2026年新规出台！网络安全等级保护首次设立数据安全专项标准，6月1日起实施。两项新标构建”要求-测评”闭环，从数据分类分级到全生命周期防护，推动等保体系迈向”系统与数据并重”新阶段。

近日，公安部发布2026年第1号公告，批准发布了28项公共安全行业标准。其中，GA/T 2380-2026《信息安全技术网络安全等级保护数据安全基本要求》 和 GA/T 2381-2026《信息安全技术网络安全等级保护数据安全测评机构能力要求》两项标准同步出台，将于2026年6月1日起正式实施，我国网络安全等级保护（以下简称“等保”）制度在数据安全这一关键领域的专项化、精细化建设迈出了重要一步。

等保标准体系的演进：从基础框架到专项深化

要理解这两项新标准的定位与意义，首先需回顾我国等保标准体系的建立健全历程。该体系伴随法律法规完善和技术场景演变，逐步构建起一个多层次、广覆盖的规范网络。

制度奠基与法律固化：我国对信息系统实行安全等级保护的理念可追溯至1994年的《计算机信息系统安全保护条例》。2007年，《信息安全等级保护管理办法》的出台标志着“等保1.0”制度正式确立。2017年《网络安全法》的实施将该制度上升为国家法律层面的强制要求，为后续标准建设提供了法理基础。

2.0核心框架形成：2018年至2020年，国家市场监督管理总局集中发布实施了一系列核心国家标准，构成了等保2.0的“四梁八柱”。这些标准共同定义了等保的通用要求、测评方法、技术设计原则和定级流程，形成了覆盖“定级、备案、建设整改、等级测评、监督检查”全流程的基础制度框架。

面向新技术领域的扩展：随着云计算、大数据、物联网等新技术的广泛应用，原有的通用要求难以完全覆盖新型技术场景下的安全风险。为此，公安部在2025年发布了一系列新技术安全扩展要求标准，作为对基础框架的“扩展”，使等保制度能够适配快速发展的技术生态。

聚焦数据安全的专项突破：在前述体系之上，公安部2026年首次在等保制度框架下设立了数据安全专项标准，针对数据处理活动的全生命周期，进行更集中、更系统、更深入的规范，等保体系从“以系统为中心”向“系统与数据并重”纵深发展。

2026年新标准的定位及作用

此次发布的两项标准名称已清晰揭示了其分工与定位：

GA/T 2380-2026《信息安全技术网络安全等级保护数据安全基本要求》：核心在于“规”，即规范被保护对象。该标准预计将系统性地规定在等保各保护等级下，网络运营者在数据分类分级、数据全生命周期（采集、传输、存储、处理、交换、销毁等）安全防护、个人信息保护、数据安全审计等方面的具体技术和管理要求。其作用是作为各级各类网络运营者开展数据安全建设整改的直接技术依据，将《数据安全法》《个人信息保护法》中的原则性规定，转化为可落地、可核查的具体控制项。

GA/T 2381-2026《信息安全技术网络安全等级保护数据安全测评机构能力要求》：核心在于“评”，即规范测评主体。该标准旨在对承担等保数据安全测评任务的第三方测评机构提出专门的能力要求，可能包括其在数据安全领域的专业技术人员配备、测评工具与方法、实验室环境、质量控制以及对数据安全法律法规和标准的理解深度等方面的标准。其作用是确保测评活动的专业性、公正性和准确性，为数据安全基本要求的有效落实提供可靠的“质检”保障。

两项标准相辅相成，共同构成了等保框架下数据安全领域的“要求-测评”闭环，为监管部门开展数据安全监督检查提供了明确抓手，有助于全面提升国家的整体数据安全保障水平。

同时，需要明确的是，数据安全并非一个全新的议题，在已有的等保标准体系中已有多处体现。

基础通用要求中的分散体现：在等保2.0核心标准GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》中，数据安全要求已融入各个安全层面。

安全计算环境：要求对重要数据进行加密存储和传输，防范数据泄露。

安全区域边界：对通过网络边界的数据流进行访问控制和审计。

安全运维管理：包含数据备份与恢复、剩余信息保护（确保存储空间被释放或再分配前的信息清除）等要求。

安全管理制度：要求建立数据安全管理责任制度。

安全管理中心：强调对重要操作、安全事件的审计，其中包含对数据访问行为的审计。

新技术扩展要求中的场景化规定：2025年发布的新技术领域扩展标准，结合特定技术场景对数据安全提出了更具体的要求。

大数据安全扩展要求：涉及海量数据存储、处理和分析过程中的安全防护、隐私计算、数据脱敏等。

云计算安全扩展要求：聚焦于云上数据安全、数据隔离、客户数据保护等。

区块链安全扩展要求：涉及链上数据防篡改、隐私保护（如零知识证明）等。

2026年新标准是在此基础上进行系统性强化和专项聚焦。比如，将散落在物理、网络、主机、应用、数据各层面的数据安全控制措施，按照数据生命周期的主线归纳，形成逻辑更清晰、覆盖更完整的防护体系；针对数据分类分级、重要数据识别保护、数据跨境安全等《数据安全法》提出的新要求，制定专门的技术规范，填补现有等保标准在数据治理层面的细节空白。

结语

公安部2026年发布的两项数据安全等级保护标准，是我国在数字化时代筑牢数据安全屏障的关键举措。待新标准实施后，网络运营者在履行等保义务时，将面临更系统、更严格的数据安全合规要求，测评机构也需依据新标准提升专业能力。这不仅是对等保标准体系的完善，对《网络安全法》《数据安全法》等上位法的具体落实，也必将推动全社会数据安全保护能力的整体跃升，为数字经济的安全健康发展奠定坚实的制度基础。