6月1日，GA/T 2380—2026《信息安全技术 网络安全等级保护数据安全基本要求》、GA/T 2381—2026《信息安全技术 网络安全等级保护数据安全测评机构能力要求》正式实施。7月1日，GA/T 2394—2026《信息安全技术 网络安全等级保护数据安全测评要求》、GA/T 2395—2026《信息安全技术 网络安全等级保护数据安全测评过程指南》将正式实施。这是我国网络安全等级保护制度自1999年奠基、2007年等保1.0、2019年等保2.0之后，又一次里程碑式升级，标志着等保正式从 “以系统为中心”迈入“系统与数据并重”的全新阶段。

与此同时，2026年1月1日已施行的新版《网络安全法》与今日落地的数据安全专项标准形成法律+标准双重强监管，AI 安全入法、个人信息三法协同、CII 数据本地化强化、处罚最高至1000万元…… 数据安全不再是等保测评中的 “附加项”，而是法定必达、逐项核查、终身追责的核心义务。

安恒信息基于多年等保服务与数据安全实践，结合四项新规与最新法律要求，为全行业企业带来深度政策解读、合规要点清单、落地实施路径与一站式解决方案，助力企业在新规实施首日即站稳合规脚跟。 

扫码咨询

新规相关内容

一、今日实施

四项新规构建等保数据安全

“完整闭环”

此批四项标准，并非简单补充，而是构建了“建设要求 — 测评指标 — 实施过程 — 机构能力”全链条、可落地、可监管的完整标准体系，彻底填补等保 2.0 在数据安全领域的细化要求空白。

1.GA/T 2380—2026《信息安全技术 网络安全等级保护数据安全基本要求》：企业数据安全建设、自查、整改的直接依据，在等保 2.0 基础上新增独立数据安全域（全生命周期） ，明确 1—4 级逐级增强要求。

2.GA/T 2394—2026《信息安全技术 网络安全等级保护数据安全测评要求》：统一测评指标与判定规则，明确符合 / 部分符合 / 不符合判定标准，确保全国测评尺度一致，杜绝“宽松不一”。

3.GA/T 2395—2026《信息安全技术 网络安全等级保护数据安全测评过程指南》：规范测评全流程，以数据流动为主线，从“查系统” 转向 “查数据”，标志等保测评范式转型。

4.GA/T 2381—2026《信息安全技术 网络安全等级保护数据安全测评机构能力要求》：严格规范测评机构门槛，从人员资质、测评工具、质量体系、保密管理四个维度提出强制性能力要求，确保测评专业、公正、可信。

这四项标准相互支撑、环环相扣，意味着从企业怎么建、第三方怎么测、过程怎么管、机构资质怎么审，全部有章可循、有标可依。

二、核心变革

等保数据安全五大规则彻底改写

1. 安全定位升级：数据从“附属项”变为“独立专项域”

在等保1.0与等保 2.0 体系中，数据安全依附于主机安全、应用安全，要求零散、不成体系。今日起，GA/T 2380—2026 将数据安全提升为独立安全控制域，覆盖：收集→存储→使用→加工→传输→提供→公开→销毁数据全生命周期每一个环节都有明确、可落地、可检查的技术与管理要求，监管逻辑从“管好系统”全面转向 “管好数据、管住流转、守住底线”。

2. 等级要求逐级增强：密码技术成三级以上“强制门槛”

新规采用“下兼上、逐级增强”设计，低级满足后才能升级，三级及以上系统强制使用密码技术，不再是“建议”而是 “必须”：

·一、二级：以基础防护为主，采用校验技术，以“宜” 引导性要求。

·三级（重要数据系统）：口令 + 密码组合鉴别、传输 + 存储加密、完整性校验、全量审计、年度安全评估全部强制。

·四级（核心数据系统）：动态组合鉴别、数据抗抵赖、极致销毁、实时跨境管控，达到最高安全强度。

3. 双轨管控创新：同一等级，一般 / 重要数据两套要求

GA/T 2380—2026 最具突破性的设计，是在同一个安全等级内，区分：

·一般数据处理系统：满足该等级通用要求即可。

·重要数据处理系统：在通用要求之上额外增强，包括：

o密码技术全面升级

o审计覆盖所有操作类型

o重要数据专项标记、不可篡改

o每年一次安全评估，报告留存不少于3年

o数据供应链全流程管控、合作协议合规

这意味着企业不能再“一刀切”定级了事，必须先定级、再分数据、再定措施，精细化管理成为必选项。

4. 监管红线收紧：未定级系统按数据类型 “强制高配”

新规明确一条铁律：处理重要数据的系统，无论是否定级，一律按三级要求测评；处理核心数据的系统，一律按四级要求测评。

微信公众号“等级保护测评”特别警示：未定级或防护不到位会被重点针对！企业再也不能以“系统小、不重要、未定级”为借口逃避高等级数据安全义务。

5. 测评模式转型：从“查系统”到“数据 + 系统并重”

GA/T 2395—2026明确：等级测评是数据安全测评的前提。

测评流程全面升级：

1.准备阶段：不仅看系统架构，更要摸清数据资产、流转路径、处理活动。

2.方案阶段：聚焦数据对象、安全级别、承载系统。

3.现场测评：围绕数据流动实施核查。

4.报告阶段：强化数据安全风险判定，出具专项问题清单。

三、法律叠加生效

数据违规最高罚1000万

1月1日，新版《网络安全法》已全面施行，与今日实施的四项标准双重叠加，企业合规成本与违规代价同步大幅提升。

1. AI 安全专条入法：训练数据首次纳入法定监管

新版第20条明确：国家支持AI研发，同时必须保障训练数据安全、完善AI伦理、加强风险监测。对等保的直接影响：

·AI 训练平台、大模型应用系统纳入等保对象；

·训练数据来源合规性、供应链安全必须审查；

·AI 系统需具备安全监测与风险处置能力。

2. 三法协同落地：个人信息保护更严格

第 42 条明确引用《个人信息保护法》《民法典》，形成网安法 + 个保法 + 民法典三法协同。等保检查同步核查：

·敏感个人信息严格保护

·数据保存期限不超授权

·账户注销必须删除或匿名化

·生物识别信息与身份信息分开存储

3. CII 数据本地化强化：与《数据安全法》完全对齐

第39条明确：关键信息基础设施运营者收集的个人信息和重要数据应当在境内存储。出境必须经过安全评估，与 GA/T 2380 跨境管控要求形成法律—标准联动。

4. 处罚力度几何级提升：最高1000 万元 + 信用公示

·普通网络运营者数据违规：5万—50万元（原 1 万 —5 万，提升 10 倍）

·CII 造成严重后果：50万—200万元

·CII 造成特别严重后果：200万—1000万元

·所有违规记入信用档案并公示

数据安全从此“违不起、罚不起、漏不起”。

四、今日必查！

等保数据安全合规自查清单

（36项核心要点）

（一）全等级必做：基础合规底线（今日起即查）

1.依据 GB/T 43697-2024 完成数据分类分级，识别一般 / 重要 / 核心数据

2.建立数据资产清单，明确类别、量级、级别、责任部门、存储位置

3.开发测试环境敏感数据必须去标识化

4.建立数据安全管理制度，覆盖全生命周期

5.规范数据销毁流程，保留审批、操作、监督记录

6.建立应急预案，开展应急演练

7.完成人员安全培训与责任落实

8.对接口、账号、权限进行定期梳理

9.实现数据传输与存储基本完整性保护

10.建立数据操作审计记录，可追溯、可核查

（二）三级及以上系统：强制要求（测评重中之重）

1.身份鉴别采用口令 + 密码技术组合

2.重要数据传输与存储强制密码技术加密

3.部署数据水印、数据溯源、血缘分析

4.实现静态 + 动态脱敏，覆盖开发、分析、交换场景

5.重要数据处理系统全操作审计，记录完整可查

6.实现实时异地备份，具备快速恢复与完整性校验

7.存储空间释放前完全清除，杜绝数据残留

8.重要数据跨境传输监测、审批、管控闭环

9.每年一次数据安全评估，报告留存≥3 年

10.重要数据 / 十万人以上个人信息泄露立即上报

11.建立数据接口全生命周期管理制度

12.高风险操作实行多层级审批

13.重要数据建立专项清单，工具化管理

14.重大变更前开展数据安全风险评估

（三）AI 系统与CII专项要求

1.AI 训练数据来源合规，有审核与记录

2.AI 系统纳入等保对象，开展风险监测

3.CII 个人信息 + 重要数据境内存储

4.CII 数据出境完成安全评估

5.数据供应链签署安全协议，全链条可追溯

（四）测评与管理合规

1.选择具备资质的测评机构，人员持有等保测评师证书

2.测评按准备— 方案 — 现场 — 报告四阶段执行

3.测评机构自身系统满足三级及以上等保

4.建立统一数据安全管理中心，集中管控

5.数据安全事件处置—上报—复盘— 整改闭环

6.制度文件随法规、业务、架构变化及时修订

7.落实三同步：同步规划、同步建设、同步运行

五、行业分析

六大行业各有侧重

密码技术与年度合规是共性焦点

等保数据安全新规的落地，不是“一刀切” 的通用模板，而是需要结合各行业监管要求与数据特性，形成差异化的防护重点。结合金融、医疗、教育、能源/电力、政务/数据局、央国企六大典型行业的监管要求，安恒信息梳理了各赛道与 GA/T 2380—2026 新规的对应重点，帮助企业快速找准合规方向。

六、解决方案

安恒信息

一站式等保数据安全合规解决方案

面对今日实施、即日检查的高压监管态势，安恒信息基于等保2.0+四项数据安全专项标准，打造“理得清、管得住、看得见、能闭环、定方向”五大能力板块、29项细分能力，全面覆盖 GA/T 2380—2026 所有要求，为企业提供从差距评估、建设整改、测评辅导到持续运营的全流程服务。

1. 核心产品能力：精准对标新规、一键达标

·安恒数据安全监管平台：助力各级监管单位筑牢数据安全防线，打造“备案—评估—监测—预警—处置—决策”业务闭环。

·AiSort 数据安全分级及风险管理平台：具备自动数据发现、分类分级、重要数据识别、资产台账等功能，完美匹配分类分级要求。

·AiGate 数据库安全网关：具备多因素身份鉴别、细粒度访问控制、传输加密、动态脱敏等功能，满足三级强制要求。

·AiMask 数据脱敏系统静态 + 动态脱敏：支持开发测试、数据分析、共享交换全场景。

·AiTDE透明数据库加密系统：具备存储加密、密钥管理等功能，满足密码技术强制要求。

·明御DAS数据库审计与风险控制系统：具备全量操作审计、溯源追踪、行为分析扽功能，满足审计全覆盖。

·安恒数盾数据安全管理平台：具备集中管控、策略统一、事件闭环、告警处置等功能，支持构建管理中心。

·安恒数盾容灾备份与恢复系统：具备实时备份、异地容灾、快速恢复，满足备份恢复强制要求。

·API安全网关 + API审计系统：覆盖数据接口全生命周期安全，补齐接口管控短板。

2. 分等级落地路径：按级建设、一步到位

·一级合规：数据发现→基础脱敏→基础审计→制度建立

·二级合规：一级全覆盖 + 身份权限 + 数据交换 + 供应链管理

·三级合规：二级全覆盖 + 加密保护→重要数据专项→年度评估→全量审计

·四级合规：三级全覆盖 + 动态鉴权→核心数据标记→抗抵赖→实时跨境管控

3. 全流程服务：今日即可启动紧急整改支持

·新规深度解读与政策培训

·快速差距评估，输出问题清单与整改方案

·数据分类分级落地实施

·技术产品快速部署与集成

·制度体系编制与修订

·测评辅导，确保一次通过

·年度评估与持续合规运营

七、官方推荐

等保数据安全合规实施时间轴

·6月1日、7月1日: 四项标准正式实施，立即启动自查

·6月—7月：完成数据分类分级补全、账号权限梳理

·6月—8月：部署加密、脱敏、水印、审计核心能力

·8月—10月：制度修订、全员培训、供应链合规整改

·8月—11月：重要数据系统完成安全评估

·12月：完成首次年度数据安全评估，迎接监管检查

 八、重要提醒

新规实施首日，这三件事必须做

1.立即自查：对照36项清单，逐项排查短板，不存侥幸、不留死角。

2.立即分类：先分清一般 / 重要 / 核心数据，再确定安全措施，避免 “一刀切”。

3.立即落地：密码、审计、脱敏、备份、权限五大能力优先补齐，守住核心红线。

等保数据安全专项标准正式实施！这不仅是一次标准升级，更是数据安全从“可选加强” 走向 “法定强制”的历史转折点。叠加新版《网络安全法》高压处罚、AI安全入法、CII 管控升级，企业必须从 “被动应付测评” 转向 “主动构建数据安全体系”。

安恒信息将持续紧跟国家政策，以技术产品 + 专业服务助力金融、政务、医疗、教育、能源、央国企等各行业客户高效合规、平稳通过测评，筑牢数据安全防线，在数据要素市场化的新时代行稳致远。