等保2.0数据安全新标准（GA/T 2380-2026）6月1日正式施行 落地检查全面铺开

（信息来源：公安部、安恒信息、中信网安等2026年6月公开解读）

2026 年 6 月 1 日，公安部发布的GA/T 2380-2026《信息安全技术 网络安全等级保护数据安全基本要求》正式实施，标志着等保 2.0 从 “系统安全单核防护” 全面升级为 “系统安全与数据安全并重” 的双核防护新阶段。近期，全国范围内针对该标准的落地自查、合规测评与专项检查密集开展，金融、政务、能源、医疗、互联网等关键行业率先启动整改与核验工作。

作为等保 2.0 体系的核心补充标准，GA/T 2380-2026 并非替代原有 GB/T 22239-2019，而是将数据安全从 “安全计算环境” 的附属要求，升级为独立安全控制域，新增 “安全数据处理” 大类，与原 10 大类安全要求并列。标准覆盖数据收集、存储、使用、加工、传输、提供、公开、销毁全生命周期，针对等保一级至四级系统实施核心数据、重要数据、一般数据差异化分级管控，防护要求逐级强化。

此次新标准落地检查聚焦五大核心合规要点，多项条款设为 “一票否决” 项：

1.数据分类分级确权：必须完成全量数据梳理，明确核心 / 重要 / 一般数据及敏感个人信息清单，建立台账与标识管理，杜绝文档化空谈；

2.加密与脱敏强制化：重要数据与敏感个人信息存储需采用国密 SM4 算法加密，传输启用国密 SM2/SM3 算法；开发测试环境必须脱敏，禁止直接使用生产真实数据；

3.访问控制最小化：落实特权账号（DBA、admin 等）全程审计与最小权限分配，内网东西向流量需微隔离，防止横向越权访问；

4.审计溯源全覆盖：数据操作日志独立存储、留存周期合规，支持全链路溯源，严防日志篡改或删除；

5.数据外发与跨境管控：个人云盘、即时通讯工具外发敏感数据被严格禁止，跨境数据传输需完成安全评估与审批。

配套的GA/T 2394-2026测评要求同步实施，明确“符合/基本符合/不符合”三级结论，33项重大风险隐患触发一票否决，数据安全测评结果直接决定等保是否通过。当前，多地测评机构已完成标准培训，企业整改进入冲刺阶段，数据安全合规正式从“加分项”变为“准入项”。