2026年6月1日,公安部GA/T 2380-2026《网络安全等级保护数据安全基本要求》正式生效。等保进入"系统安全+数据安全"双核合规时代——数据安全单独打分,不达标直接一票否决,整体等保驳回。企业网站再也不能只管防火墙不管数据了。
旧版等保2.0(GB/T 22239-2019)以网络、主机、应用安全为核心,数据安全只是附加小项。新版GA/T 2380彻底重构:
| 对比维度 | 旧版等保2.0 | 新规GA/T 2380-2026 |
|---|---|---|
| 考核模式 | 网络/主机为主,数据为附加 | 系统安全+数据安全双独立考核 |
| 数据安全 | 加分项,容错率高 | 独立闭环,33项红线一票否决 |
| 加密要求 | HTTPS即可 | 三级强制国密SM2/SM3/SM4 |
| 覆盖范围 | 等保一至四级 | 等保一至四级+数据全生命周期8环节 |
新规要求覆盖数据8大生命周期,每一环节都有硬性合规要求:
禁止超范围采集用户信息;敏感个人信息单独授权,杜绝捆绑同意;数据源头绑定不可篡改安全标签。你的网站询盘表单只收集必要字段,这条就算过关。
三级及以上系统敏感字段禁止明文存储;不同级别数据禁止混存;备份数据同步加密。如果你的用户密码、手机号还是明文存在数据库里,这条直接否决。
测试环境零裸数据;内外网传输全链路加密;第三方共享需签订专项数据安全协议,禁止二次转包。网站与第三方API对接时,数据传输必须加密+日志留存。
核心数据严禁对外公示;电子数据覆写销毁而非简单删除;区分可逆去标识与不可逆匿名化,简单脱敏不可替代重要数据加密防护。
⚠️ 三级系统硬性要求(政务/医疗/金融/能源核心系统):
✅ 敏感数据存储+传输强制国密SM2/SM3/SM4
✅ 核心/重要/一般数据逻辑或物理隔离,异地加密备份
✅ 测试/开发环境禁止裸敏感数据
✅ 普通日志留存≥1年,共享/跨境日志≥3年,日志WORM防篡改
✅ 搭建数据资产地图+数据血缘流向图
✅ 重要数据出境前置安全评估
对于大多数企业官网而言,核心涉及的是用户询盘数据(姓名、电话、咨询内容)。这类数据虽不一定是三级系统,但至少需满足二级要求:账号多因素认证、最小权限管控、数据传输加密、对外共享审批、泄露应急预案。
新规最大影响不是技术成本,而是思维方式转变。过去很多企业是"先把网站做上线,等保测评时再补",现在这条路走不通了——数据安全不达标,系统安全做得再好也整体否决。
设计即合规的三个关键动作:
1. 建站初期就纳入合规方案——隐私政策生成、Cookie同意机制、数据加密传输,在建站阶段就完成,而非上线后再补
2. 选择具备合规知识储备的服务商——金融/医疗/教育等行业有额外监管要求,服务商必须懂行
3. 定期等保测评+年度风险评估——等保不是一次性的,三级以上系统每年需提交测评报告
企业官网需要做几级等保?
大多数企业官网属于二级(指导保护)。如果涉及在线交易、用户超10万、或属于金融/医疗/政务行业,通常需要三级(监督保护)。具体定级需结合系统重要性和数据敏感度综合评估。
已有等保备案的网站需要重新测评吗?
需要。新规6月1日生效后,后续测评按GA/T 2380-2026标准执行。之前通过的等保2.0测评不覆盖数据安全独立考核项,需补充整改后重新测评。
网站只收集姓名和电话,合规压力大吗?
手机号属于敏感个人信息,需要单独授权、加密存储、传输加密。如果还做了IP频率限制和验证码防护,基本满足二级要求。但需注意日志留存(≥1年)和应急预案的文档化。
额!本文竟然没有沙发!你愿意来坐坐吗?
欢迎 发表评论