由公安部发布的GA/T 2380-2026《网络安全等级保护数据安全基本要求》于6月1日正式施行。该标准并非取代GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》,而是作为其专项补充,聚焦数据安全,填补数据全生命周期、数据分类分级、个人信息保护等方面的细化要求空白。它与GA/T 2381-2026、GA/T 2394-2026、GA/T 2395-2026共同构成数据安全测评闭环。
‣‣等保2.0数据安全“四件套”
(图源:公安部等级保护评估中心)
GA/T 2380-2026将《数据安全法》《个人信息保护法》中的原则要求,转化为等保1-4级可落地、可检查、可测评的“技术+管理”双重控制项。测评重心从“形式合规”转向“实质有效”:不仅核查是否制定了制度、部署了设备,更验证各项数据安全措施是否真正落地、是否产生实际防护效果。
四大核心变化
► 数据安全首次系统性纳入等保体系
GA/T 2380-2026是等保2.0体系下首个数据安全专项标准,改变了此前等保对数据安全要求相对零散的局面,标志着数据安全正式成为等保框架的核心组成部分。组织须从“系统合规”转向“系统与数据并重”。
► 新增“安全数据处理”大类
GA/T 2380-2026在GB/T 22239-2019既有10个安全大类的基础上,逐一进行了细化扩展并新增“安全数据处理”大类,完整覆盖数据溯源、数据识别、数据标记、数据脱敏等技术要求,实现等保体系的结构性升级。
► 首次实现1-4级差异化管控
GA/T 2380-2026按第一级至第四级逐级强化、分类施策,为不同等级的保护对象规定了相应的数据安全要求。
► 数据全生命周期八大环节闭环管控
GA/T 2380-2026以数据全生命周期防护为核心,配套技术防护、管理保障、审计监督三大支撑维度,覆盖采集、传输、存储、使用、加工、提供、公开、销毁全流程,将分散的数据安全要求整合为完整闭环。
组织行动指南
新规之下,数据安全已从“附属要求”升级为专项强制评估项,组织须为此单独投入建设资源。建设重点应优先聚焦数据分类分级、敏感数据加密、访问控制细化、全流程日志审计及应急演练等高风险项,确保第一时间落实。
需特别注意的是,未按规定履行数据安全保护义务的,组织及相关负责人可能面临罚款(一般情形最高五十万元)、业务暂停乃至停业整顿等处罚。
‣‣等保测评实施流程
为便于组织对照自查,我们分别针对二级系统和三级及以上系统梳理了核心要求与自查要点如下:
‣‣二级等保数据安全工作自查对照表
‣‣三级等保数据安全工作自查对照表
GA/T 2380-2026的落地生效,标志着数据安全在等保体系中从“软性建议”正式迈入“刚性约束”阶段。面对这一变化,各类组织均需尽快对照新规,补齐自身短板。
依托长期的数据安全实践经验,石犀科技可提供覆盖数据资产梳理、分类分级、加密脱敏、审计溯源等关键环节的一站式解决方案,助力组织高效合规、平稳过渡。
‣‣新规要点讲解
//欢迎在评论区或后台留言“等保”,石犀科技将为您免费提供报告解读及咨询服务。
优网科技秉承"专业团队、品质服务" 的经营理念,诚信务实的服务了近万家客户,成为众多世界500强、集团和上市公司的长期合作伙伴!
优网科技成立于2001年,擅长网站建设、网站与各类业务系统深度整合,致力于提供完善的企业互联网解决方案。优网科技提供PC端网站建设(品牌展示型、官方门户型、营销商务型、电子商务型、信息门户型、微信小程序定制开发、移动端应用(手机站、APP开发)、微信定制开发(微信官网、微信商城、企业微信)等一系列互联网应用服务。
公安局备案号:
专属顾问
