1. 制定目的和依据
这套标准是我国网络安全等级保护(简称"等保")体系第一个数据安全专项标准,核心目的是把《数据安全法》《个人信息保护法》的原则性要求,转化为等保测评中可落地、可检查的具体规则,填补了等保体系在数据安全细化要求上的空白,标志着等保从"只关注系统安全"进入"系统安全+数据安全并重"的新阶段。
它是以原有等保基础标准《GB/T 22239-2019》为基础制定的,同时和《个人信息安全规范》《敏感个人信息处理安全要求》等现有标准做好了衔接。
2. 适用范围
所有办理了等保定级备案的网络运营者(包括企事业单位、政务系统、关键信息基础设施运营方)都需要遵守,覆盖数据从收集、传输、存储到销毁的全生命周期,所有数据安全相关场景都适用。
该标准将于2026年6月1日正式施行,施行后等保测评的 data安全维度必须以它为测评基线。
3. 核心概念解释
网络安全等级保护:我国对网络和数据安全的基础性管理制度,把信息系统从低到高分为1-4级,等级越高安全要求越严格
差异化保护:根据数据重要程度(一般数据/重要数据/核心数据/敏感个人信息),不同等级对应不同强度的安全要求,避免过度防护或防护不足
二、拆解核心规则:搞懂"要求做什么、怎么做"
这套标准的核心框架是「1个核心+3大支撑」,通俗来讲就是围绕数据全生命周期,从技术、管理、审计三个维度明确要求:
表格
| 维度 | 核心要求(通俗版) |
| 数据全生命周期(核心) | 收集要合规授权、传输要加密防窃听、存储要按级别隔离加密、使用要控权限、敏感数据要脱敏、对外提供要审批、销毁要彻底可追溯 |
| 技术防护支撑 | 要能自动识别敏感数据、按级别设访问权限、加密密钥要单独管、敏感信息脱敏后不能还原、要做好备份防丢失 |
| 管理保障支撑 | 要有专门的负责人和明确制度、对员工做数据安全培训、供应链和应急方案都要提前准备 |
| 审计监督支撑 | 所有操作都要留日志、日志不能删改、三级及以上系统日志要存满180天、出问题能追到责任人 |
核心特点:分级管控,要求逐级增强
标准针对1-4级不同等保系统,提出了差异化要求,力度逐级提高:
1级(一般数据):基础要求底线——敏感个人信息展示要脱敏,日志最少存6个月,无高风险问题就能通过
2级(重要数据):强化身份和访问管控,要求完善数据分类分级,做好存储备份,高风险问题必须整改才能过
3级(重要/核心数据):最常见的重点要求——全流程严格管控,核心数据要加密存储、做逻辑隔离,必须管控跨境数据传输,高风险问题零容忍
4级(核心数据):最高等级要求——必须用动态多因素身份验证、全流程实时审计监测,应急响应不能超过30分钟,所有要求必须100%符合
三、深化理解:标准背后的变化和意义
从"纸面合规"到"技术落地":之前很多单位数据分类分级只做了Excel表格,新标准要求分级结果必须落到存储层——不同安全级别的数据要存在隔离的存储区域,高级别数据必须加密,访问策略和级别绑定,不能只停留在文档层面。
补上了内网防护的短板:之前很多单位只做了外网(南北向)防护,内网各业务之间没有隔离,新标准要求必须做微隔离,对虚拟机、容器之间的流量做细粒度管控,避免攻击者攻破一个节点后在内网随意游走。
明确了特权账号和跨境管控要求:管理员、数据库账号这些特权账号操作必须全程留痕,审计数据要和业务数据分开存;对出境数据的管控必须落到网络层,能直接按IP段拦截,不能只靠合同约束。
四、落地实操:私有云场景的5个自查重点
对于企业私有云平台,按照新标准需要重点自查这5个方向:
数据分级落地:是否支持在存储卷绑定加密和访问策略,密钥是不是由独立服务单独托管?
微隔离管控:虚拟机之间是否有独立安全组策略,能不能随时追加隔离规则,变更有审计记录吗?
特权账号审计:有没有专门的堡垒机管理特权账号,操作是否录屏,审计数据存在独立存储吗,留存周期满足要求吗?
数据流向管控:能不能按目的地IP段管控出站流量,境外回传数据能在网络层直接拦截,有拦截日志吗?
备份加密:备份数据是否独立加密,备份密钥和生产密钥是不是分开管理,避免生产密钥泄露后备份也被盗取。
