夜雨聆风
6月1日,等保制度迎来一次"历史性升级"——数据安全不再是一句"也要注意"的口号,而是有了独立的标准体系、独立的测评规范和独立的判定规则。
公安部于2025年底发布的四项GA/T标准同步实施:《数据安全建设指南》《数据安全测评规范》《数据安全测评判定规则》《数据安全测评流程规范》。这四份文件构成了数据安全从"建设到测评"的完整闭环。
翻译成大白话:以前等保过了,数据安全算"顺带过";现在不行了,数据安全要单独查、单独打分、单独出结论。
| 一、新规核心变化:数据安全"转正" |
这次升级最核心的变化,用一句话概括:数据安全从"系统安全的附属项"变成了"独立测评项"。
具体体现在三个层面:
| 测评 | ||
| 结论 | ||
| 范围 |
| 二、四项标准逐条拆解 |
标准一:GA/T 2380《数据安全建设指南》
告诉你"数据安全体系怎么搭"。核心思路是按数据全生命周期分阶段建设,覆盖采集、传输、存储、处理、交换、销毁六大环节。
标准二:GA/T 2381《数据安全测评规范》
告诉你"怎么查"。测评规范将数据安全检查分为管理制度、技术措施、人员能力和运行维护四个维度。
重要变化:测评规范要求按数据敏感度等级分别检查——不同等级的数据,安全措施要求不同。以前是"一刀切"看有没有加密,现在是"分级看":一般数据有基本措施就行,敏感数据必须有严格管控。
标准三:GA/T 2382《数据安全测评判定规则》
告诉你"查出来怎么判"。这是最受关注的一个标准——它直接决定了你的等保测评能不能过。
标准四:GA/T 2383《数据安全测评流程规范》
告诉你"测评过程怎么走"。规范了从测评准备→方案编制→现场测评→报告编制的完整流程,确保全国测评机构有统一的操作标准。
| 三、【可直接打印】数据安全专项自查表 |
以下是按新规整理的自查清单,每条对应标准中的关键检查项。打"✗"的项目就是整改重点。
| 四、给你的3条行动建议 |
① 立即做:拿出自查表逐条打分 不要等测评机构来查才发现问题。用上面的自查表,每条如实勾选。✗超过4条的,大概率需要在测评前完成整改。 |
② 做在前:制度文件不能"后补" 测评规范明确要求看制度文件的生效日期。6月1日后补的制度,测评时会被质疑"是不是为应付测评临时写出来的"。 |
③ 留痕迹:所有措施必须有记录 加密配置截图、备份记录、培训签到、审批日志——测评时"做了"不算,必须"有据可查"。没有痕迹的措施等于没做。 |
总结一句话:6月1日之后,数据安全不再是可以"顺带过"的附属项。它是独立考试,单独打分——而且你没法"裸考"。
— END —
下一篇预告:个人信息保护专项行动来了,IT部门要交哪些"作业"?关注「老任讲数安」,第一时间收到推送。
