6月1日,由公安部發布的GA/T 2380-2026《網絡安全等級保護數據安全基本要求》正式落地施行。該標準並非替代GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》,而是作爲其專項補充,聚焦數據安全領域,補齊了數據全生命週期管理、數據分類分級、個人信息保護等方面的細化落地空白。該標準與GA/T 2381-2026、GA/T 2394-2026、GA/T 2395-2026三項配套規範組合實施,構建起完整的等保數據安全測評閉環體系。
等保2.0數據安全“四件套”
(圖源:公安部等級保護評估中心)
01
四項配套標準落地時間一覽
- GA/T 2380-2026《信息安全技術 網絡安全等級保護 數據安全基本要求》:2026.1.9 發佈,2026.6.1 實施
- GA/T 2381-2026《信息安全技術 網絡安全等級保護 數據安全測評機構能力要求》:2026.1.9 發佈,2026.6.1 實施
- GA/T 2394-2026《信息安全技術 網絡安全等級保護 數據安全測評要求》:2026.2.28 發佈,2026.7.1 實施
- GA/T 2395-2026《信息安全技術 網絡安全等級保護 數據安全測評過程指南》:2026.2.28 發佈,2026.7.1 實施
以上四項標準組成等保2.0數據安全“四件套”,將《數據安全法》《個人信息保護法》中的原則性法律要求,轉化爲等保1-4級可落地、可檢查、可測評的技術與管理雙重控制項。新規落地後,等保測評覈心邏輯全面升級,從傳統的形式合規覈查轉向實質效果核驗,不再僅核查制度文件、安全設備部署情況,重點驗證數據安全防護措施的落地實效。
02
新規四大關鍵性變革
一、數據安全首次系統性納入等保核心體系
GA/T 2380-2026是等保2.0體系下首個數據安全專項標準,徹底解決了以往等保體系中數據安全要求零散、無統一規範的問題。這也標誌着等保合規思路全面升級,從傳統的單一系統安全合規,轉變爲系統安全與數據安全並重的全新管控模式。
二、新增獨立“安全數據處理”管控大類
新規在GB/T 22239-2019原有十大安全大類基礎上,新增“安全數據處理”專屬管控大類,完整覆蓋數據識別、數據標記、數據脫敏、數據溯源等核心技術要求,實現了等保體系的結構性升級,填補了數據處理環節的管控空白。
三、1-4級差異化分級管控正式落地
標準針對等保1至4級保護對象,採取逐級強化、分類施策的管控原則,爲不同安全等級的信息系統,匹配對應的梯度化數據安全管控要求,讓分級合規、按需防護有明確標準可依。
四、數據全生命週期八大環節閉環管控
新規以數據全生命週期防護爲核心,依託技術防護、管理保障、審計監督三大支撐維度,全面覆蓋數據採集、傳輸、存儲、使用、加工、提供、公開、銷燬八大核心環節,將碎片化的數據安全要求整合爲全流程閉環管控體系。
03
合規落地實操指引
新規實施後,數據安全從以往的附屬建議要求,升級爲等保專項強制評估項,各政企單位需專項投入資源開展合規建設。結合新規核心要求,優先推進五大高風險、核心整改工作:數據資產全面梳理與分類分級、敏感數據加密防護部署、精細化權限訪問管控、全鏈路操作日誌留存與審計、常態化數據安全應急演練。
合規紅線提醒:未按規定履行數據安全保護義務的組織及相關負責人,將面臨處罰,一般情形最高可處五十萬元罰款,情節嚴重的將被暫停業務、責令停業整頓。
隨着GA/T系列等保數據安全新規全面落地,國內等保數據安全合規正式從“軟性指引”邁入“剛性約束”時代。各單位需儘快對照新規要求自查自糾,補齊合規短板。