网络安全等级保护数据安全相关标准解读

在数字化浪潮席卷各行各业的今天,数据已成为国家基础性战略资源和关键生产要素。数据安全不仅关乎企业生存发展,更牵系国家安全与社会稳定。随着数据要素化进程加速,传统以系统为中心的安全防护体系正面临全新挑战。在此背景下,网络安全等级保护制度迎来历史性升级,标志着我国网络安全治理体系进入更加实战化、体系化、智能化的深水区。

一、标准概述

从“建设”到测评,构建完整闭环

自2026年6月1日起,公安部陆续发布四项网络安全等级保护数据安全公安行业标准(其中两项于6月1日实施,另两项于7月1日实施),标志着等保制度正式从过去“以系统安全为核心”,全面迈入“系统安全与数据安全并重”的新阶段。

四项标准分工明确、相互支撑,在 GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》和 GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》的基础上,将数据安全从原有安全控制点中独立出来,构建了从建设要求到测评能力的完整闭环。

202606104cg3i_
二、GA/T 2380-2026对比等保2.0

四大增量变化

GA/T 2380-2026《数据安全基本要求》首次将数据安全作为独立体系纳入等保框架。相比于等保2.0原体系,其核心变化主要体现在以下四个方面。

变化一: 考核地位升级,数据安全独立计分

新标准明确规定,数据安全专项测评需单独计分并纳入整体结论。企业必须同时满足“网络安全+数据安全”双维度的合规要求,这对数据安全建设能力提出了更高标准。

变化二: 拓展防护边界,覆盖数据全生命周期

在GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》既有10个安全大类的基础上,GA/T 2380-2026《数据安全基本要求》逐一细化扩展,并新增了“安全数据处理”独立章节,专门规范数据识别、标记、脱敏、溯源等数据处理技术活动,覆盖数据收集、存储、使用、加工、传输、提供、公开、销毁全链条环节。

变化三: 推行分级防护,实现差异化管控

新规按照一般数据、重要数据、核心数据三个层级划分防护等级,要求逐级提升安全能力。其中,重要数据与核心数据须采取加密存储、逻辑隔离、国密算法加密等高阶防护措施。

变化四: 强化零信任架构

持续验证、最小权限的访问控制思路成为新标准的核心要求。东西向流量的微隔离能力,正是数据中心内部防护的薄弱环节。零信任理念已从“加分项”升为“强制要求”。

三、核心技术要求

分级保护,逐级递进

GA/T 2380-2026《数据安全基本要求》是等保2.0体系下首个数据安全专项标准。它以GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》为基础,规定了第一级至第四级等级保护对象的数据安全保护基本要求,遵循“分级保护、分类管控、全流程覆盖、责任落实”的总体原则。各等级的保护要求逐级递进:

20260610quqkr_
四、三大配套标准联动 构建完整测评体系

除 GA/T 2380-2026《数据安全基本要求》外,其余三标准相互配合,形成了完整的数据安全测评闭环:

  • GA/T 2394-2026《测评要求》: 围绕上述变化设计新的测评项。例如,不仅要查“有没有访问控制”,更要测“访问控制策略能否识别数据标签并动态调整”。
  • GA/T 2395-2026《测评过程指南》: 测评方法将引入数据流追踪测试、数据水印有效性验证、API滥用模拟攻击等新方法。
  • GA/T 2381-2026《测评机构能力要求》: 要求测评机构必须具备上述新技术的验证能力,拥有相应的自动化工具和专业人才,从而形成数据安全专项测评能力。