等保数据安全新规施行,维平信息助力政企单位合规落地
2026年6月1日,GA/T 2380—2026《信息安全技术 网络安全等级保护数据安全基本要求》、 GA/T 2381—2026《信息安全技术 网络安全等级保护测评机构能力要求》两项网络安全等级保护数据安全专项公安行业标准正式实施。配套支撑规范《数据安全测评要求》《测评过程指南》将于2026年7月1日正式发布落地,补齐等保数据安全测评配套体系,构建闭环化、一体化等保数据安全测评标准架构。
两项新版专项标准落地实施,为全国各行业企事业单位、政务机构开展数据安全体系建设、常态化自查自纠、合规整改、常态化合规运维工作提供权威标准化依据,精准指导各类主体落地数据分类分级、全域安全防护、全周期风险管控、安全应急处置等数据安全全流程合规管控工作。
一、精简专业解读:新版标准核心迭代变化
1.标准体系重构:数据安全独立成域,纳入刚性测评考核
● GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》等保2.0通用体系中,数据安全管控要求依附于主机安全、应用安全管控模块,仅设置指导性、补充性条款,未设置独立测评控制点,不作为核心合规判定依据。本次GA/T 2380—2026专项标准新增独立数据安全管控大类,正式搭建「系统基础安全+专项数据安全」双核防护架构,将数据安全管控要求划定为等保1-4级定级信息系统强制性核查、考核项。
● 同时,标准深度对标《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》上位法律法规,将法定合规义务转化为可落地、可量化、可测评的技术管控要求与管理体系规范,彻底补齐传统等保通用体系中数据安全专项管控、专项测评标准短板。
2.全生命周期闭环管控:覆盖八大数据处理环节,增补新兴场景管控要求
● 新版标准覆盖数据收集、存储、使用、加工、传输、提供、公开、销毁八大法定数据处理全生命周期链路,结合等保分级体系设置差异化、阶梯式管控阈值,全面消除跨业务、跨主体数据流转安全防护盲区。
● 新增数据对外共享审批管控、数据公开前置风险评估、数据销毁有效性校验、AI大模型训练及应用数据安全管控、全链路数据溯源审计多项空白管控要求。
● 细化敏感个人信息专项管控细则,明确数据脱敏合规规范、授权复用管控、数据出境安全评估硬性要求,明令禁止形式化脱敏作业,重点考核数据安全防护落地实效,杜绝纸面合规。
3.分级防护逻辑优化:层级规则精细化,分类分级成果强制落地
● 标准沿用等保核心分级逻辑,确立「逐级增强、下级兼容上级」标准化分级防护机制,等保1-4级信息系统安全防护强度梯度递增,低等级系统基础管控要求全部兼容嵌入高等级系统管控框架内。
● 明确一般数据、重要数据、核心数据三级数据资产分类分级管控准则,硬性要求单位数据分类分级成果下沉适配网络设备、安全设备、业务系统底层策略,仅编制管理制度、台账文档、未完成策略落地,直接判定合规不达标。
4.核心测评指标收紧:审计、备份、隔离提质升级,重大风险一票否决
● 一是安全审计日志标准迭代升级:三级信息系统普通数据安全日志留存时长≥1年,数据共享、跨域交互专项审计日志留存时长≥3年,大幅高于旧版统一6个月留存时限要求。
● 二是边界横向防护强制落地:三级及以上定级系统强制部署内网数据微隔离机制,严控业务域、核心数据域横向数据流转,补齐内网横向渗透防护短板。
● 三是测评计分体系改革:废止旧版百分制量化测评模式,划定33项数据安全重大风险控制点,系统触发任意一项重大风险项,直接判定整体测评不合格。
● 四是数据备份刚性约束加码:重要数据、核心数据需同步落实加密备份、异地副本留存、周期性恢复演练三项要求,无合规备份、备份未加密均划入重大风险范畴,执行一票否决机制。
二、合规全新起点,维平信息赋能政企全域合规落地
本次两项专项标准及配套测评规范落地,既是国内网络安全等级保护制度向数据安全精细化管控转型的行业里程碑,也是政企机构数据安全合规建设、体系整改的全新合规起点。
维平信息作为国家首批网络安全等级保护测评机构、商用密码检测资质机构,深耕网络安全、商用密码合规、数据安全三大核心领域十余载,持有全链条权威合规服务资质,沉淀政务、金融、医疗、工业、互联网等数千家行业标杆服务案例与落地实践经验。公司全域对标本次新版专项标准、配套《数据安全测评要求》《测评过程指南》全部管控细则,可精准适配新标准实施后等级测评、存量系统整改、新建系统合规建设、常态化运维咨询全场景需求,为各行业客户提供标准化等级测评、重大风险闭环整改、全周期数据安全合规咨询、体系搭建一站式合规服务,助力各类定级单位高效完成新标准合规落地,筑牢网络与数据全域安全防护底座。



