6月1日,由公安部发布的GA/T 2380-2026《网络安全等级保护数据安全基本要求》正式落地施行。该标准并非替代GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》,而是作为其专项补充,聚焦数据安全领域,补齐了数据全生命周期管理、数据分类分级、个人信息保护等方面的细化落地空白。该标准与GA/T 2381-2026、GA/T 2394-2026、GA/T 2395-2026三项配套规范组合实施,构建起完整的等保数据安全测评闭环体系。
等保2.0数据安全“四件套”
(图源:公安部等级保护评估中心)
01
四项配套标准落地时间一览
- GA/T 2380-2026《信息安全技术 网络安全等级保护 数据安全基本要求》:2026.1.9 发布,2026.6.1 实施
- GA/T 2381-2026《信息安全技术 网络安全等级保护 数据安全测评机构能力要求》:2026.1.9 发布,2026.6.1 实施
- GA/T 2394-2026《信息安全技术 网络安全等级保护 数据安全测评要求》:2026.2.28 发布,2026.7.1 实施
- GA/T 2395-2026《信息安全技术 网络安全等级保护 数据安全测评过程指南》:2026.2.28 发布,2026.7.1 实施
以上四项标准组成等保2.0数据安全“四件套”,将《数据安全法》《个人信息保护法》中的原则性法律要求,转化为等保1-4级可落地、可检查、可测评的技术与管理双重控制项。新规落地后,等保测评核心逻辑全面升级,从传统的形式合规核查转向实质效果核验,不再仅核查制度文件、安全设备部署情况,重点验证数据安全防护措施的落地实效。
02
新规四大关键性变革
一、数据安全首次系统性纳入等保核心体系
GA/T 2380-2026是等保2.0体系下首个数据安全专项标准,彻底解决了以往等保体系中数据安全要求零散、无统一规范的问题。这也标志着等保合规思路全面升级,从传统的单一系统安全合规,转变为系统安全与数据安全并重的全新管控模式。
二、新增独立“安全数据处理”管控大类
新规在GB/T 22239-2019原有十大安全大类基础上,新增“安全数据处理”专属管控大类,完整覆盖数据识别、数据标记、数据脱敏、数据溯源等核心技术要求,实现了等保体系的结构性升级,填补了数据处理环节的管控空白。
三、1-4级差异化分级管控正式落地
标准针对等保1至4级保护对象,采取逐级强化、分类施策的管控原则,为不同安全等级的信息系统,匹配对应的梯度化数据安全管控要求,让分级合规、按需防护有明确标准可依。
四、数据全生命周期八大环节闭环管控
新规以数据全生命周期防护为核心,依托技术防护、管理保障、审计监督三大支撑维度,全面覆盖数据采集、传输、存储、使用、加工、提供、公开、销毁八大核心环节,将碎片化的数据安全要求整合为全流程闭环管控体系。
03
合规落地实操指引
新规实施后,数据安全从以往的附属建议要求,升级为等保专项强制评估项,各政企单位需专项投入资源开展合规建设。结合新规核心要求,优先推进五大高风险、核心整改工作:数据资产全面梳理与分类分级、敏感数据加密防护部署、精细化权限访问管控、全链路操作日志留存与审计、常态化数据安全应急演练。
合规红线提醒:未按规定履行数据安全保护义务的组织及相关负责人,将面临处罚,一般情形最高可处五十万元罚款,情节严重的将被暂停业务、责令停业整顿。
随着GA/T系列等保数据安全新规全面落地,国内等保数据安全合规正式从“软性指引”迈入“刚性约束”时代。各单位需尽快对照新规要求自查自纠,补齐合规短板。