文章总结： 我国网络安全等级保护标准体系在数据安全领域迎来重要扩展，新增了四项公安行业标准。其中，GA/T2380—2026《网络安全等级保护数据安全基本要求》是核心，它在原有等保标准基础上，新增了安全数据处理大类，构建了覆盖数据全生命周期的防护体系，并针对不同级别的数据（一般、重要、核心）提出差异化保护要求。配套的GA/T2394—2026《网络安全等级保护数据安全测评要求》则细化了测评指标与流程，为数据安全的评估提供了依据。这一系列标准的发布旨在完善我国数据安全治理体系，为数字经济筑牢安全底座。 综合评分： 85 文章分类： 政策法规,数据安全,网络安全,应用安全,安全建设

等保标准 | 数据安全系列公安行标解析（一）（二）

NERCIS NERCIS

信息安全国家工程研究中心

2026年3月30日 17:08 北京

GA/T 2380网络安全等级保护数据安全基本要求解析

近日，四项等级保护数据安全公安行业标准正式发布，我国网络安全等级保护标准体系在数据安全领域实现了重要扩展，首次系统性将数据安全全面纳入等级保护框架，对于完善我国数据安全治理体系、提升数据安全保护能力具有里程碑式意义。

等保数据安全标准发布的时代背景与重要意义

当前，数据已成为国家基础性战略资源和关键生产要素，数字经济高速发展对数据安全保护提出更高要求。将数据安全深度融入网络安全等级保护制度、推动两者有机衔接，是顺应时代趋势、筑牢数据安全防线的必然选择。此次四项等保数据安全标准的发布，一方面是落实《网络安全法》《数据安全法》等法律法规的具体实践，为法律要求落地提供有力技术支撑，填补等保体系数据安全标准空白；另一方面标志着等级保护与数据安全深度融合，实现网络安全与数据安全协同防护，为我国数字经济健康稳定发展筑牢坚实安全底座。

等保数据安全系列标准介绍

四项标准分工明确、相互支撑，在现有等级保护标准GB/T 22239—2019《网络安全等级保护基本要求》、GB/T 28448—2019《网络安全等级保护测评要求》、GB/T 28449—2019《网络安全等级保护测评过程指南》、GB/T 36959—2018《网络安全等级保护测评机构能力要求和评估规范》基础上，全面升级数据安全防护框架。GA/T 2380—2026明确等级保护一至四级数据安全技术与管理要求，是数据安全建设、自查、整改的直接依据；GA/T 2394—2026明确测评项、方法与判定规则，保障测评标准规范；GA/T 2395—2026规定数据安全测评全流程步骤、文档与质量要求，确保测评规范可追溯；GA/T 2381—2026规范开展数据安全测评机构人员、工具、质量与合规能力，保障测评专业公正。

本篇着重对GA/T 2380—2026标准解析，后续系列篇中将逐一解析其他三项标准。

GA/T 2380—2026标准解析

01

标准定位与适用范围

GA/T 2380—2026以GB/T 22239—2019为基础，针对核心数据、重要数据、一般数据实施差异化保护，细化等保第一至四级数据安全要求。同时与GB/T 45574—2025《敏感个人信息处理安全要求》、GB/T 35273—2020《个人信息安全规范》有效衔接，强化了敏感个人信息全流程安全管控。该标准构建了系统性的数据安全基本要求框架，适用于指导全国网络运营者在等级保护基础上开展数据安全保护工作，并为安全建设方案设计及监督管理机构的监督检查提供权威参照。

02

标准主要内容

该标准共分8章，遵循“分级保护、分类管控、全流程覆盖、责任落实”的总体原则，在GB/T 22239—2019既有的10个安全大类基础上逐一进行了细化扩展，并新增“安全数据处理”大类，系统构建起等级保护框架下的数据安全防护体系。

在分级保护方面，标准按照等保第一至四级足逐级强化、差异管控。第一级聚焦一般数据基础防护，明确敏感个人信息脱敏展示等底线要求；第二级进一步强化身份鉴别、访问控制、安全审计等技术措施；第三级面向重要数据处理场景大幅提升防护力度，涵盖加密存储、逻辑隔离、数据溯源、跨境传输管控等关键能力；第四级针对核心数据实施最严格管控，要求实现动态组合身份鉴别、细粒度访问控制及数据安全态势监测预警，确保核心数据全流程处于最高安全防护之下。

在体系支撑方面，标准构建了四大类协同支撑。数据全生命周期防护类覆盖数据收集、存储、使用、加工、传输、提供、公开、销毁全链条，确保每个环节均有明确的安全要求；技术防护支撑体系类集成身份鉴别、入侵检测、数据识别标记、脱敏溯源等核心能力，筑牢技术防线；管理体系保障类明确组织架构、制度流程与人员责任，夯实管理根基；审计监督类实现全流程操作可审计、风险可发现、责任可追溯，形成闭环监督。四大类协同支撑，为各类网络运营者落实数据安全保护提供了清晰可行的实施路径。

GA/T 2380—2026以“数据全生命周期防护”为核心，配套“技术防护、管理保障、审计监督”三大支撑维度，既明确了“数据怎么护”，也解决了“保障怎么建、责任怎么落、合规怎么达”的核心问题，网络运营者可对照该架构，结合自身业务实际，系统性梳理短板、制定整改方案，确保网络安全等级保护数据安全基本要求落地见效，切实保障数据安全。

GA/T 2394网络安全等级保护

数据安全测评要求解析

上篇文章主要针对等保数据安全系列标准介绍进行了总体介绍，并针对GA/T 2380—2026《信息安全技术 网络安全等级保护数据安全基本要求》进行了深入解读，本篇将继续针对GA/T 2394—2026《信息安全技术 网络安全等级保护数据安全测评要求》进行标准解析。

GA/T 2394—2026标准解析

GA/T 2394—2026是网络安全等级保护数据安全系列标准的重要组成部分，该标准中测评指标依据GA/T 2380—2026编制，测评框架与流程遵循GB/T 28448—2019《信息安全技术 网络安全等级保护测评要求》，是两项标准在数据安全测评实施层面的延续、细化与落地支撑。

01

标准定位与适用范围

GA/T 2394—2026在GB/T 28448—2019的基础上将数据全生命周期的应用场景相关的安全测评要求进行细化和扩展，规定了第一级至第四级等级保护对象的数据安全测评要求，适用于网络安全等级测评服务机构开展数据安全测评，数据运营使用单位进行数据安全自评，并为网络安全监管部门开展数据安全监督检查提供参考。

02

标准主要内容

该标准共设11章及2个附录，全面构建等级保护框架下数据安全测评体系，在等级保护传统10大类安全测评基础上，新增“安全数据处理”测评大类，完整覆盖数据收集、存储、使用、加工、传输、提供、公开、销毁全生命周期。

在测评分类方面，划分两类测评，明确测评重点。标准将数据安全测评划分为数据安全专项测评和数据安全扩展测评两类——数据安全专项测评以数据为核心对象，开展数据全生命周期评估；数据安全扩展测评以信息系统为对象，在等级测评中同步补充数据安全测评内容。标准分别明确了两类测评的适用场景、实施流程、指标选取规则与结果分析方法；针对未定级或安全保护等级不足的系统，明确重要数据处理系统按第三级、核心数据处理系统按第四级选取测评指标并开展测评的原则。

在测评实施方面，测评力度与等保体系协同一致。标准针对GA/T 2380—2026的每条要求分别形成一个测评单元，规定测评对象、测评实施和单元判定，测评对象和测评实施编制过程中充分考虑系统和数据级别，安全等级越高，测评深度与广度越大，同一级别测评力度与GB/T 28448—2019保持一致，在测评实施中全面体现网络安全等级保护要求和数据分级保护要求。

在综合判定方面，标准化测评支撑，统一判定原则。标准附录给出数据处理活动与测评单元参考关系，为测评指标的选取提供指导，支撑测评工作标准化、规范化开展。标准通过数据安全问题被威胁利用的可能性和被威胁利用后的影响程度，综合分析被测数据的安全风险。并结合等级测评结果、数据安全测评结果进行综合评价，给出符合、基本符合、不符合三类测评结论。测评结论与等级测评保持一致，为测评机构实施测评、运营使用单位开展自评估、行业主管部门进行监督检查提供统一评判标尺。

来源：公安部网络安全等级保护中心

往期阅读

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信息安全国家工程研究中心 NERCIS NERCIS《等保标准 | 数据安全系列公安行标解析（一）（二）》