文章总结： GA/T2395—2026标准规定了网络安全等级保护数据安全测评的总体框架、流程和方法，明确以等级测评为前提，聚焦数据和数据处理活动全生命周期安全测评。标准在继承等级测评四阶段框架基础上，针对数据流动特点适配细化测评流程，并清晰界定测评机构与被测单位职责分工，实现从以系统为中心向系统与数据并重的转型升级。 综合评分： 85 文章分类： 技术标准,数据安全,网络安全,安全建设,政策法规

等保标准再扩新篇，数据安全系列公安行标解析（三）

公安部等保中心 公安部等保中心

网络安全与等保测评

2026年4月18日 09:52 广东

在小说阅读器读本章

去阅读

GA/T 2395网络安全等级保护

数据安全测评过程指南解析

上篇文章主要针对等保数据安全系列标准中的GA/T 2394—2026《信息安全技术 网络安全等级保护数据安全测评要求》进行了深入解读，本篇将继续针对GA/T 2395—2026《信息安全技术 网络安全等级保护数据安全测评过程指南》进行标准解析。

标准定位与适用范围

GA/T 2395—2026《信息安全技术 网络安全等级保护数据安全测评过程指南》规定了网络安全等级保护数据安全测评的总体框架、测评流程、测评方法，在网络安全等级保护测评体系的基础上，明确数据安全测评与等级测评的衔接关系。适用于指导测评机构开展数据安全测评工作，也为数据安全主管部门以及数据处理者数据安全检查或自查时提供参考。

标准主要内容

该标准共设8章及3个附录，在继承GB/T 28449—2018《信息安全技术 网络安全等级保护测评过程指南》等级测评方法的基础上，进一步将测评对象聚焦于数据和数据处理活动，测评方法结合数据流动特点进行适配，构建网络安全等级保护框架下的数据安全测评体系。

在测评衔接方面，标准明确网络安全等级测评是数据安全测评的前提。数据安全测评并非另起炉灶，而是以承载数据的系统/平台的等级测评为基础，充分利用等级测评已有成果，实现等级测评和数据安全测评的有效衔接。

在测评对象方面，标准将测评活动紧密围绕“数据”和“数据处理活动”展开。通过聚焦数据基本情况、数据处理活动、数据流转路径及所涉系统，强化对数据收集、存储、使用、加工、传输、提供、公开、销毁全生命周期的安全测评，确保测评工作精准覆盖数据安全核心要素。

在测评流程方面，标准在继承等级测评“四阶段”框架的基础上，针对数据安全测评的特点进行了适配和细化。与等级测评相比，主要区别体现在：一是测评准备阶段的调研环节，要求摸清数据基本情况、数据处理活动、数据流转路径及所涉系统；二是方案编制阶段聚焦数据对象、数据处理活动、承载系统及数据安全级别等关键要素的确定；三是现场测评阶段围绕数据和数据处理活动实施测评；四是报告编制阶段强化数据安全风险分析结论判定。各阶段环环相扣、层层递进，确保测评工作有章可循、有据可依。

在职责分工方面，标准清晰界定测评机构与被测单位在“四阶段”的职责分工。测评机构负责组建团队、编制方案、实施测评、编制报告等，被测单位负责资料提供、人员配合、结果确认等，确保权责分明；通过明确各方责任，从测评准备到报告交付形成完整工作闭环，为测评机构开展数据安全测评提供了清晰可行的操作路径。

GA/T 2395—2026以“等级测评为前提、数据流动为主线、流程规范为保障、职责闭环为目标”，既明确了“怎么测”，也解答了“如何在网络安全等级测评基础上开展数据安全测评”的关键问题。该标准的发布实施，标志着网络安全等级保护测评体系从“以系统为中心”向“系统与数据并重”的转型升级，为筑牢网络强国数据安全防线提供了坚实的标准支撑。

文章来源：公安部网络安全等级保护中心

END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络安全与等保测评 公安部等保中心 公安部等保中心《等保标准再扩新篇，数据安全系列公安行标解析（三）》