2026年6月1日起,由公安部发布的网络安全等级保护数据安全专项公安行业标准GA/T 2380—2026《信息安全技术 网络安全等级保护数据安全基本要求》、GA/T 2381—2026《信息安全技术 网络安全等级保护数据安全测评机构能力要求》正式实施,数据安全首次被系统性纳入等级保护框架,标志着网络安全等级保护正式迈入系统安全与数据安全并重的全新合规阶段。
GA/T 2380—2026《信息安全技术 网络安全等级保护数据安全基本要求》、GA/T 2381—2026《信息安全技术 网络安全等级保护数据安全测评机构能力要求》由公安部信息系统安全标准化技术委员会归口,于2026年1月9日发布,6月1日起正式实施;配套的GA/T 2394—2026《信息安全技术 网络安全等级保护数据安全测评要求》、GA/T 2395—2026《信息安全技术 网络安全等级保护数据安全测评过程指南》将于7月1日落地实施。
等保2.0(GB/T 22239-2019)已搭建完整的网络、主机、应用、安全管理基础合规框架,包含基础的数据安全通用要求;公安部发布的四项等保数据安全专项行业标准,在此成熟体系之上,针对性补齐数据安全领域的专项细则,从建设规范、测评机构资质、量化测评指标、标准化实施流程四个维度,完成数据安全合规的精细化落地,推动等保合规从“系统安全为主”升级为“系统安全与数据安全并重”的完整合规体系。
GA/T 2380—2026《信息安全技术 网络安全等级保护数据安全基本要求》作为网络安全等级保护制度的重要配套标准,核心定位为指导网络运营者实现数据安全保护,安全建设方和监督管理机构参照使用,明确数据安全专项测评单独计分并纳入整体测评,企业需同时满足 “网络安全 + 数据安全” 双维度合规。
GA/T 2380—2026在 GB/T 22239-2019 基础上新增独立数据安全域,构建了 “一个主线、三大支柱、四级防护” 的完整体系, “数据全生命周期安全” 主线贯穿收集、存储、使用、加工、传输、提供、公开、销毁八大环节,辅以技术防护、管理保障、审计监督三大支柱,形成四维一体防护体系;按一级(自主保护)至四级(强制保护)划分防护强度,针对一般数据、重要数据、核心数据实施差异化保护。
GA/T 2380—2026 作为等保制度数据安全专项核心标准,首次将密码应用从 “建议性引导” 升级为三级及以上系统强制要求,构建与数据分级分类相匹配的密码防护体系,与GA/T 2394—2026《信息安全技术 网络安全等级保护数据安全测评要求》形成配套,明确密码测评作为数据安全专项测评的核心模块,单独计分并纳入整体结论。
核心要求包括:
传输加密:重要数据及敏感个人信息采用国密算法如 SM4 或高强度安全协议
存储加密:三级及以上系统重要 / 核心数据必须加密存储
身份鉴别:三级要求口令 + 密码组合鉴别,四级实施多因素强身份鉴别
完整性保护:采用密码技术实现数据操作不可篡改
抗抵赖:四级系统需通过数字签名等技术实现操作行为可追溯
四级差异化密码要求清晰:
一级为基础引导(宜采用校验技术保障完整性);
二级强化管理(敏感数据传输加密);
三级强制技术防护(传输 + 存储全加密,国密算法优先,逻辑隔离);
四级严密管控(全链路加密 + 硬件加密,零信任架构应用,密文保护贯穿全流程)。
标准明确与商用密码应用安全性评估(密评)衔接,测评重点包括:算法合规性(核查是否采用国家标准 / 行业标准算法)、密钥管理全生命周期安全性、密码产品资质(是否获得检测认证)、密码技术实施有效性(如加密机制是否覆盖全流程、身份鉴别是否符合强度要求)。测评结果采用 “合规性 + 有效性” 双维度判定,三级及以上系统密码应用不合规将直接导致整体测评不通过,推动企业从 “被动合规” 转向 “主动防护”,构建数据安全密码屏障。
标准查询:https://ywtb.mps.gov.cn/gabzh/portal/xxcx/std
4006-967-446
沃通数字证书商店
