最近更新时间:2026-07-01 15:13:35 来源:51DNS.COM
2026年6月1日,GA/T2380-2026《数据安全基本要求》、GA/T2381-2026《网络安全等级保护测评机构能力要求》等四项公安行业数据安全标准正式落地执行,7月起剩余两项配套测评细则将全面上线,标志着国内网络安全等级保护正式告别以往单一的网络、主机、应用安全测评模式,全面进入系统安全+数据安全双向考核的新阶段,数据安全合规不合格将直接触发等保测评一票否决机制,即便网络边界、服务器、应用系统防护全部达标,只要数据全生命周期管理不符合规范,企业依旧无法通过等保测评。

本次6月新规是《网络安全法》《数据安全法》《个人信息保护法》三大法律法规在等保领域的落地细化,针对企业数据采集、存储、传输、共享、销毁全生命周期制定了强制性安全考核细则,重点聚焦个人敏感信息、经营核心数据、行业重要业务数据三大类数据资产的分级分类、脱敏加密、权限管控、安全审计工作。从6月各地第一批复测案例来看,数据安全合规问题超越传统主机漏洞、防火墙策略配置问题,成为等保整改排名第一的高频不合格项,大量电商、医疗、教育、互联网平台企业因为数据未分级、用户信息未脱敏、超范围收集个人信息、数据访问无审计记录被要求限期全面整改。
监管层面的处罚力度也同步升级,针对数据安全严重违规的企业,监管机构最高可处以一千万元的行政处罚,情节严重的还会责令暂停相关业务、停业整顿,相关责任人需要承担行政乃至刑事责任。以往很多企业将等保简单理解为部署防火墙、WAF、日志审计等安全设备,忽略数据资产本身的安全治理,在本次新规落地后,传统粗放式的等保建设模式已经完全无法满足合规要求,企业必须搭建从数据梳理到安全管控的全流程数据治理体系。

本次6月实施的等保数据安全标准,核心调整主要集中在四个维度。
第一,强制要求企业完成数据资产梳理与分级分类,企业需要全面盘点业务系统内存储的所有数据,按照公开数据、内部数据、敏感个人信息、核心绝密数据四个等级划分防护级别,针对不同等级数据配置差异化的加密、访问、脱敏管控策略,没有完成分级分类台账建立的系统直接判定不合格。很多中小企业没有梳理数据资产的意识,无法清晰说明系统存储了哪些用户信息、数据流转去向,成为首要整改雷区。
第二,个人敏感信息必须实现存储脱敏、传输加密,用户身份证、手机号、银行卡、家庭住址等隐私数据,不能以明文形式存储在数据库、日志文件、备份服务器中,需要采用脱敏掩码、对称加密方式处理,防止数据库泄露后批量用户信息外泄。同时数据在内外网、上下游合作单位之间传输时,必须采用SSL/TLS加密通道传输,禁止明文跨网传输敏感数据。
第三,数据访问权限最小化与全行为审计,严格遵循最小权限分配原则,运维人员、业务操作人员只能访问本职工作必需的数据资源,禁止超权限分配数据库管理员、系统超级账号;所有数据查询、导出、修改、删除操作必须完整记录操作人员、操作时间、操作内容、操作IP地址,审计日志留存不少于6个月,支持事件溯源复盘。不少企业存在多人共用超级管理员账号、数据批量导出无审批留痕的违规场景,均不符合新规要求。
第四,新增数据共享、出境安全管控考核,企业向第三方合作机构提供用户数据前,必须获取用户明确授权,签订数据安全共享协议,明确数据使用范围、安全防护责任;涉及数据向境外传输的业务,必须完成数据出境安全评估,未经评估不得跨境传输个人信息与重要行业数据。6月多地网信办联合公安开展App个人信息专项检查,多款应用因违规收集、共享用户隐私数据被通报下架整改。
6月5日官方正式发布云环境下等保测评实施指引,清晰划分云服务商与企业租户双方的安全责任边界,也是本次数据安全新规落地后的重要配套指导文件。很多上云企业频繁出现等保整改不通过,核心误区就是混淆双方安全责任:云服务商负责机房物理安全、虚拟化底层防护、云平台边界防火墙、基础设施运维安全;企业租户需要自行负责业务应用系统、数据库数据安全、账号权限管理、数据脱敏加密、业务漏洞修复、操作行为审计等内容,不能将数据安全合规责任全部转嫁至云厂商。
部分企业错误认为上云之后所有网络安全、数据安全责任由云服务商承担,自身无需做数据治理、权限管控,导致数据库弱口令、明文存储用户信息、超级账号滥用等大量违规问题出现。测评机构明确要求云租户必须单独出具双方安全责任划分清单归档留存,清晰列明各自需要落实的安全防护措施,未提供责任清单的云系统无法进入正式测评环节。针对多租户SaaS平台类业务,平台运营方需要承担全部用户数据安全管理责任,做好租户之间的数据隔离、访问权限隔离,防止越权访问、数据泄露。
想要适配6月最新等保数据安全标准,企业可以按照五步流程完成合规建设。
第一步,全面梳理数据资产,盘点所有业务系统、数据库、备份文件、日志中的数据类型,编制数据资产台账,完成数据分级分类定级,明确敏感数据范围、数据采集来源、数据流转去向。
第二步,落实敏感数据安全防护,对身份证、手机号等隐私字段做脱敏存储,数据库部署透明加密工具,内外网数据传输全程采用HTTPS加密通道,关闭明文传输接口。
第三步,优化账号权限体系,清理共用超级账号,按照岗位分配最小权限,上线堡垒机、数据库审计系统,所有数据操作行为全量日志留存,定期开展权限审计清理闲置账号、离职人员权限。
第四步,完善数据安全管理制度,制定数据采集、共享、销毁、应急处置管理规范,落实用户授权机制,第三方数据合作签订安全协议,涉及跨境业务提前完成数据出境评估。第五步,定期开展数据安全风险自查,每季度做一次漏洞扫描、渗透测试,针对数据泄露风险制定应急预案,发生数据安全事件及时上报监管部门。
随着数据成为数字时代核心生产要素,数据安全必然会成为未来等保、网信、个人信息保护多维度监管的核心重点。企业不能再用传统设备堆砌的思路应对等保测评,需要从数据治理顶层设计入手,建立全生命周期数据安全管理体系,既顺利通过等保合规测评规避行政处罚,也守住用户个人信息安全底线,实现业务合规可持续发展。