备受关注的《信息安全技术 网络安全等级保护数据安全基本要求》(GA/T 2380-2026)今日正式实施。这份标准的核心是将《数据安全法》《个人信息保护法》要求转化为等保1-4级细粒度、可落地的数据安全保护要求,是等保测评中数据安全维度的直接依据。这意味着,等保合规不再只是“过关”,数据安全能力是否到位,将直接决定企业能否在新一轮测评中达标。本文从一至四级逐一拆解新标准核心要求,帮助企业快速厘清合规差距、明确建设方向。
图示:《信息安全技术 网络安全等级保护数据安全基本要求》整体结构
一、第一级:基础防护,守住安全底线
第一级系统虽然要求相对基础,但已明确数据安全的“底线思维”。主要是重“意识”与“基础动作”,敏感个人信息去标识、展示脱敏、介质管控是入门三件事;
安全计算环境:开发/测试环境使用个人信息时,敏感个人信息须去标识化;
安全数据处理:界面展示环节须对敏感个人信息脱敏;
安全管理制度:制定覆盖全流程数据处理活动的安全管理制度。
二、第二级:制度+技术闭环,强化基础管控
第二级要求显著提升,要求全面升级,各控制域均有明确技术和管理措施,要实现数据访问控制、审计、备份、销毁的闭环管控。
身份与访问控制:要对应用程序、数据处理工具进行身份鉴别,严控数据源/存储系统控制权限;
安全审计:对数据处理活动中的重要操作过程及安全事件进行审计,数据传输、提供活动的审计记录需包含:数据对象描述、发送方、接收方、传输协议、时间、数据量、传输是否成功;
个人信息保护:在开发、测试环境中要对敏感个人信息进行去标识化;并对个人信息的批量查询、高频次查询进行限制;
数据溯源:采取技术措施(如水印技术)实现敏感数据在数据展示环节的可追溯性;
数据脱敏:根据数据的使用目的,采取相应的数据脱敏技术、数据脱敏规则和数据脱敏策略对敏感数据进行脱敏;
授权审批:数据收集环节审查审批;加工、共享交换、批量导入导出、公开发布、销毁等须审批;
资产管理:建立数据资产清单,包括数据类别、级别、责任部门、位置等。
三、第三级:重要数据,重点保护
第三级针对重要数据处理系统,要求全面升级,引入密码技术、实时监测、安全评估等高级措施。第三级要求中密码技术成标配,审计粒度到操作级,重要数据全链路可追溯、可管控,安全评估和事件上报成为法定义务。
通信网络:重要数据存储区域与公共网络逻辑隔离;管理境内流量,保证境内用户访问流量不会被路由到境外;
身份鉴别:重要数据处理系统,应采用口令、密码技术组合的鉴别技术;
访问控制:重要数据处理系统需对数据访问接口、数据服务的调用以及用户的查询、修改、删除、导出、共享、交换、备份、恢复等操作进行访问控制;
安全审计:重要数据处理系统要对数据访问接口、数据服务的调用以及用户的收集、查询、修改、删除、更新、导入、导出、共享、交换、备份、恢复等操作进行安全审计;记录日期、用户、进程、操作类型、对象、结果等;
数据完整性/保密性:密码技术保护传输与存储;重要数据加密存储,备份数据同步加密;
入侵防范:检测数据库入侵、异常访问,阻断高频调取、违规外传重要数据等行为并报警;
数据溯源:采取水印技术实现敏感数据在展示环节的可追溯性;
数据脱敏:对特定的数据使用场景实现数据静态脱敏或数据动态脱敏;
安全管理中心:集中管控数据安全策略,以及统一管理数据资产。重要数据处理系统,还需监测越权访问、高频访问、恶意操作等异常行为,并对重要数据跨境传输进行识别、监测、管控;
安全评估:重要系统每年要进行数据安全风险评估;
安全事件处置:重要数据或者十万人以上个人信息泄露、毁损、丢失等应按规定上报。
四、第四级:核心数据,极致防护
第四级针对核心数据处理系统,在第三级基础上进一步强化,体现“从严从重”原则,动态身份、动态权限、实时阻断、密文计算、资产地图、多人共管等,保障核心数据安全不留死角。
身份鉴别:基于口令、密码、生物识别等多因素,结合时间/IP/终端/行为形成动态组合鉴别策略;
访问控制:根据主体身份、鉴别方式、环境、行为、敏感性等形成动态、细粒度访问控制;
入侵防范:跨主体数据传输实时监测和内容检测,异常实时阻断;数据访问接口/服务调用实时监测,发现盗用/滥用及时阻断报警;
数据保密性:敏感数据提供给第三方计算时始终以密文形态;
安全管理中心:监测、分析、预测数据安全整体态势;
资产管理:建立数据资产地图,对特定数据对象标记跟踪,构建和维护数据血缘关系。
五、企业行动建议
定级对标:明确业务系统等保级别,逐条对照差距;
数据分类分级:参照GB/T 43697完成数据分类分级;
补齐能力:按各级要求补齐相关防护产品,如二级必备数据库审计、数据脱敏、数据防泄漏、数据库加密、API审计等;三级必备数据库审计、数据脱敏、数据水印溯源、数据安全管理平台、数据防泄漏、API审计、API脱敏水印等;
制度落地:覆盖数据全生命周期的安全管理制度,以及审批、应急、供应链管理等;
人员合规:定期培训、关键岗位多人共管。
等保数据安全新规的实施,标志着我国数据安全合规走向“刚性化”的新阶段。对于企业而言,这既是合规压力,更是夯实数据安全能力、规避风险的重要契机。
面对新等保的全面实施,企业需要的不只是一份合规清单,更需要能够真正落地的数据安全能力。昂楷科技深耕数据安全领域多年,已构建覆盖数据分类分级、数据脱敏、数据库加密、数据水印溯源、API审计与脱敏水印、数据安全综合治理平台的全栈解决方案,可精准对应新等保各级合规要求,助力企业高效完成合规建设。如需进一步了解昂楷数据安全解决方案,欢迎联系我们获取专属评估与支持。
