2026年6月,等保测评迎来史上最严升级。公安部发布GA/T 2380-2026新规,数据安全从"加分项"变成"必选项"——数据项不达标,整体等保直接驳回。企业官网不再是"有则锦上添花"的展示页,而是网络安全的法定责任主体。上线超半年未完成等保备案,已经有多家企业被警方处罚。
旧版等保2.0以网络、主机、应用安全为核心,数据安全只是附加小项;新版GA/T 2380-2026新增独立数据安全防护域,系统安全+数据安全双独立考核。这意味着,即便防火墙、WAF、主机防护全部达标,只要数据安全章节不合格,整体直接不通过。
拒不整改或整改不到位,罚款上限从100万直接飙升至1000万。情节严重的,可责令暂停相关业务、停业整顿、关闭网站、吊销许可证。三级系统复测周期从两年一次缩短为一年一次,安全投入变成持续性成本。
AI大模型训练平台、物联网设备管理平台、边缘计算节点全部纳入等保定级范围。涉及用户个人信息超过100万条的系统,原则上必须定三级。
| 阶段 | 红线要求 | 常见踩坑 |
|---|---|---|
| 收集 | 最小必要原则,敏感信息单独授权 | 超范围采集,捆绑同意 |
| 存储 | 三级以上敏感字段禁止明文存储 | 办公电脑裸存千条隐私,无加密 |
| 使用 | 测试环境零裸数据,批量导出多级审批 | 开发/报表环境直接用真实数据 |
| 传输 | 内网外网全链路加密 | 明文内网传输敏感数据 |
| 共享 | 外包合作从严管控,禁止二次转包 | 第三方接口无安全协议 |
| 销毁 | 电子数据覆写销毁,四级物理粉碎 | 简单删除清空了事 |
⚠️ 真实案例警醒
山西某环保科技公司官网上线超半年,始终未完成等保备案,无安全管理制度、无应急预案,全程"零防护、零应对、零备案"裸奔运营,被警方依法处罚。某商贸公司办公电脑无加密存储上千条用户隐私信息,同样被处罚。合规不是成本,而是投资——投资的是企业的生命线。
Q:企业官网需要做等保吗?
A:只要网站对外提供网络服务,就属于网络运营者,依法应当完成等保备案。尤其是涉及用户注册、在线交易、信息收集的官网,更不能忽视。上线超半年未备案,已经构成违法。
Q:二级和三级等保有什么区别?
A:二级为基础防护(中小型官网),需完成数据资产梳理、基础脱敏、简易安全制度;三级为硬核强制(涉及百万用户信息),需国密加密、存储隔离、日志WORM防篡改、数据资产地图等。三级系统复测周期一年一次。
Q:等保测评大概需要多少钱?
A:二级等保测评费用约3-5万,三级约8-15万,不含整改投入。具体费用取决于系统复杂度和测评机构报价。建议选择有资质、有经验的测评机构,避免反复整改增加成本。
Q:网站已经有了SSL证书,算合规吗?
A:SSL证书只是传输加密,远不等同于等保合规。2026年新规要求三级系统强制使用国密SM2/SM3/SM4算法,单纯HTTPS方案已被淘汰。合规需要覆盖数据全生命周期的技术防护+管理制度+审计监督三大体系。
额!本文竟然没有沙发!你愿意来坐坐吗?
欢迎 发表评论