公安部新规 GA/T2380—2026 完整解读,三级系统必须上国密

2026-06-15

公安部最新发布GA/T 2380—2026《信息安全技术 网络安全等级保护数据安全基本要求》,作为2026年等保测评核心新规,彻底重构现有等保合规体系。

以往网络、主机、防火墙过关就能通过等保;如今数据安全单独打分、独立闭环考核,数据项不达标,整体等保直接驳回

 

本文一文吃透标准核心变革、分级要求、扣分雷区、企业落地方案,政企运维、合规负责人、测评从业者一键收藏!

 

一、标准核心定位:等保正式进入「双核合规时代」

1. 标准配套矩阵,闭环管控全流程

本次公安部同步发布四大配套公安行业标准,搭建全新等保数据安全测评体系:

  • GA/T 2380-2026:数据安全建设基线,企业自查、整改核心依据
  • GA/T 2394-2026:测评判定指标,考官打分、一票否决清单
  • GA/T 2395-2026:测评实施流程,现场测评全流程规范
  • GA/T 2381-2026:测评机构准入,第三方测评资质管控

2. 新旧等保差异

旧版GB/T22239-2019等保2.0

新版GA/T2380-2026

以网络、主机、应用安全为核心,数据安全仅为附加加分小项,容错率极高

系统安全+数据安全双独立考核,新增独立数据安全防护域,对齐《数安法》《个保法》《GB/T45574-2025敏感个人信息标准》

关键红线:共计33项重大风险点,触发直接一票否决,等保结论不合格

3. 适用全覆盖范围

覆盖等保一级~四级全部系统,适配政务单位、金融、医疗、能源、工业互联网、互联网平台、云服务商、外包运维、测评机构全主体;涉密配套系统、关键基础设施业务系统强制适配。

 

二、标准整体框架:1主线+3支柱,四级梯度防护

一条核心主线:数据8大生命周期全覆盖

收集→存储→使用→加工→传输→提供→公开→销毁,全链路绑定合规要求,新增安全数据处理独立管控域,脱敏、去标识、匿名化全等级硬性要求。

三大支撑体系,技术+管理+审计闭环

1、技术防护体系:数据分级标记、细粒度权限、国密加密、动态脱敏、数据库审计、内网微隔离、数据溯源、容灾备份

2、管理保障体系:专职数据岗位、权责划分、制度台账、人员管控、供应链外包风控、审批流程标准化

3、审计监督体系:操作日志防篡改、超长留存、风险研判、泄露应急、全链路责任追溯

四级差异化防护要求,企业对照自查

一级:自主保护(小微企业、普通办公系统)

基础底线要求:完成基础数据资产梳理、区分敏感个人信息;前端手机号/身份证自动脱敏;简易安全制度+基础员工培训;基础账号口令管控、简易操作日志留存。

二级:指导保护(中小型企业、非核心政务业务)

一级基础全面升级:完善分级分类台账、高低敏感数据存储隔离;账号多因素认证、最小权限管控;数据传输加密、对外共享审批;搭建泄露应急预案、绑定外包服务商安全协议。

三级:监督保护【全网主流、整改重灾区】(政务/医疗/金融/能源核心系统)

硬核强制条款,无缓冲、无豁免

  • 加密硬性要求:重要/敏感数据存储+传输强制国密SM2/SM3/SM4,淘汰单纯HTTPS合规方案
  • 存储隔离:核心、重要、一般数据逻辑/物理隔离,异地加密备份(同城≥30km、跨市≥100km)
  • 环境管控:测试/开发/报表环境禁止裸敏感数据,批量数据导出多级审批+强制脱敏
  • 日志严苛标准:普通日志留存≥1年,数据共享、跨境、委托处理日志≥3年,日志WORM防篡改,运维DBA操作全程留痕
  • 资产可视化:必须搭建数据资产地图、数据血缘流向图,实时监测异常数据流转
  • 跨境风控:重要数据出境前置安全评估,本地留存数据副本

四级:强制保护(党政核心、军工配套、国家级关键基建)

全域最高等级防御:三重动态身份核验、字段级动态权限;全链路密码密评对齐;7*24小时智能预警+风险自动阻断;第三方驻场人员全程监控;核心介质物理粉碎销毁;常态化红蓝对抗演练。

 

三、8大生命周期高频扣分红线,90%企业踩坑

结合2026年测评新规,整理测评现场必查、一票否决高危条款:

1. 数据收集:严守最小必要原则

禁止超范围采集用户信息;敏感个人信息单独授权、杜绝捆绑同意;数据源头绑定不可篡改安全标签。

2. 数据存储:严禁敏感数据明文落地

三级及以上系统敏感字段禁止明文存储;不同级别数据禁止混存;备份数据同步加密、定期灾备演练。

3. 数据使用加工:测试环境零裸数据

仿真、数据分析、AI模型训练数据必须脱敏;U盘拷贝、外网传输、批量导库强制多级审批。

4. 数据传输:内网外网全链路加密

禁止敏感数据明文内网、跨机构传输,跨部门、跨合作方共享链路闭环加密留痕。

5. 第三方共享:外包合作从严管控

合作方资质前置审核、签订专项数据安全协议;禁止数据二次转包;对外数据流向日志超长留存。

6. 数据公开:核心数据严禁公示

重要、核心数据禁止对外公开;公示统计数据需完成脱敏审核。

7. 数据销毁:拒绝简单删除清空

电子数据覆写销毁,硬件介质四级系统强制物理粉碎;销毁人员、时间、介质全程台账复核。

8. 新增要求:安全数据处理合规

区分可逆去标识、不可逆匿名化,新规明确:简单脱敏不可替代重要数据加密防护。

 

四、管理体系硬性归档要求,测评必查台账

三级及以上系统缺一不可,直接影响资料审核得分:

  • 组织人员:专职数据安全岗、关键岗位轮岗、离岗脱密、人员背景审查
  • 制度台账:分级分类、权限管控、脱敏、备份、应急、跨境、外包全套管理制度
  • 风险应急:年度数据风险评估、泄露48小时内上报监管、常态化应急演练
  • 供应链:软硬件厂商、运维外包、云服务商全流程安全审查

 

五、企业合规痛点+5步极速落地方案

新规最大冲击,企业务必知晓

1、只整改防火墙、WAF、主机防护,无法通过2026年新等保测评

2、国密算法从加分项变为三级系统强制准入门槛

3、测评逻辑变革:从「查设备配置」转为「查数据全流向」

4、开发裸数据、DBA无审计、日志时长不足,成为TOP3扣分雷区

五步极简整改流程,高效过测评

1、资产盘点:梳理全域数据,完成数据分级分类定级

2、技术补齐:国密加密、动态脱敏、堡垒机、防篡改日志、异地加密备份

3、资料完善:配齐新版数据安全管理制度、审批台账、人员档案

4、流程改造:优化数据采集、导出、销毁、外包全业务流程

5、自测预检:对照GA/T2394指标自查,清除一票否决项后送检

 

六、分行业合规重点提示

政务/医疗/金融(三级主力):病历、征信、身份信息属重要数据,国密+长日志+异地备份缺一不可

互联网平台:用户敏感信息存储脱敏、数据出境评估为核心核查项

工业物联网:生产工艺、设备工况数据划为重要数据,内网隔离防窃取

小微企业一二等级:轻量化落地台账、页面脱敏、基础审计,低成本达标

 

文末结语

数据安全不再是附加合规要求,而是等保测评核心准入门槛,越早完成资产梳理、技术整改、台账归档,越能规避测评驳回、监管处罚风险。

转发收藏,转给公司运维、合规、信息化负责人!

新闻类型: 
全部动态
企业动态