6月1日，GA/T 2380—2026《信息安全技术 网络安全等级

；な莅踩根基要求》、GA/T 2381—2026《信息安全技术 网络安全等级

；な莅踩测评机构能力要求》正式执行。7月1日，GA/T 2394—2026《信息安全技术 网络安全等级

；な莅踩测评要求》、GA/T 2395—2026《信息安全技术 网络安全等级

；な莅踩测评过程指南》将正式执行。这是我国网络安全等级

；ぴ於茸1999年奠基、2007年等保1.0、2019年等保2.0之后，又一次里程碑式升级，标志取等保正式从 “以系统为中心”迈入“系统与数据并沉”的全新阶段。

与此同时，2026年1月1日已执行的新版《网络安全法》与今日落地的数据安全专项尺度形成司法+尺度双沉强监管，AI 安全入法、幼我信息三法协同、CII 数据本地化强化、处罚最高至1000万元…… 数据安全不再是等保测评中的 “附加项”，而是法定必达、逐项核查、平生追责的主题使命。

js1996官网信息基于多年等保服务与数据安全实际，结合四项新规与最新司法要求，为全行业企业带来深度政策解读、合规重点清单、落地执行蹊径与一站式解决规划，助力企业在新规执行首日即站稳合规脚跟。?

扫码征询

新规有关内容

一、今日执行

四项新规构建等保数据安全

“齐全关环”

此批四项尺度，并非单一补充，而是构建了“建设要求 — 测评指标 — 执行过程 — 机构能力”全链条、可落地、可监管的齐全尺度系统，彻底添补等保 2.0 在数据安全领域的细化要求空缺。

1.GA/T 2380—2026《信息安全技术 网络安全等级

；な莅踩蟆罚企业数据安全建设、自查、整改的直接凭据，在等保 2.0 基础上新增独立数据安全域（全性命周期） ，明确?1—4 级逐级加强要求。

2.GA/T 2394—2026《信息安全技术 网络安全等级

；な莅踩馄酪蟆罚统一测评指标与判定规定，明确切合 / 部门切合 / 不切合判定尺度，确保全国测评尺度一致，杜绝“宽松不一”。

3.GA/T 2395—2026《信息安全技术 网络安全等级

；な莅踩馄拦讨改稀罚规范测评全流程，以数据流动为主线，从“查系统” 转向 “查数据”，标志等保测评范式转型。

4.GA/T 2381—2026《信息安全技术 网络安全等级

；な莅踩馄阑鼓芰σ蟆罚严格规范测评机构门槛，从人员资质、测评工具、质量系统、保密治理四个维度提出强造机能力要求，确保测评专业、公正、可信。

这四项尺度相互支持、环环相扣，意味着从企业怎么建、第三方怎么测、过程怎么管、机构资质怎么审，全数有章可循、有标可依。

二、主题刷新

等保数据安全五大规定彻底改写

1. 安全定位升级：数据从“从属项”变为“独立专项域”

在等保1.0与等保 2.0 系统中，数据安全凭借于主机安全、利用安全，要求零散、不成系统。今日起，GA/T 2380—2026 将数据安全提升为独立安全节造域，覆盖：网络→存储→使用→加工→传输→提供→公开→销毁数据全性命周期每一个环节都有明确、可落地、可查抄的技术与治理要求，监管逻辑从“管好系统”全面转向 “管好数据、管住流转、守住底线”。

2. 等级要求逐级加强：密码技术成三级以上“强造门槛”

新规选取“下兼上、逐级加强”设计，低级满足后能力升级，三级及以上系统强造使用密码技术，不再是“建议”而是 “必须”：

·一、二级：以基础防护为主，选取校验技术，以“宜” 疏导性要求。

·三级（沉要数据系统）：口令 + 密码组合甄别、传输 + 存储加密、齐全性校验、全量审计、年度安全评估全数强造。

·四级（主题数据系统）：动态组合甄别、数据抗诡辩、极致销毁、实时跨境管控，达到最高安全强度。

3. 双轨管控创新：统一等级，通常 / 沉要数据两套要求

GA/T 2380—2026?最具突破性的设计，是在统一个安全等级内，分辨：

·通常数据处置系统：满足该等级通用要求即可。

·沉要数据处置系统：在通用要求之上额表加强，蕴含：

o密码技术全面升级

o审计覆盖所有操作类型

o沉要数据专项象征、不成篡改

o每年一次安全评估，汇报留存不少于3年

o数据供给链全流程管控、合作和谈合规

这意味着企业不能再“一刀怯妆定级了事，必须先定级、再分数据、再定措施，精密化治理成为必选项。

4. 监管红线收紧：未定级系统按数据类型 “强造高配”

新规明确一条铁律：处置沉要数据的系统，无论是否定级，一律按三级要求测评

；处置主题数据的系统，一律按四级要求测评。

微信公家号“等级

；げ馄馈背龈窬荆未定级或防护不到位会被沉点针对！企业再也不能以“系统幼、不沉要、未定级”为借口逃避高档级数据安全使命。

5. 测评模式转型：从“查系统”到“数据 + 系统并沉”

GA/T 2395—2026明确：等级测评是数据安全测评的前提。

测评流程全面升级：

1.筹备阶段：不仅看系统架构，更要摸清数据资产、流转蹊径、处置活动。

2.规划阶段：聚焦数据对象、安全级别、承载系统。

3.现场测评：萦绕数据流动执行核查。

4.汇报阶段：强化数据安全风险判定，出具专项问题清单。

三、司法叠加生效

数据违规最高罚1000万

1月1日，新版《网络安全法》已全面执行，与今日执行的四项尺度双沉叠加，企业合规成本与违规价值同步大幅提升。

1. AI 安全专条入法：训练数据初次纳入法定监管

新版第20条明确：国度支持AI研发，同时必须保险训练数据安全、美满AI伦理、加强风险监测。对等保的直接影响：

·AI 训练平台、大模型利用系统纳入等保对象

；

·训练数据起源合规性、供给链安全必须审查

；

·AI 系统需具备安全监测与风险措置能力。

2. 三法协同落地：幼我信息

；じ细

第 42 条明确引用《幼我信息

；しā贰见穹ǖ洹，形成网安法 + 个保法 + 民法典三法协同。等保查抄同步核查：

·敏感幼我信息严格

；

·数据保留期限不超授权

·账户注销必须删除或匿名化

·生物鉴别信息与身份信息分隔存储

3. CII 数据本地化强化：与《数据安全法》齐全对齐

第39条明确：关键信息基础设施运营者网络的幼我信息和沉要数据该当在境内存储。出境必须经过安全评估，与 GA/T 2380 跨境管控要求形成司法—尺度联动。

4. 处罚力度几何级提升：最高1000 万元 + 信誉公示

·通常网络运营者数据违规：5万—50万元（原 1 万 —5 万，提升 10 倍）

·CII 造成严沉后果：50万—200万元

·CII 造成出格严沉后果：200万—1000万元

·所有违规记入信誉档案并公示

数据安全从此“违不起、罚不起、漏不起”。

四、今日必查！

等保数据安全合规自查清单

（36项主题重点）

（一）全等级必做：基础合规底线（今日起即查）

1.凭据 GB/T 43697-2024 实现数据分类分级，鉴别通常 / 沉要 / 主题数据

2.成立数据资产清单，明确类别、量级、级别、责任部门、存储地位

3.开发测试环境敏感数据必须去标识化

4.成立数据安全治理造度，覆盖全性命周期

5.规范数据销毁流程，保留审批、操作、监督纪录

6.成立应急预案，发展应急演练

7.实现人员安全培训与责任落实

8.对接口、账号、权限进行定期梳理

9.实现数据传输与存储根基齐全性

；

10.成立数据操作审计纪录，可追忆、可核查

（二）三级及以上系统：强造要求（测评沉中之沉）

1.身份甄别选取口令 + 密码技术组合

2.沉要数据传输与存储强造密码技术加密

3.部署数据水印、数据溯源、血缘分析

4.实现静态 + 动态脱敏，覆盖开发、分析、互换场景

5.沉要数据处置系统全操作审计，纪录齐全可查

6.实现实时异地备份，具备急剧复原与齐全性校验

7.存储空间开释前齐全断根，杜绝数据残留

8.沉要数据跨境传输监测、审批、管控关环

9.每年一次数据安全评估，汇报留存≥3 年

10.沉要数据 / 十万人以上幼我信息泄露立即上报

11.成立数据接口全性命周期治理造度

12.高风险操作尝试多层级审批

13.沉要数据成立专项清单，工具化治理

14.沉大调换前发展数据安全风险评估

（三）AI 系统与CII专项要求

1.AI 训练数据起源合规，有审核与纪录

2.AI 系统纳入等保对象，发展风险监测

3.CII 幼我信息 + 沉要数据境内存储

4.CII 数据出境实现安全评估

5.数据供给链签署安全和谈，全链条可追忆

（四）测评与治理合规

1.选择具备资质的测评机构，人员持有等保测评师证书

2.测评按筹备— 规划 — 现场 — 汇报四阶段执行

3.测评机构自身系统满足三级及以上等保

4.成立统一数据安全治理中心，集中管控

5.数据安全事务措置—上报—复盘— 整改关环

6.造度文件随律例、业务、架构变动实时订正

7.落实三同步：同步规划、同步建设、同步运行

五、行业分析

六大行业各有侧沉

密码技术与年度合规是共性焦点

等保数据安全新规的落地，不是“一刀怯妆 的通用模板，而是必要结合各行业监管要求与数据个性，形成差距化的防护沉点。结合金融、医疗、教育、能源/电力、政务/数据局、央国企六大典型行业的监管要求，js1996官网信息梳理了各赛路与 GA/T 2380—2026 新规的对应沉点，援试祗业急剧找准合规方向。

六、解决规划

js1996官网信息

一站式等保数据安全合规解决规划

面对今日施杏注克日查抄的高压监管态势，js1996官网信息基于等保2.0+四项数据安全专项尺度，打造“理得清、管得住、看得见、能关环、定方向”五大能力板块、29项细分能力，全面覆盖 GA/T 2380—2026 所有要求，为企业提供从差距评估、建设整改、测评领导到持续运营的全流程服务。

1. 主题产品能力：精准对标新规、一键达标

·js1996官网数据安全监管平台：助力各级监管单元筑牢数据安全防线，打造“登记—评估—监测—预警—措置—决策”业务关环。

·AiSort 数据安全分级及风险治理平台：具备自动数据发现、分类分级、沉要数据鉴别、资产台账等职能，美满匹配分类分级要求。

·AiGate 数据库安全网关：具备多成分身份甄别、细粒度接见节造、传输加密、动态脱敏等职能，满足三级强造要求。

·AiMask 数据脱敏系统静态 + 动态脱敏：支持开发测试、数据分析、共享互换全场景。

·AiTDE通明数据库加密系统：具备存储加密、密钥治理等职能，满足密码技术强造要求。

·明御DAS数据库审计与风险节造系统：具备全量操作审计、溯源追踪、行为分析扽职能，满足审计全覆盖。

·js1996官网数盾数据安全治理平台：具备集中管控、战术统一、事务关环、告警措置等职能，支持构建治理中心。

·js1996官网数盾容灾备份与复原系统：具备实时备份、异地容灾、急剧复原，满足备份复原强造要求。

·API安全网关 + API审计系统：覆盖数据接口全性命周期安全，补齐接口管控短板。

2. 分等级落地蹊径：按级建设、一步到位

·一级合规：数据发现→基础脱敏→基础审计→造度成立

·二级合规：一级全覆盖 + 身份权限 + 数据互换 + 供给链治理

·三级合规：二级全覆盖 + 加密

；ぁ烈葑ㄏ睢甓绕拦馈可蠹

·四级合规：三级全覆盖 + 动态鉴权→主题数据象征→抗诡辩→实时跨境管控

3. 全流程服务：今日即可启动紧脊佧改支持

·新规深度解读与政策培训

·急剧差距评估，输出问题清单与整改规划

·数据分类分级落地执行

·技术产品急剧部署与集成

·造度系统假造与订正

·测评领导，确保一次通过

·年度评估与持续合规运营

七、官方推荐

等保数据安全合规执行功夫轴

·6月1日、7月1日: 四项尺度正式执行，立即启动自查

·6月—7月：实现数据分类分级补全、账号权限梳理

·6月—8月：部署加密、脱敏、水印、审计主题能力

·8月—10月：造度订正、全员培训、供给链合规整改

·8月—11月：沉要数据系统实现安全评估

·12月：实现初次年度数据安全评估，迎接监管查抄

?八、沉要提醒

新规执行首日，这三件事必须做

1.立即自查：对照36项清单，逐项排查短板，不存幸运、不留死角。

2.立即分类：先分清通常 / 沉要 / 主题数据，再确定安全措施，预防 “一刀怯妆。

3.立即落地：密码、审计、脱敏、备份、权限五大能力优先补齐，守住主题红线。

等保数据安全专项尺度正式执行！这不仅是一次尺度升级，更是数据安全从“可选加强” 走向 “法定强造”的汗青转折点。叠加新版《网络安全法》高压处罚、AI安全入法、CII 管控升级，企业必须从 “被动应酬测评” 转向?“自动构建数据安整个系”。

js1996官网信息将持续紧跟国度政策，以技术产品 + 专业服务助力金融、政务、医疗、教育、能源、央国企等各行业客户高效合规、安稳通过测评，筑牢数据安全防线，在数据身分市场化的新时期行稳致远。