備受關注的《信息安全技術 網絡安全等級保護數據安全基本要求》（GA/T 2380-2026）今日正式實施。這份標準的核心是將《數據安全法》《個人信息保護法》要求轉化為等保1-4級細粒度、可落地的數據安全保護要求，是等保測評中數據安全維度的直接依據。這意味著，等保合規不再只是“過關”，數據安全能力是否到位，將直接決定企業能否在新一輪測評中達標。本文從一至四級逐一拆解新標準核心要求，幫助企業快速厘清合規差距、明確建設方向。

圖示：《信息安全技術 網絡安全等級保護數據安全基本要求》整體結構

一、第一級：基礎防護，守住安全底線

第一級系統雖然要求相對基礎，但已明確數據安全的“底線思維”。主要是重“意識”與“基礎動作”，敏感個人信息去標識、展示脫敏、介質管控是入門三件事；

• 安全計算環境：開發/測試環境使用個人信息時，敏感個人信息須去標識化；

• 安全數據處理：界面展示環節須對敏感個人信息脫敏；

• 安全管理制度：制定覆蓋全流程數據處理活動的安全管理制度。

二、第二級：制度+技術閉環，強化基礎管控

第二級要求顯著提升，要求全面升級，各控制域均有明確技術和管理措施，要實現數據訪問控制、審計、備份、銷毀的閉環管控。

• 身份與訪問控制：要對應用程序、數據處理工具進行身份鑒別，嚴控數據源/存儲系統控制權限；

• 安全審計：對數據處理活動中的重要操作過程及安全事件進行審計，數據傳輸、提供活動的審計記錄需包含：數據對象描述、發送方、接收方、傳輸協議、時間、數據量、傳輸是否成功；

• 個人信息保護：在開發、測試環境中要對敏感個人信息進行去標識化；并對個人信息的批量查詢、高頻次查詢進行限制；

• 數據溯源：采取技術措施（如水印技術）實現敏感數據在數據展示環節的可追溯性；

• 數據脫敏：根據數據的使用目的，采取相應的數據脫敏技術、數據脫敏規則和數據脫敏策略對敏感數據進行脫敏；

• 授權審批：數據收集環節審查審批；加工、共享交換、批量導入導出、公開發布、銷毀等須審批；

• 資產管理：建立數據資產清單，包括數據類別、級別、責任部門、位置等。

三、第三級：重要數據，重點保護

第三級針對重要數據處理系統，要求全面升級，引入密碼技術、實時監測、安全評估等高級措施。第三級要求中密碼技術成標配，審計粒度到操作級，重要數據全鏈路可追溯、可管控，安全評估和事件上報成為法定義務。

• 通信網絡：重要數據存儲區域與公共網絡邏輯隔離；管理境內流量，保證境內用戶訪問流量不會被路由到境外；

• 身份鑒別：重要數據處理系統，應采用口令、密碼技術組合的鑒別技術；

• 訪問控制：重要數據處理系統需對數據訪問接口、數據服務的調用以及用戶的查詢、修改、刪除、導出、共享、交換、備份、恢復等操作進行訪問控制；

• 安全審計：重要數據處理系統要對數據訪問接口、數據服務的調用以及用戶的收集、查詢、修改、刪除、更新、導入、導出、共享、交換、備份、恢復等操作進行安全審計；記錄日期、用戶、進程、操作類型、對象、結果等；

• 數據完整性/保密性：密碼技術保護傳輸與存儲；重要數據加密存儲，備份數據同步加密；

• 入侵防范：檢測數據庫入侵、異常訪問，阻斷高頻調取、違規外傳重要數據等行為并報警；

• 數據溯源：采取水印技術實現敏感數據在展示環節的可追溯性；

• 數據脫敏：對特定的數據使用場景實現數據靜態脫敏或數據動態脫敏；

• 安全管理中心：集中管控數據安全策略，以及統一管理數據資產。重要數據處理系統，還需監測越權訪問、高頻訪問、惡意操作等異常行為，并對重要數據跨境傳輸進行識別、監測、管控；

• 安全評估：重要系統每年要進行數據安全風險評估；

• 安全事件處置：重要數據或者十萬人以上個人信息泄露、毀損、丟失等應按規定上報。

四、第四級：核心數據，極致防護

第四級針對核心數據處理系統，在第三級基礎上進一步強化，體現“從嚴從重”原則，動態身份、動態權限、實時阻斷、密文計算、資產地圖、多人共管等，保障核心數據安全不留死角。

• 身份鑒別：基于口令、密碼、生物識別等多因素，結合時間/IP/終端/行為形成動態組合鑒別策略；

• 訪問控制：根據主體身份、鑒別方式、環境、行為、敏感性等形成動態、細粒度訪問控制；

• 入侵防范：跨主體數據傳輸實時監測和內容檢測，異常實時阻斷；數據訪問接口/服務調用實時監測，發現盜用/濫用及時阻斷報警；

• 數據保密性：敏感數據提供給第三方計算時始終以密文形態；

• 安全管理中心：監測、分析、預測數據安全整體態勢；

• 資產管理：建立數據資產地圖，對特定數據對象標記跟蹤，構建和維護數據血緣關系。

五、企業行動建議

• 定級對標：明確業務系統等保級別，逐條對照差距；

• 數據分類分級：參照GB/T 43697完成數據分類分級；

• 補齊能力：按各級要求補齊相關防護產品，如二級必備數據庫審計、數據脫敏、數據防泄漏、數據庫加密、API審計等；三級必備數據庫審計、數據脫敏、數據水印溯源、數據安全管理平臺、數據防泄漏、API審計、API脫敏水印等；

• 制度落地：覆蓋數據全生命周期的安全管理制度，以及審批、應急、供應鏈管理等；

• 人員合規：定期培訓、關鍵崗位多人共管。

等保數據安全新規的實施，標志著我國數據安全合規走向“剛性化”的新階段。對于企業而言，這既是合規壓力，更是夯實數據安全能力、規避風險的重要契機。

面對新等保的全面實施，企業需要的不只是一份合規清單，更需要能夠真正落地的數據安全能力。昂楷科技深耕數據安全領域多年，已構建覆蓋數據分類分級、數據脫敏、數據庫加密、數據水印溯源、API審計與脫敏水印、數據安全綜合治理平臺的全棧解決方案，可精準對應新等保各級合規要求，助力企業高效完成合規建設。如需進一步了解昂楷數據安全解決方案，歡迎聯系我們獲取專屬評估與支持。