GA/T 2394网络安全等级保护
数据安全测评要求解析
上篇文章主要针对等保数据安全系列标准介绍进行了总体介绍,并针对GA/T 2380—2026《信息安全技术 网络安全等级保护数据安全基本要求》进行了深入解读,本篇将继续针对GA/T 2394—2026《信息安全技术 网络安全等级保护数据安全测评要求》进行标准解析。
GA/T 2394—2026是网络安全等级保护数据安全系列标准的重要组成部分,该标准中测评指标依据GA/T 2380—2026编制,测评框架与流程遵循GB/T 28448—2019《信息安全技术 网络安全等级保护测评要求》,是两项标准在数据安全测评实施层面的延续、细化与落地支撑。
GA/T 2394—2026在GB/T 28448—2019的基础上将数据全生命周期的应用场景相关的安全测评要求进行细化和扩展,规定了第一级至第四级等级保护对象的数据安全测评要求,适用于网络安全等级测评服务机构开展数据安全测评,数据运营使用单位进行数据安全自评,并为网络安全监管部门开展数据安全监督检查提供参考。
该标准共设11章及2个附录,全面构建等级保护框架下数据安全测评体系,在等级保护传统10大类安全测评基础上,新增“安全数据处理”测评大类,完整覆盖数据收集、存储、使用、加工、传输、提供、公开、销毁全生命周期。
在测评分类方面,划分两类测评,明确测评重点。标准将数据安全测评划分为数据安全专项测评和数据安全扩展测评两类——数据安全专项测评以数据为核心对象,开展数据全生命周期评估;数据安全扩展测评以信息系统为对象,在等级测评中同步补充数据安全测评内容。标准分别明确了两类测评的适用场景、实施流程、指标选取规则与结果分析方法;针对未定级或安全保护等级不足的系统,明确重要数据处理系统按第三级、核心数据处理系统按第四级选取测评指标并开展测评的原则。
在测评实施方面,测评力度与等保体系协同一致。标准针对GA/T 2380—2026的每条要求分别形成一个测评单元,规定测评对象、测评实施和单元判定,测评对象和测评实施编制过程中充分考虑系统和数据级别,安全等级越高,测评深度与广度越大,同一级别测评力度与GB/T 28448—2019保持一致,在测评实施中全面体现网络安全等级保护要求和数据分级保护要求。
在综合判定方面,标准化测评支撑,统一判定原则。标准附录给出数据处理活动与测评单元参考关系,为测评指标的选取提供指导,支撑测评工作标准化、规范化开展。标准通过数据安全问题被威胁利用的可能性和被威胁利用后的影响程度,综合分析被测数据的安全风险。并结合等级测评结果、数据安全测评结果进行综合评价,给出符合、基本符合、不符合三类测评结论。测评结论与等级测评保持一致,为测评机构实施测评、运营使用单位开展自评估、行业主管部门进行监督检查提供统一评判标尺。
