近日,按照公安部发布的2026年第1号《中华人民共和国公安部公共安全行业标准公告》,由公安部信息系统安全标准化技术委员会归口的8项公共安全行业标准正式发布,其中涉及4项等级保护数据安全标准,《GA/T 2380-2026 信息安全技术 网络安全等级保护数据安全基本要求》是其中一项,美创科技全程参与编写。
GA/T 2380—2026标准解析
1、标准定位与适用范围
GA/T 2380—2026以GB/T 22239—2019为基础,针对核心数据、重要数据、一般数据实施差异化保护,细化等保第一至四级数据安全要求。同时与GB/T 45574—2025《敏感个人信息处理安全要求》、GB/T 35273—2020《个人信息安全规范》有效衔接,强化了敏感个人信息全流程安全管控。该标准构建了系统性的数据安全基本要求框架,适用于指导全国网络运营者在等级保护基础上开展数据安全保护工作,并为安全建设方案设计及监督管理机构的监督检查提供权威参照。
2、标准主要内容
该标准共分8章,遵循“分级保护、分类管控、全流程覆盖、责任落实”的总体原则,在GB/T 22239—2019既有的10个安全大类基础上逐一进行了细化扩展,并新增“安全数据处理”大类,系统构建起等级保护框架下的数据安全防护体系。
在分级保护方面,标准按照等保第一至四级足逐级强化、差异管控。
- 第一级:聚焦一般数据基础防护,明确敏感个人信息脱敏展示等底线要求;
- 第二级:进一步强化身份鉴别、访问控制、安全审计等技术措施;
- 第三级:面向重要数据处理场景大幅提升防护力度,涵盖加密存储、逻辑隔离、数据溯源、跨境传输管控等关键能力;
- 最严管控第四级:针对核心数据实施最严格管控,要求实现动态组合身份鉴别、细粒度访问控制及数据安全态势监测预警,确保核心数据全流程处于最高安全防护之下。
在体系支撑方面,标准构建了四大类协同支撑,为各类网络运营者落实数据安全保护提供了清晰可行的实施路径。
- 数据全生命周期防护类:覆盖数据收集、存储、使用、加工、传输、提供、公开、销毁全链条,确保每个环节均有明确的安全要求;
- 技术防护支撑体系类:集成身份鉴别、入侵检测、数据识别标记、脱敏溯源等核心能力,筑牢技术防线;
- 管理体系保障类:明确组织架构、制度流程与人员责任,夯实管理根基;
- 审计监督类:实现全流程操作可审计、风险可发现、责任可追溯,形成闭环监督。
GA/T 2380—2026以“数据全生命周期防护”为核心,配套“技术防护、管理保障、审计监督”三大支撑维度,既明确了“数据怎么护”,也解决了“保障怎么建、责任怎么落、合规怎么达”的核心问题,网络运营者可对照该架构,结合自身业务实际,系统性梳理短板、制定整改方案,确保网络安全等级保护数据安全基本要求落地见效,切实保障数据安全。
内容来源:公安部等级保护评估中心
热门跟贴