文章总结： 2026年3月至4月公安部发布四项数据安全公安行业标准（GA/T2380、2381、2394、2395），系统性将数据安全纳入等级保护框架。核心标准包括数据安全基本要求、测评要求、测评过程指南和测评机构能力要求，形成从防护要求到测评实施的完整闭环。该系列标准首次建立数据安全分级防护体系和测评规范，为网络运营者提供整改依据，为测评机构提供操作指南，标志我国等级保护从系统为中心转向系统与数据并重的新阶段。 综合评分： 87 文章分类： 数据安全,政策法规,技术标准,安全建设,网络安全

等保标准再扩新版！数据安全公安行标系列正式落地

首席安全官

2026年4月28日 08:14 北京

在小说阅读器读本章

去阅读

点击上方“蓝字”，发现更多精彩。

2026年3月至4月，公安部连发四项网络安全等级保护数据安全公安行业标准——GA/T 2380、GA/T 2381、GA/T 2394、GA/T 2395——我国等级保护标准体系在数据安全领域正式完成闭环。

这意味着什么？数据安全不再是”附加题”，而是等保框架的”必答题”。

一、背景：为什么说这次发布是里程碑？

数据已上升为国家基础性战略资源。《网络安全法》《数据安全法》已明确要求将数据安全融入等级保护制度，但技术标准层面长期存在空白。

此次四项标准填补了这一空白，实现了两个”首次”：

• • 首次系统性将数据安全全面纳入等级保护框架
• • 首次建立完整的等级保护数据安全测评体系

二、四项标准全景解析

GA/T 2380-2026：《数据安全基本要求》——”怎么护”

这是整个系列的核心依据文件，共8章，在GB/T 22239-2019既有的10个安全大类基础上，新增”安全数据处理”大类，构建起分级保护、分类管控、全流程覆盖、责任落实的防护体系。

四级差异化管理：

| 等级 | 适用数据 | 核心要求 | | — | — | — | | 第一级 | 一般数据 | 敏感信息脱敏展示等底线要求 | | 第二级 | — | 身份鉴别、访问控制、安全审计等技术措施强化 | | 第三级 | 重要数据 | 加密存储、逻辑隔离、数据溯源、跨境传输管控 | | 第四级 | 核心数据 | 动态组合身份鉴别、细粒度访问控制、安全态势监测预警 |

四大支撑维度：

• • 数据全生命周期防护（收集→存储→使用→加工→传输→提供→公开→销毁）
• • 技术防护支撑体系（身份鉴别、入侵检测、数据识别标记、脱敏溯源）
• • 管理体系保障（组织架构、制度流程、人员责任）
• • 审计监督（操作可审计、风险可发现、责任可追溯）

GA/T 2394-2026：《数据安全测评要求》——”怎么判”

该标准是GA/T 2380的技术执行层，将每条要求对应形成一个测评单元，规定测评对象、测评实施和单元判定。

两类测评分类施策：

• • 数据安全专项测评：以数据为核心对象，开展全生命周期评估
• • 数据安全扩展测评：以信息系统为对象，在等级测评中同步补充数据安全内容

综合判定三结论： 符合 / 基本符合 / 不符合

测评结论与等级测评保持一致，为测评机构、运营单位、主管部门提供统一评判标尺。

GA/T 2395-2026：《数据安全测评过程指南》——”怎么测”

该标准在GB/T 28449-2018等级测评”四阶段”框架基础上，针对数据安全特点进行了系统性适配：

核心变化在于”三个聚焦”：

1. 1. 测评准备阶段：摸清数据基本情况、数据处理活动、数据流转路径及所涉系统
2. 2. 方案编制阶段：聚焦数据对象、数据处理活动、承载系统及数据安全级别
3. 3. 现场测评阶段：围绕数据和数据处理活动实施测评
4. 4. 报告编制阶段：强化数据安全风险分析结论判定

关键定位：数据安全测评不是另起炉灶，而是以承载系统的等级测评为基础，实现两者有效衔接。

GA/T 2381-2026：《数据安全测评机构能力要求》——”谁来测”

该标准为测评机构在数据安全领域”赋能”，从七个维度提出能力要求：

• • 组织管理能力
• • 测评实施能力
• • 设施和设备安全与保障能力
• • 保证能力
• • 风险控制能力
• • 质量管理能力
• • 可持续发展能力

基本红线：

• • 与被测单位无直接或间接关联关系
• • 自身业务管理系统原则上应满足第三级以上等级保护要求

三、对行业意味着什么？

对网络运营者： 对照GA/T 2380架构，可系统性梳理数据安全短板，制定整改方案，确保合规落地。

对测评机构： GA/T 2381提供了能力建设标尺，GA/T 2394+2395提供了标准化操作路径，数据安全测评不再是”摸着石头过河”。

对监管机构： 统一的判定原则和流程规范，让监督检查有据可依、有尺可量。

四、总结

从”基本要求→测评要求→测评过程→机构能力”，四项标准形成了完整的PDCA闭环。

等级保护数据安全系列标准的发布，标志着我国网络安全等级保护从”以系统为中心”向”系统与数据并重”的正式升级。

数据安全，已从”要不要做”进入”怎么做、谁来做、做到什么程度”的新阶段。

来源：公安部网络安全等级保护中心

*精彩回顾

• 六大原因让Mythos成为人工智能和全球安全转折点

• 这家中国网安企业达到 Mythos 级的 AI 漏洞挖掘能力

• ## 推特上最全的信息安全关注列表

• 已发布314项网络安全国家标准清单

• ## 附下载 l 最全网络安全意识课件

• ## 全国网络安全等保测评机构最新名录

• ## 主流的SOC平台产品及行业实践

• CSO如何展示安全建设的商业价值？

• 避坑指南：安全负责人如何向高管层汇报

• 网络安全从业者需要了解的法律知识

• CSO应关注20个网络安全指标

（CSO安全主管群、产业群、市场群、安全意识…）

合作投稿，加群分享交流

请添加微信：CSOAlliance*

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：首席安全官 《等保标准再扩新版！数据安全公安行标系列正式落地》