一文读懂新规要点
由公安部发布的GA/T 2380-2026《 信息安全 技术 网络安全 等级保护数据安全基本要求》(以下简称《要求》)已于6月1日正式落地施行。作为我国网络安全等级保护体系中首个专门面向数据安全的专项标准,《要求》的出台与实施,填补了长期以来等保制度在数据安全领域的体系空白,标志着等级保护工作正式从“以系统安全为核心”,迈向系统安全与数据安全并重的全新发展阶段。
图注:公安标准化信息服务平台GA/T 2380-2026相关信息披露截图
《要求》于 2026 年 1 月 9 日由公安部正式发布,与 GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》配套使用、互为支撑,共同构成网络运营者开展数据安全建设、落实等级保护义务、应对监管测评的核心依据,也为行业数据安全治理提供了统一、权威、可落地的执行规范。
一、时代刚需:三法衔接,补齐治理短板
当前,数据已成为 数字经济 最重要的生产要素与战略资产,数据泄露、非法篡改、滥用、未授权传输、违规留存与跨境流动等安全风险日益突出,对国家安全、经济运行、社会稳定与公众权益构成持续挑战。为切实将《网络安全法》《数据安全法》《个人信息保护法》的法律要求落到实处,解决此前等保体系中数据安全要求较为分散、不够聚焦、难以体系化落地的现实问题,《要求》应运而生,让宏观法律条款真正转化为可操作、可检测、可验证的具体安全要求。
二、核心创新:以数据处理活动为中心,构建完整防护体系
《要求》是首次在等保体系内将数据处理活动作为独立核心内容进行全流程规范,覆盖数据收集、存储、使用、加工、传输、提供、公开、销毁全链条,真正实现以数据为中心的闭环安全管控。
《要求》坚持分级保护、分类管控、全流程覆盖、责任清晰明确的总体原则,针对等保第一至四级系统提出逐级强化的差异化要求,将技术防护、管理体系、建设运维、人员管理、供应链安全、应急处置等深度融合,形成一套完整、严谨、可落地的数据安全能力框架,而非简单的条款补充。
三、合规新变局:数据安全成为等保关键必查项
随着新标准正式实施,企业的等保合规逻辑与安全建设方向将发生深刻变化。数据安全不再是可选择的附加项,而是等保测评中的必查项、核心项、高分项,直接影响测评结论与合规结果。所有开展数据处理活动的网络运营者,均需建立覆盖全流程的数据安全管控机制,落实数据分类分级保护,强化身份鉴别、访问控制、安全审计、数据脱敏、加密传输与存储、数据溯源、介质安全销毁、应急响应等关键能力。
对于政务、金融、医疗、教育、 互联网 及关键信息基础设施运营者等重点行业而言,数据安全将成为日常监管、专项检查、等级测评的重中之重,数据安全责任、岗位设置、审批流程、全程留痕等要求进一步压实,企业亟需加快补齐能力短板,以适应全新合规要求。
