文章总结： 公安部发布四项等保数据安全行标，构建从基本要求到机构能力的完整体系，标志等保向数据安全实质拓展。标准新增安全数据处理域，强调全生命周期管理。建议网络运营者同步推进数据分类分级、资产梳理与溯源能力建设，以应对等保3.0时代的监管新要求。 综合评分： 80 文章分类： 政策法规,技术标准,数据安全,安全建设

关于新发等保标准数据安全系列公安行标杂感，畅想等保3.0

原创

何威风 何威风

河南等级保护测评

2026年4月1日 08:42 河南 标题已修改

根据有限的发布信息和资料，从标准名称等信息做一些杂谈，纯属个人理解，权当交流，请勿当真，所有信息以官方发布为准。

根据公安部网络安全等级保护中心最近发布的《等保标准再扩新篇，数据安全系列公安行标解析》等信息，我们可以了解到四项网络安全等级保护数据安全公安行业标准已经发布，标志着我国网络安全等级保护制度在数据安全领域实现了重要拓展。随着数字经济快速发展，数据已成为国家基础性战略资源和关键生产要素，数据的价值不断提升，同时数据泄露、滥用和跨境流动等风险也日益突出。在这一背景下，将数据安全系统性纳入等级保护框架，是顺应国家数据治理需求的重要举措。通过标准化方式推动数据安全要求落地，不仅为《网络安全法》《数据安全法》《个人信息保护法》等法律法规提供了技术支撑，也使网络安全与数据安全形成协同防护格局，为数字经济健康发展奠定更加稳固的安全基础。

从标准体系结构来看，此次发布的四项标准在原有等级保护体系基础上形成了较为完整的数据安全标准框架。其中，GA/T 2380—2026《网络安全等级保护数据安全基本要求》明确了不同等级保护对象在数据安全方面的技术和管理要求，是开展数据安全建设、自查和整改的重要依据；GA/T 2394—2026《网络安全等级保护数据安全测评要求》则从测评角度对数据安全进行细化，规定了测评指标、方法和判定规则；GA/T 2395—2026进一步规范数据安全测评实施过程，确保测评工作可追溯、可验证；GA/T 2381—2026则对数据安全测评机构能力提出要求，确保测评机构具备必要的技术能力和管理能力。由此形成了“基本要求—测评要求—测评过程—机构能力”的完整体系，与传统等级保护标准结构保持一致，也体现出数据安全逐步走向体系化治理的发展趋势。

在具体内容上，GA/T 2380—2026以现有等级保护基本要求为基础，对数据安全进行了系统扩展。该标准遵循“分级保护、分类管控、全生命周期覆盖、责任落实”的总体思路，在原有十个安全控制域基础上进一步细化，并新增“安全数据处理”控制域，从而构建起面向数据安全的整体防护框架。标准按照等级保护第一至第四级逐级强化安全要求，针对不同级别的数据保护目标提出差异化措施。例如，在较低等级中侧重一般数据的基础防护与基本管理要求，而在三级和四级中则重点强化重要数据和核心数据的保护措施，包括加密存储、逻辑隔离、访问控制强化、数据溯源、跨境数据管理以及安全态势监测等能力，从而实现对高价值数据的重点保护。

该标准的一个显著特点是强调数据全生命周期安全管理。标准明确要求对数据从收集、存储、使用、加工、传输、提供、公开到销毁的全过程实施安全控制，使数据在整个流转过程中始终处于可控状态。这种从“系统安全”向“数据生命周期安全”的转变，体现了我国数据安全治理理念的升级。与此同时，标准还通过技术防护体系、管理制度体系和审计监督机制形成协同支撑，使数据安全工作既有技术手段保障，也有制度和责任机制约束，最终实现风险可发现、行为可审计、责任可追溯的闭环管理。

在测评方面，GA/T 2394—2026进一步推动数据安全进入可评估、可量化阶段。该标准在原有等级保护测评框架基础上，将测评对象从传统的信息系统扩展到数据处理活动本身，并新增“安全数据处理”测评类别，使测评内容覆盖数据全生命周期的各个环节。标准还提出了数据安全专项测评和数据安全扩展测评两种模式：前者以数据为核心对象，重点评估数据治理与保护能力；后者则是在传统等级保护测评基础上增加数据安全评估内容。这种设计既保证了与现有等级保护体系的衔接，也为不同类型单位开展数据安全评估提供了灵活路径。

从整体发展趋势来看，这一系列标准的出台，实际上意味着等级保护制度正在向数据安全领域进一步延伸，并逐步形成独立的数据安全测评体系雏形。过去等级保护主要关注信息系统安全，而当前监管重点正在逐渐向数据安全转移，包括重要数据保护、个人信息保护、数据跨境流动以及数据资产管理等领域。随着标准体系逐渐完善，未来很可能在等级保护框架下形成一个相对独立的数据安全等级测评体系，使数据安全保护工作具备明确的建设标准、测评方法和监管依据。

对于各类网络运营者而言，这一变化意味着数据安全建设将成为未来网络安全工作的重点内容之一。单位在开展等级保护建设和整改时，不仅需要关注系统本身的安全防护能力，还需要同步推进数据分类分级、数据资产管理、数据脱敏处理、数据访问控制以及数据溯源能力建设。同时，在监管层面，相关部门在开展监督检查时，也可能更加关注重要数据识别、数据安全管理制度、数据流转控制以及数据安全风险评估等方面的工作情况。

总体来看，GA/T 2380—2026和GA/T 2394—2026等标准的发布，是我国网络安全等级保护制度发展过程中的一个重要节点。不仅补齐了等级保护体系在数据安全方面的标准空白，也推动数据安全从理念层面走向制度化和可实施阶段。从长远来看，这一体系的发展可能进一步推动形成以网络安全、数据安全和数字治理为核心的综合安全治理框架，并在未来监管实践中发挥越来越重要的作用。预示着等级保护未来标准修订方向，为等保3.0（网络安全+数据安全+个人信息安全）国家奏响序曲。待正在制定的《网络安全等级保护条例》正式发布后，以及GA行业标准升格完善优化为国家标准后，等级保护将迎来其3.0时代。等级保护3.0的法理的分水岭，个人斗胆妄言可能是《网络安全等级保护条例》的发布施行。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 何威风 何威风《关于新发等保标准数据安全系列公安行标杂感，畅想等保3.0》