文章总结: GA/T2395-2026《网络安全等级保护数据安全测评过程指南》于2026年7月1日实施,标志着等保测评从设备检查转向数据资产与全生命周期管控。该标准要求数据安全测评作为等保前置条件,数据安全不合格则整体不通过。测评流程包括数据资产摸底、数据流穿透核查等四大阶段,并设置多项一票否决项。企业需完成数据分类分级、绘制数据流图并补齐安全制度,以应对合规刚性要求。 综合评分: 83 文章分类: 数据安全,政策法规,安全建设,解决方案,安全运营
标准解读|GA/T 2395-2026《网络安全等级保护数据安全测评过程指南》全文解读
网络安全与等保测评
2026年7月8日 08:09 广东
在小说阅读器读本章
去阅读
以下文章来源于西安市信息网络安全协会 ,作者XAINS
西安市信息网络安全协会 .
凝聚网安力量 护航数字西安
一:标准基础概况
1.基本信息
标准编号:GA/T 2395-2026《信息安全技术 网络安全等级保护数据安全测评过程指南》
发布日期:2026 年 2 月 28 日
实施日期:2026年7月1日
归口单位:公安部信息系统安全标准化技术委员会
起草单位:公安部三所、公安部网安局及多家政企、测评机构共同编制
2.四大配套标准完整闭环
本次公安部同步发布四项数据安全专项行标,形成建设 – 测评指标 – 测评流程 – 机构资质全链条合规体系:
(1)GA/T 2380-2026:数据安全建设基线(企业整改依据)
(2)GA/T 2394-2026:数据安全测评判定指标(核查打分规则)
(3)GA/T 2395-2026:数据安全测评过程指南(本次解读核心,规范全流程操作)
(4)GA/T 2381-2026:数据安全测评机构能力要求(第三方测评准入门槛)
3.适用范围
覆盖等保 1-4 级全部非涉密信息系统,适用于:
(1)具备资质第三方测评机构开展数据安全扩展 / 专项测评;
(2)公安网安部门现场监督检查;
(3)西安本地政务、医疗、金融、工业、云平台等单位内部数据安全自查。
二:标准核心定位:等保测评范式重大转型
旧版等保测评以网络、主机、应用设备为核心,数据安全仅为附属检查项;GA/T 2395-2026 落地后,测评主线彻底切换为数据资产、数据流、数据全生命周期,实现从 “查设备漏洞” 到 “管控数据风险” 的转变。
硬性核心规则:网络安全等级测评是数据安全测评前置必要条件,不可单独开展数据测评;数据安全测评结论不合格,整体等保测评直接不通过,无法完成备案。
两种合规测评模式(企业按需选择)
1.扩展测评(推荐主流)
常规等保测评现场同步叠加数据安全测评,一次进场、一次完成,复用系统拓扑、权限、制度等已有材料,减少重复工作。
2.专项测评
存量系统已完成等级测评,单独进场开展数据安全复测、年度复核、重大风险整改验收。
三:标准规定四大标准化测评全流程
标准完整划分测评准备、方案编制、现场测评、报告编制四大阶段,明确测评机构与被测单位双方权责,全程闭环可追溯
阶段 1:测评准备阶段(新增数据资产摸底强制要求)
区别传统等保仅梳理系统架构,本阶段必须完成数据专项摸排:
(1)收集系统定级、组织架构、数据安全负责人、第三方数据合作单位信息;
(2)建立数据分类分级台账,区分核心、重要、一般数据、敏感个人信息;
(3)绘制完整数据流图,梳理数据采集、存储、共享、外传、销毁全流转路径;
(4)收集数据安全制度、脱敏、审批、应急、介质销毁全套台账;
(5)输出《数据资产摸底调查报告》,作为测评方案编制依据。
阶段 2:测评方案编制阶段
(1)结合系统等级、数据重要程度双维度划定测评范围;
(2)组合文档核查、工具扫描、数据流复盘、渗透验证等测评方法;
(3)明确现场抽样规则、敏感数据取证保密措施;
(4)方案经双方签字确认后方可进场,禁止无方案现场测评。
阶段 3:现场测评实施(标准核心亮点:数据流穿透核查)
(1)文档访谈核查:核验数据安全管理制度、操作日志、培训、应急演练记录;
(2)技术配置核查:数据库加密、传输 TLS / 国密加密、数据导出管控、备份策略;
(3)数据流全链路穿透核查:顺着数据流转全路径排查明文传输、无审批共享、越权访问等隐性风险;
(4)证据留存要求:每条问题标注对应数据环节、风险等级、GA/T2394 条款,留存截图、台账、日志原始证据。
阶段 4:风险分析与报告编制
(1)废除传统百分制打分,采用符合 / 部分符合 / 不符合三档判定;
(2)设置多项重大隐患一票否决项,出现即判定测评不合格;
(3)报告独立增设数据安全专项章节,同步出具《数据安全专项问题整改清单》;
(4)流程:初稿征求企业意见→出具正式盖章报告,全套测评原始材料加密归档留存。
四:高频一票否决重大风险(西安各单位重点自查)
1.核心、重要数据无加密存储、无合规备份;
2.敏感数据权限过度开放,全员可查询、导出;
3.数据操作审计日志缺失、留存周期不达标、日志可随意删除;
4.重要数据对外共享、跨机构传输无审批、无安全协议;
5.未制定数据泄露应急预案,长期未开展应急演练;
6.第三方合作数据未开展安全评估、未签订数据安全责任协议。
五:新旧测评流程核心差异对比
| | | | | — | — | — | | 对比维度 | 传统等保测评流程 | GA/T2395-2026 数据安全测评流程 | | 测评主线 | 软硬件设备、网络架构 | 数据资产、全生命周期数据流 | | 前置工作 | 仅梳理系统拓扑 | 必须完成数据分级、数据流梳理 | | 现场核心动作 | 漏洞扫描、配置检查 | 数据流穿透全链路核验 | | 判定逻辑 | 百分制打分 | 风险导向,重大隐患一票否决 | | 覆盖范围 | 仅限内部信息系统 | 覆盖外包、第三方共享、跨机构数据流转 | | 报告权重 | 数据安全仅附属小节 | 独立专项结论,直接决定等保是否通过 |
六:西安本地单位落地实操指引
测评前筹备工作
1.完成全量数据分类分级,建立标准化台账:
2.绘制完整内外部数据流图,梳理所有数据对外交互场景;
3.补齐数据加密、脱敏、导出审批、介质销毁全套制度与操作记录;
4.整理第三方服务商数据合作协议、安全评估材料。
现场配合要点:安排业务、运维、数据安全负责人三方全程在场,配合核查数据库权限、接口加密、备份、脱敏配置,配合测评人员开展数据流复盘。
💡 协会温馨提示
GA/T 2395-2026 已于 2026 年 7 月 1 日正式实施,标志我市等保合规进入系统安全 + 数据安全双核管控时代。数据安全从以往软性要求转变为刚性准入底线,2026 下半年全市所有等级保护测评将严格执行本标准全流程核查。各政企单位、医疗机构、金融机构、园区企业需尽快完成数据资产梳理与自查整改,提前补齐数据安全短板,规避测评不通过、监管核查等合规风险。
编辑:和川
审核:楚天舒
终审:刘华伟
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网络安全与等保测评 《标准解读|GA/T 2395-2026《网络安全等级保护数据安全测评过程指南》全文解读》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论