等保数据安全新规正式生效

一、等保数据安全新规行业解读正文

等保数据安全新规行业深度解读

2026年3月，公安部正式发布四项网络安全等级保护数据安全系列公安行业标准（GA/T 2380-2026、GA/T 2381-2026、GA/T 2394-2026、GA/T 2395-2026），并于2026 年6月1日起正式实施。这是我国等保制度实施以来，首次将数据安全作为独立体系全面纳入等保框架，标志着等保从“以系统安全为核心”进入“系统安全与数据安全并重”的新阶段，是落实《网络安全法》《数据安全法》《个人信息保护法》的关键技术落地文件，具有里程碑意义。

（一）新规出台背景与核心定位

随着数字经济快速发展，数据已成为国家基础性战略资源和企业核心生产要素。近年来数据泄露、勒索攻击、数据滥用、跨境流动风险频发，原有等保2.0（GB/T 22239-2019）对数据安全的要求较为分散、原则化，缺乏全生命周期、分类分级、个人信息保护等方面的细化控制项，难以匹配当前数据安全治理需求。

本次发布的四项标准，定位为等保 2.0 的专项补充体系，与 GB/T 22239-2019《网络安全等级保护基本要求》并行使用，测评时数据安全单独计分并纳入整体结论，实现 “网络安全 + 数据安全” 双维度合规校验。

（二）四项标准核心内容与分工

GA/T 2380-2026《信息安全技术 网络安全等级保护数据安全基本要求》（核心）

核心：数据分类分级 + 全生命周期防护

分级：明确一般数据 / 重要数据 / 核心数据三级防护体系，不同等级系统（一级～四级）对应不同强度控制措施。

全生命周期：覆盖采集→传输→存储→处理→交换→销毁八大环节，新增 “安全数据处理” 独立章节（脱敏、匿名化、标记、溯源、去标识化）。

重点强化：敏感个人信息保护、国密加密、访问最小化、操作全审计、数据备份恢复、跨境数据合规评估。

GA/T 2381-2026《测评机构能力要求》

规范测评主体：要求机构具备数据安全专业人员、专用工具（数据识别/脱敏/加密检测）、质量控制体系，确保测评专业、公正、可追溯。

GA/T 2394-2026《数据安全测评要求》

规范测评内容：明确各等级数据安全控制项的测评方法、判定准则，覆盖技术、管理、合规三大维度，从 “形式检查” 转向“实质有效性验证”。

GA/T 2395-2026《测评过程指南》

规范测评流程：统一“准备→实施→报告→整改→复核”全流程标准，避免测评 “走过场”。

（三）核心变化（对比旧等保2.0）

从“附属”到“独立”：数据安全不再是系统安全的附属要求，而是独立、强制、必查项。

从“模糊”到“精细”：首次明确数据分类分级标准，重要/核心数据必须加密、脱敏、溯源、审计全覆盖。

从“局部”到“全生命周期”：覆盖数据从产生到销毁的全流程管控，无死角。

从 “合规纸面” 到 “实战落地”：强调措施有效性、应急演练、漏洞闭环、日志留存12个月、国密算法强制应用。

处罚升级：未达标可处最高50万元罚款 + 负责人追责 + 业务暂停；关键信息基础设施最高罚1000万元。

（四）行业影响（金融、政务、医疗、教育、互联网）

金融：核心交易/支付数据必须全加密+实时审计+异地多副本备份，跨境数据需专项评估。

政务：个人信息、民生数据、敏感公文按核心数据防护，严格访问控制与脱敏展示。

医疗：患者病历、隐私数据必须脱敏存储+授权访问+全程审计，严防泄露。

互联网/电商：用户画像、交易数据、个人信息需分类分级+加密+防爬+溯源，API安全与数据出境合规成重点。

（五）企业合规落地建议（2026年 6月1日前完成）

数据摸底与分类分级：梳理全量数据，标注一般/重要/核心，形成数据资产清单与分级目录。

技术整改优先项：

重要/核心数据存储+传输全加密（国密优先）

敏感个人信息脱敏/匿名化/去标识化

数据访问最小权限+多因素认证+全程审计

关键数据3-2-1备份策略（3副本、2介质、1异地）

管理体系完善：制定数据安全管理制度、操作规程、应急预案；开展半年1次应急演练；日志留存**≥12个月**。

测评与备案：二级以上系统完成数据安全专项测评并纳入等保备案，确保2026年6月1日前达标。

（六）总结

本次等保数据安全新规的发布，是我国数据安全治理体系走向成熟的重要标志。数据安全正式成为等保合规的 “硬门槛”，企业需从 “被动合规” 转向 “主动治理”，以数据分类分级为基础，构建覆盖全生命周期的技术与管理防护体系，切实落实数据安全主体责任，护航数字经济安全健康发展。