “数据为核心、标准为支撑、测评强约束” 的新阶段。GA/T 2380—2026作为核心纲领,为企业数据安全合规提供清晰路径,推动数据安全保护从被动应对向主动防控转变。新形势下,网络运营者不仅要以标准实施为契机,系统性构建数据安全能力,更需要在合规达标与风险防控之间找到精准平衡。而这一过程,离不开专业、可靠、深谙标准内涵的合规检测伙伴。

作为深耕网络安全合规检测的专业服务机构,创信华通始终将政策宣贯与安全赋能视为己任。多年来,我们累计开展《网络安全法》《密码法》《数据安全法》及配套标准宣贯培训500余场,覆盖党政机关、企事业单位人员逾10万人次,年均宣讲超过50场,将网络安全合规思维与防护理念送入千行百业。面对新标准,创信华通亦第一时间组织技术团队,对新标准展开深入研析与对标验证。充分发挥在等保测评、数据安全风险评估、安全整改咨询等方面的深厚积淀,为广大用户提供一站式服务方案

● 标准深度解读:结合行业特性,为用户提供定制化标准解析与差距评估;

● 数据资产梳理与分级分类:协助网络运营者完成核心/重要/一般数据的盘点与标签化;

● 合规检测与风险发现:依据GA/T 2394、GA/T 2395开展全生命周期测评,高风险项零遗漏;

● 安全整改与能力建设咨询:从技术到管理,助力网络运营者逐级达标;

●常态化培训与应急演练:延续数百场培训经验,赋能企业内生安全能力,助力网络运营者把标准条文转化为安全可靠的防护能力。

在数字经济浪潮中,创信华通愿与各行业伙伴并肩同行,以专业之力筑牢数据安全防线,实现安全与发展的动态平衡。

 

供稿丨等保中心

图据丨公安部网络安全等级保护中心