文章总结： 2026年等保新规将AI安全写入法律，新增边缘计算、5G、数据摸底、热冗余、异地备份、双因子认证等强制要求；测评废除百分制，按符合、基本符合、不符合三级结论，并引入重大风险隐患清单；企业需提前定级备案、补齐数据治理、升级技术并引入专业机构评估，实现从合规到主动防护。 综合评分： 92 文章分类： 政策法规,网络安全,安全建设,数据安全,云安全

等保再升级，2026 新规背后，网络安全基础体系将如何重塑？

耶度 耶度

野猪与安全

2026年1月19日 08:43 广东

点击蓝字 关注我们

2026 年将是我国网络安全等级保护（等保）的关键升级年：《中华人民共和国网络安全法》修订版于1 月 1 日正式施行，涵盖边缘计算、大数据等领域的六项新技术公安行业标准将于2 月 1 日落地。从基础标准体系到新规核心变化，今天我们一次性梳理清楚，帮企业提前做好合规准备！

一

信息安全等级保护的基础框架

等级保护是我国网络安全的核心制度，整个体系由 “标准体系 + 实施流程 + 要求体系” 三大支柱构成，是企业合规的基础依据。

1. 等保标准体系：四类核心标准支撑全流程

等保标准体系围绕 “怎么定级、怎么实施、怎么测评、怎么达标” 四大问题，分为四类标准：

| | | | | — | — | — | | 标准类别 | 核心作用 | 典型标准 | | 安全等级类 | 明确如何确定系统安全等级 | GB/T 22240-2008《信息系统安全保护等级保护定级指南》及行业定级细则 | | 方法指导类 | 规范等级保护的实施步骤 | GB/T25058-2010《信息系统安全等级保护实施指南》 | | 状况分析类 | 指导等级保护测评工作 | GB/T28448-2012《信息系统安全等级保护测评要求》 | | 基线要求类 | 明确技术与管理的具体要求 | GB/T22239-2008《信息系统安全等级保护基本要求》 |

2. 定级指南 –GA/T 22240

| | | | | | — | — | — | — | | 保护对象受到破坏时受侵害的客体 | 对客体的侵害程度 | | | | 一般损害 | 严重损害 | 特别严重损害 | | 公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第三级 | | 社会秩序、公共利益 | 第二级 | 第三级 | 第四级 | | 国家安全 | 第三级 | 第四级 | 第五级 |

3. 等保实施流程：从定级到复查的全生命周期

企业落实等保需遵循 “定级→备案→差距分析→建设整改→测评→定期复查” 的完整流程：

1. 定级

   ：依据《定级指南》确定系统安全等级（通用要求标准中按照从低到高，分别对一到四级要求进行规定，上级要求包含下级要求。五级要求未公开。）；

   

2. 备案

   ：二级及以上系统需向地级以上公安机关提交《定级报告》和《备案表》，一级无需备案；

3. 差距分析

   ：对比《基本要求》发现当前系统的安全短板，形成《差距分析报告》；

4. 建设整改

   ：依据差距分析结果设计整改方案，分阶段完成安全升级；

5. 测评

   ：由具备资质的第三方机构出具《等级保护测评报告》，结论分为 “符合”“基本符合”“不符合”；

6. 定期复查

   ：三级系统每年 1 次、四级系统每半年 1 次，包含自查、第三方测评和公安监督检查。

4. 等保要求体系：技术 + 管理的双重保障

等保要求分为通用技术要求和通用管理要求，覆盖从物理环境到应用数据的全场景：

• 技术要求

  ：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全；

• 管理要求

  ：安全策略和制度、安全管理机构和人员、安全建设管理、安全运维管理；

• 扩展要求

  ：针对云计算、移动互联、物联网、工业控制等新技术场景的补充要求。

二

2026 年等保新规的核心变化

2026 年新规在原有等保 2.0 基础上，针对 AI、新技术场景、数据安全等领域做了重大升级，核心变化集中在三大方向：

🔍 核心制度创新：从 “合规” 到 “主动防护”

1. AI 安全正式入法：新修订的《网络安全法》首次明确 AI 安全治理框架，将 AI 安全从行业共识上升为法定责任，要求企业建立 AI 模型安全评估机制，防范模型攻击、数据泄露等风险。
2. 网络安全标识管理制度：对产品网络安全能力进行分级标识（基础级 / 一星、增强级 / 二星、领先级 / 三星），推动安全产品标准化、可视化。
3. 数据资源全面摸底：二级以上系统运营者需填报《数据摸底调查表》，建立数据资产台账，强化数据全生命周期管理。

💡 测评体系改革：更聚焦 “风险本质”

1. 引入 “重大风险隐患” 概念：基于 “相关性、严重性、高发性” 原则判定风险，新增 33 项触发项（如渗透测试覆盖率不足、零日漏洞无热补丁能力等）。
2. 废除百分制，采用三级结论：

 符合：符合率≥90% 且无重大风险隐患；

 基本符合：符合率 60%-90%，或符合率≥90% 但存在重大风险隐患；

 不符合：符合率 < 60%。

3. 强化五级系统监管：对涉及国家安全的五级系统实施更严格的备案、测评标准，由国家指定专门部门检查。

🛠️ 技术要求升级：传统安全深化 + 新技术扩展

1. 传统安全能力升级：

 三级及以上系统核心网络设备需实现热冗余（负载≤80%）；

重要数据需异地备份（同城≥30 公里，跨省市≥100 公里）；

三级及以上系统需采用双因素认证（如 USBKey + 密码）。

2. 新技术场景扩展：

新增边缘计算、5G 应用场景的安全扩展要求；

细化云计算服务模式（IaaS/PaaS/SaaS）下的责任共担机制；

针对工业控制系统明确 “安全分区、单向传输” 的防护原则。

三

企业应对：2026 年等保合规建议

面对新规，企业需从 “被动合规” 转向 “主动防护”，重点做好以下四件事：

1. 提前规划：2026 年 1 月前完成系统定级备案更新，梳理现有安全体系与新规的差距；
2. 数据治理：开展数据资源摸底，建立分类分级管理制度，实施全生命周期数据加密；
3. 技术升级：针对 AI 安全、云安全、边缘计算等场景部署专项防护，满足热冗余、异地备份等新要求；
4. 专业支持：委托具备等保测评资质的机构开展评估，结合行业细则（如电力行业 “安全分区”、医疗行业 “日志留存≥12 个月”）调整策略。

下期预告

今天我们梳理了等保的基础体系和 2026 年新规的核心变化，下一期我们将聚焦等保技术要求的起点 ——计算环境安全 – 物理与环境安全，带你看懂机房选址、电力供应、电磁防护等基础安全的核心要求，这些是所有系统安全的 “底座”！

你所在的企业目前等保处于哪个阶段？在应对新规时遇到了哪些难题？欢迎在评论区留言交流！

关注我们吧

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：野猪与安全 耶度 耶度《等保再升级，2026 新规背后，网络安全基础体系将如何重塑？》