文章总结： GA/T2394-2026在传统等保基础上新增安全数据处理大类，覆盖数据全生命周期。标准将测评划分为专项与扩展两类，明确重要及核心数据系统按高等级选取指标，依级别调整测评力度，统一判定结论，为测评及监管提供规范化支撑。 综合评分： 81 文章分类： 技术标准,数据安全,网络安全,政策法规,安全建设

等保标准再扩新篇，数据安全系列公安行标解析（二）

公安部等保中心 公安部等保中心

网络安全与等保测评

2026年3月27日 10:24 广东

GA/T 2394网络安全等级保护

数据安全测评要求解析

上篇文章主要针对等保数据安全系列标准介绍进行了总体介绍，并针对GA/T 2380—2026《信息安全技术 网络安全等级保护数据安全基本要求》进行了深入解读，本篇将继续针对GA/T 2394—2026《信息安全技术 网络安全等级保护数据安全测评要求》进行标准解析。

GA/T 2394—2026标准解析

GA/T 2394—2026是网络安全等级保护数据安全系列标准的重要组成部分，该标准中测评指标依据GA/T 2380—2026编制，测评框架与流程遵循GB/T 28448—2019《信息安全技术 网络安全等级保护测评要求》，是两项标准在数据安全测评实施层面的延续、细化与落地支撑。

01

标准定位与适用范围

GA/T 2394—2026在GB/T 28448—2019的基础上将数据全生命周期的应用场景相关的安全测评要求进行细化和扩展，规定了第一级至第四级等级保护对象的数据安全测评要求，适用于网络安全等级测评服务机构开展数据安全测评，数据运营使用单位进行数据安全自评，并为网络安全监管部门开展数据安全监督检查提供参考。

02

标准主要内容

该标准共设11章及2个附录，全面构建等级保护框架下数据安全测评体系，在等级保护传统10大类安全测评基础上，新增“安全数据处理”测评大类，完整覆盖数据收集、存储、使用、加工、传输、提供、公开、销毁全生命周期。

在测评分类方面，划分两类测评，明确测评重点。标准将数据安全测评划分为数据安全专项测评和数据安全扩展测评两类——数据安全专项测评以数据为核心对象，开展数据全生命周期评估；数据安全扩展测评以信息系统为对象，在等级测评中同步补充数据安全测评内容。标准分别明确了两类测评的适用场景、实施流程、指标选取规则与结果分析方法；针对未定级或安全保护等级不足的系统，明确重要数据处理系统按第三级、核心数据处理系统按第四级选取测评指标并开展测评的原则。

在测评实施方面，测评力度与等保体系协同一致。标准针对GA/T 2380—2026的每条要求分别形成一个测评单元，规定测评对象、测评实施和单元判定，测评对象和测评实施编制过程中充分考虑系统和数据级别，安全等级越高，测评深度与广度越大，同一级别测评力度与GB/T 28448—2019保持一致，在测评实施中全面体现网络安全等级保护要求和数据分级保护要求。

在综合判定方面，标准化测评支撑，统一判定原则。标准附录给出数据处理活动与测评单元参考关系，为测评指标的选取提供指导，支撑测评工作标准化、规范化开展。标准通过数据安全问题被威胁利用的可能性和被威胁利用后的影响程度，综合分析被测数据的安全风险。并结合等级测评结果、数据安全测评结果进行综合评价，给出符合、基本符合、不符合三类测评结论。测评结论与等级测评保持一致，为测评机构实施测评、运营使用单位开展自评估、行业主管部门进行监督检查提供统一评判标尺。

END

转自公众号：公安部网络安全等级保护中心

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络安全与等保测评 公安部等保中心 公安部等保中心《等保标准再扩新篇，数据安全系列公安行标解析（二）》