6月1日起等保数据安全新规实施——深圳企业应对全指南

光哥  |  华南腾飞科技

倒计时。2026年6月1日，公安部发布的四项网络安全等级保护数据安全公安行业标准——GA/T 2380、GA/T 2381、GA/T 2394、GA/T 2395-2026——将正式实施。这是等保制度实施以来，首次把数据安全作为独立体系全面纳入等保框架。这意味着，过去做等保"重系统轻数据"的时代彻底终结，数据安全从"附带要求"升级为"核心考核指标"。

深圳作为全国数字经济第一大市，2025年数字经济增加值突破1.5万亿元，占GDP比重超过40%。数据已经成为深圳企业的核心生产要素。新规落地后，哪些行业最先被波及？企业怎么自查、怎么整改、怎么达标？这篇指南不讲空话，只给可执行的方案。

一、倒计时！6月1日等保数据安全新规落地

2026年2月28日，公安部正式发布2026年第1号公告，批准了包括等保数据安全四项标准在内的28项公共安全行业标准。公告明确标注：2026年6月1日起实施。从发布到实施，留给企业的窗口期不到4个月——对于数据安全基础薄弱的企业来说，这个时间非常紧迫。

四项标准各有分工，缺一不可：

GA/T 2380-2026《网络安全等级保护数据安全基本要求》——核心标准。规定了第一至第四级等保对象的数据安全技术与管理要求，覆盖数据全生命周期。这是企业自查、整改的直接依据，也是本文重点解读的标准。

GA/T 2394-2026《网络安全等级保护数据安全测评要求》——明确测评项、方法与判定规则，告诉测评机构怎么判定企业是否达标。

GA/T 2395-2026《网络安全等级保护数据安全测评过程指南》——规范测评全流程步骤、文档与质量要求，确保测评过程可追溯。

GA/T 2381-2026《网络安全等级保护数据安全测评机构能力要求》——对测评机构的人员、工具、质量与合规能力提出要求，保障测评的专业性和公正性。

值得注意的是，这四项标准是在等保2.0现有标准（GB/T 22239-2019、GB/T 28448-2019、GB/T 28449-2019、GB/T 36959-2018）基础上，对数据安全防护框架的全面升级。同时与GB/T 45574-2025《敏感个人信息处理安全要求》、GB/T 35273-2020《个人信息安全规范》有效衔接。企业在合规时，不能孤立地看一个标准，而要把它放在整个法规框架下系统性推进。

二、哪些行业首当其冲？新规对深圳四大行业的影响

等保数据安全新规对全行业适用，但不同行业的数据敏感度、数据量和数据流转复杂度差异巨大，合规紧迫性也不同。以下四个行业是新规落地的"第一梯队"。

1. 金融行业

深圳作为金融中心，汇聚了银行、证券、保险、基金、消费金融等各类金融机构超过3000家。金融数据天然属于"重要数据"甚至"核心数据"范畴——客户的交易记录、信用评级、资产信息、身份资料，一旦泄露或被篡改，不仅直接影响客户权益，还可能引发系统性金融风险。GA/T 2380-2026中第三级（重要数据）和第四级（核心数据）的差异化保护要求，对金融行业的冲击最大。

典型差距：很多中小型金融机构的等保测评还停留在"系统层面"——做了防火墙、堡垒机、数据库审计就算过关。但新规要求数据全生命周期的安全防护，包括数据分类分级、加密存储、数据溯源、跨境传输管控、销毁记录留存等。特别是"数据溯源"和"跨境传输管控"两个新增要求，对金融行业的影响直接且深远。以深圳某城市商业银行为例，其核心系统数据涉及港澳业务往来，新规实施后必须建立跨境数据传输的专项安全评估机制，仅这一项就增加了近半年的合规工作量。

2. 医疗健康行业

医疗健康数据包含大量敏感个人信息和生物识别数据，属于GB/T 45574-2025《敏感个人信息处理安全要求》重点管控的对象。深圳全市有各类医疗机构超过4500家，其中三甲医院38家。医院HIS系统、电子病历系统、影像PACS系统中存储的患者数据，覆盖身份信息、病史记录、基因数据、用药记录等高敏感数据。新规要求这些数据在采集、传输、存储、使用、共享各环节均有明确的安全措施。

典型差距：多数医院的HIS系统建设较早，数据分类分级几乎空白，医生工作站、互联网诊疗平台、第三方检验机构的接口存在大量未加密的数据传输通道。新规实施后，医院需要在不影响诊疗效率的前提下，对现有系统进行全面的数据安全改造，难度不小。

3. 政务与公共服务行业

政务数据涵盖人口、法人、地理空间、电子证照等基础数据库，以及各委办局的专业业务数据。《政务数据共享条例》（2025年8月1日起施行）和等保数据安全新规形成双重合规压力。深圳政务数据共享平台已接入超过60个委办局、2000多个政务应用，日均数据交换量超过5000万条。这些数据的流转涉及跨部门、跨层级、跨系统，安全管控难度极大。

典型差距：政务系统普遍存在"数据目录不清晰、共享边界不明确、访问权限过于宽松"三大问题。新规要求"分类管控、全流程覆盖"，政务部门必须建立完整的数据资产台账，并对每一条数据流转路径定义安全策略。

4. 教育行业

深圳有各级学校超过2400所，师生总数超过280万人。教育系统掌握的学生数据包括身份信息、学业成绩、健康档案、家庭情况等。特别是随着"智慧校园"和在线教育平台的普及，学生数据的采集渠道越来越多，数据暴露面也越来越大。2025年全国教育行业数据泄露事件同比增长了52%，其中60%以上发生在高校。

典型差距：教育行业的IT安全投入普遍不足，很多学校的信息化系统由多家供应商分别建设，数据安全责任边界模糊，缺乏统一的数据安全管理机制。新规实施后，教育行政部门需要牵头建立全区（或全市）统一的数据安全管理框架。

三、企业自查清单：数据安全现状评估的10个关键问题

在正式开展合规整改之前，企业需要先做一次全面的数据安全现状自查。以下10个问题，基于GA/T 2380-2026的核心要求提炼，建议由CIO或CISO牵头，联合IT、法务、业务部门逐一回答。

问题1：你是否知道企业有哪些数据？——数据资产台账
企业是否建立了完整的数据资产清单？是否记录了每类数据的存储位置、数据量、责任人、敏感程度？很多企业对自身数据资产的认知停留在"大概知道有什么系统"层面，但具体每个系统里有什么数据、数据量多大、数据格式是什么，缺乏精确统计。
自查标准：能否在24小时内输出完整的数据资产清单（含数据分类、存储位置、数据量、责任人）？

问题2：数据分类分级做了没有？——分类分级制度
GA/T 2380-2026明确按照"核心数据、重要数据、一般数据"实施差异化保护。企业是否已经建立数据分类分级标准？是否对全部数据进行了分级标记？如果没有分类分级，后续所有安全措施都无从谈起——因为你不知道哪些数据需要最高等级的保护。
自查标准：是否有书面的数据分类分级管理制度？是否已完成全量数据的分级标记？

问题3：数据在传输过程中加密了吗？——传输安全
检查所有内部和外部数据传输通道：业务系统之间的API调用、数据库主从同步、文件传输、邮件发送、远程办公连接等。HTTPS是不是全线覆盖？数据库主从同步是否启用了SSL？敏感文件传输是否加密？
自查标准：所有涉及敏感数据的传输通道是否100%启用加密？是否定期检测加密协议版本（TLS 1.2及以上）？

问题4：数据存储是否加密？——存储安全
对于第三级（重要数据）和第四级（核心数据），GA/T 2380-2026明确要求加密存储。检查数据库中的敏感字段是否加密、备份数据是否加密、终端设备上的敏感文件是否加密。注意：加密不等于"数据库自带密码保护"，而是指数据本身使用合规加密算法进行密文存储。
自查标准：重要数据是否采用国密算法（SM2/SM3/SM4）或AES-256等合规加密算法进行加密存储？

问题5：谁能访问这些数据？——访问控制
检查数据访问权限的分配原则：是否遵循最小权限原则（Need-to-Know）？是否有基于角色的访问控制（RBAC）或基于属性的访问控制（ABAC）？特权账号（数据库DBA、系统管理员）的访问是否受控？是否启用了双因素认证？
自查标准：是否存在"超级账号"多人共享的情况？是否定期（至少每季度）审查和回收冗余权限？

问题6：数据操作能不能追溯？——审计与溯源
GA/T 2380-2026第三级和第四级均要求数据溯源能力。检查：是否有数据库审计系统？是否能记录谁在什么时间对哪些数据做了什么操作（增、删、改、查、导出）？审计日志是否防篡改、保留期是否满足要求（通常不少于6个月）？
自查标准：能否追溯过去90天内任意一条重要数据的完整访问和操作记录？

问题7：数据销毁有没有记录和验证？——数据安全销毁
新规首次把数据销毁纳入等保数据安全要求。企业的数据销毁流程是什么样的？硬盘下线后是直接扔掉还是做了物理粉碎？数据库删除操作是否只是"逻辑删除"（数据仍可恢复）？是否有销毁记录和第三方验证？
自查标准：是否有书面的数据销毁管理制度？销毁操作是否有记录并定期审计？

问题8：数据出境有没有评估？——跨境数据传输
深圳企业跨境业务活跃，涉及港澳及海外客户的企业数量众多。GA/T 2380-2026第三级以上要求跨境传输管控。检查：企业是否有数据出境行为？是否进行了数据出境安全评估？是否有数据出境审批流程和技术管控措施？
自查标准：是否存在将境内数据同步到境外服务器/云平台的场景？是否已完成数据出境安全评估？

问题9：有没有数据安全事件应急预案？——应急响应
检查企业是否有专门的数据安全事件应急预案？预案是否包含事件分级、响应流程、通报机制、取证和恢复措施？是否定期组织演练？很多企业的应急预案是"通用版网络安全应急预案"，没有针对数据泄露、数据篡改、数据丢失等特定场景的专项预案。
自查标准：是否有针对数据安全事件的专项应急预案？过去一年是否进行过至少一次演练？

问题10：有没有专门的数据安全负责人和团队？——组织保障
GA/T 2380-2026在管理体系保障类中明确组织架构和人员责任要求。企业是否设立了数据安全负责人（DPO或类似角色）？是否有专职或兼职的数据安全团队？数据安全职责是否清晰界定？
自查标准：是否有正式任命的数据安全负责人？数据安全职责是否写入岗位职责说明书？

四、合规整改路径：从差距分析到达标验收的4个阶段

完成自查之后，企业进入正式的合规整改阶段。根据我们服务深圳企业的经验，等保数据安全合规改造通常分为以下四个阶段。整个周期一般需要3-9个月，具体取决于企业的数据安全基础和系统复杂度。

第一阶段：差距分析与方案设计（第1-4周）

这个阶段的核心任务是"摸清家底"和"定好方案"。具体工作包括：

（1）组织数据资产盘点：利用自动化工具（如数据库扫描工具、数据发现工具）结合人工访谈，建立完整的数据资产清单。

（2）数据分类分级：根据行业标准和GA/T 2380-2026的要求，制定企业数据分类分级标准，完成全量数据的分级标记。

（3）差距分析：对照GA/T 2380-2026中对应等保级别的逐项要求，评估现有安全措施与标准要求的差距，输出差距分析报告。

（4）整改方案设计：根据差距分析结果，制定分阶段的整改方案，包括技术措施、管理措施、预算估算、时间计划。方案需覆盖"急用先行"的优先项目和长期完善项目。

第二阶段：技术措施落地（第5-12周）

技术方案是合规整改的"硬骨头"，也是投入最大的部分。典型的技术措施包括：

（1）数据加密部署：在数据库、存储系统、终端、传输通道等关键节点部署加密能力，确保重要数据在存储和传输过程中均为密文。对于金融、医疗等高敏感行业，建议采用国密算法体系。

（2）访问控制强化：部署零信任访问控制系统、数据库运维管控平台、特权账号管理系统，实现细粒度的数据访问权限管控。落实"最小权限"原则，消除共享账号和过度授权问题。

（3）数据库审计与监控：部署数据库审计系统，对数据库的所有操作进行实时监控和记录，确保数据操作可审计、可追溯。对于三级及以上系统，建议部署独立的数据库审计设备，与现有日志审计平台对接。

（4）数据脱敏与隔离：在开发测试环境、数据分析环境、第三方共享交换场景中，部署数据脱敏系统，确保敏感数据在非生产环境中不可识别。对于高度敏感的数据，建议采用数据隔离技术，限制数据流转范围。

（5）数据泄露监测与防护：部署终端DLP（数据防泄露）、网络DLP、API安全监测等能力，对数据的外发行为进行实时监控和阻断。

第三阶段：管理制度完善与人员培训（第8-16周，与第二阶段部分并行）

技术措施落地后，管理制度必须跟上。没有制度保障的技术措施，就像没有交通规则的红绿灯——装了也白装。这个阶段的工作包括：

（1）制定数据安全管理制度体系：包括数据安全总纲、数据分类分级管理制度、数据访问权限管理制度、数据安全审计制度、数据安全事件应急预案、数据销毁管理制度等。

（2）明确数据安全组织架构：设立数据安全领导小组（通常由CIO/CISO牵头）、数据安全执行团队、各部门数据安全联络员，形成"决策-执行-监督"三层架构。

（3）人员培训：对全体员工进行数据安全意识培训，对IT和安全人员进行数据安全技术培训，对管理层进行数据安全合规培训。培训记录需要留存，作为测评的证明材料。

（4）签署数据安全责任书：将数据安全责任落实到具体岗位和个人，签署保密协议和安全责任书。

第四阶段：自测评估与达标验收（第14-20周）

整改完成后，在正式测评之前，企业需要先做一轮自测评估：

（1）内部自测：对照GA/T 2380-2026和GA/T 2394-2026的测评项逐项自查，记录达标情况。可以使用深信服数据安全大脑等工具的自动化评估功能，提高效率。

（2）第三方预评估：邀请具有资质的测评机构进行预评估，发现遗漏和不足之处，进行最后整改。

（3）正式测评：委托符合GA/T 2381-2026要求的测评机构，按照GA/T 2395-2026规定的测评流程进行正式测评。

（4）持续运营：通过测评不是终点。数据安全是一项持续性的工作，需要定期审查、定期演练、定期更新安全策略。建议建立数据安全运营中心（SOC），实现数据安全态势的实时监测和持续改进。

五、深信服数据安全解决方案：产品矩阵 + 实施案例

面对等保数据安全新规的要求，企业需要一套完整的、可落地的技术方案。深信服作为国内网络安全领域的头部企业，其数据安全解决方案已经覆盖"合规驱动、风险防控、持续运营"三个层次，并且与等保2.0数据安全新规的要求高度匹配。

产品矩阵概览：

（1）深信服数据安全大脑——数据安全管理和态势感知平台。通过数据分类分级引擎、数据流转监测引擎、安全风险模型和机器学习技术，实现全量数据资产的自动发现、分类分级、风险识别和态势感知。是数据安全运营的"中枢大脑"。

（2）数据库安全审计系统——对数据库的所有访问和操作进行实时监控、记录和审计，支持SQL注入攻击检测、异常行为告警、审计报表自动生成。满足GA/T 2380-2026中审计监督类的核心要求。

（3）数据隔离脱敏系统——支持静态脱敏和动态脱敏两种模式，覆盖开发测试、数据分析、共享交换等场景，确保敏感数据在非生产环境中不可识别，同时保持数据可用性和一致性。

（4）零信任访问控制系统——基于身份的统一访问管控平台，实现细粒度的数据访问权限控制。支持动态权限评估、多因素认证、访问行为分析，覆盖办公访问、远程运维、第三方接入等场景。

（5）终端数据安全管理——包括终端数据加密、终端DLP（数据防泄露）、终端行为管控、终端入侵防范等能力，管控数据在终端侧的流转风险。

（6）数据泄露监测与溯源引擎（STP）——基于行为特性提取和泄露溯源技术，对终端、网络侧的数据泄露行为进行监测、分析和溯源，支持水印溯源和泄密事件取证。

（7）API安全风险监测——对企业所有API接口进行自动发现、风险检测和防护，覆盖API未授权访问、数据越权读取、敏感数据暴露等常见风险场景。

方案核心价值：

（1）精准检测，快速闭环——以数据为中心，将数据安全能力融入数据流动路径中，结合数据安全大脑的风险监测和零信任的访问防控，形成"发现-防护-监测-响应"的闭环能力。

（2）立足合规，防控风险——方案以合规要求为驱动，但不止于合规。优先防控重大数据安全风险，再逐步构建精细化的数据安全治理体系。

（3）广泛适配，快速落地——适配办公访问、运维开发、共享交换、云原生等各类数据处理场景，方案组件适配性优异，可在不影响业务运行的前提下快速部署。

（4）服务支撑，专业省心——提供数据安全风险评估、数据分类分级咨询、数据安全运营托管等专业服务，支撑技术方案的持续落地和优化。

六、真实案例：某深圳企业等保数据安全合规改造全过程

以下案例来自华南腾飞2025年下半年在深圳某企业的真实项目。为保护客户信息，企业名称做了匿名化处理。

企业背景：深圳某金融科技公司，员工规模约600人，核心业务为互联网消费金融和供应链金融。拥有3个等保三级系统：核心交易管理系统、客户信息管理系统、风控决策引擎系统。2025年9月，该公司接到深圳市公安局网络安全保卫支队的通知，要求在等保数据安全新规实施前完成数据安全合规改造。

第一步：数据资产盘点（第1-3周）

华南腾飞团队进场后，首先使用深信服数据安全大脑对客户3个核心系统的数据库进行了全量扫描，发现：3个系统共涉及128张数据表，存储数据量超过4.5TB，其中包含客户身份信息约180万条、银行卡信息约95万条、借贷交易记录约3200万条、风控评分数据约450万条。同时发现客户在测试环境中使用了与生产环境结构相同的数据库，且未做任何数据脱敏处理——这是一个严重的安全隐患。

第二步：数据分类分级（第3-5周）

基于扫描结果，结合金融科技行业的数据分类分级标准和GA/T 2380-2026的要求，团队帮助客户建立了三级数据分类体系：客户身份信息（身份证号、手机号、银行卡号等）定为"重要数据"，交易记录和风控数据定为"重要数据"，系统日志和统计数据定为"一般数据"。共梳理出47个重要数据字段，全部纳入重点保护范围。

第三步：差距分析（第5-6周）

对照GA/T 2380-2026中第三级等保数据安全要求，团队逐项评估了客户现有安全措施的达标情况，发现以下关键差距：

• 数据库中的47个重要数据字段均未加密存储，仅依赖网络层安全。
• 没有独立的数据库审计系统，现有日志系统只记录了登录事件，未记录SQL操作级别的数据访问行为。
• 开发测试环境直接拷贝生产数据，未做任何脱敏处理。
• 客户信息管理系统存在多个共享账号，权限管理过于粗放。
• 没有数据泄露监测系统，员工通过邮件、USB等方式外发数据无法感知。
• 没有专门的数据安全事件应急预案。
• 数据销毁流程不规范，旧硬盘直接交由普通回收商处理。

第四步：技术整改方案设计与部署（第7-14周）

基于差距分析结果，华南腾飞为客户部署了以下深信服数据安全产品：

（1）深信服数据库安全审计系统：部署在核心数据库前端，对全部SQL操作进行实时审计。配置了37条异常行为告警规则，包括批量导出检测、非工作时间异常访问、高频查询等。部署后第2周就捕获了一起内部人员非工作时间批量下载客户数据的行为，及时阻止了潜在的数据泄露。

（2）深信服数据隔离脱敏系统：对开发测试环境的数据库进行静态脱敏，采用替换、扰动、泛化等脱敏策略，确保测试数据不可逆向还原。同时配置动态脱敏策略，对非授权人员在生产环境中的敏感字段查询结果进行实时脱敏展示。

（3）深信服零信任访问控制系统：对核心交易管理系统和客户信息管理系统实施零信任访问管控。所有用户（含内部员工、运维人员、第三方合作人员）均需通过统一身份认证和动态权限评估后，方可访问对应数据。消除了3个历史遗留的共享账号。

（4）终端DLP与数据泄露监测：在全部600台员工终端上部署终端安全管理客户端，配置了USB外发管控、邮件外发审计、即时通讯文件传输监控等策略。同时部署了网络DLP，对出网流量中的敏感数据进行检测和告警。

（5）数据安全大脑：作为数据安全管理平台，整合了数据库审计、脱敏系统、零信任、DLP等多个组件的告警数据，实现了数据安全态势的统一视图和集中管理。

第五步：管理制度完善与人员培训（第10-16周）

在技术部署的同时，华南腾飞协助客户建立了完整的数据安全管理制度体系，包括：《数据分类分级管理制度》《数据访问权限管理办法》《数据安全审计管理办法》《数据安全事件应急预案》《数据销毁管理制度》等5项核心制度。组织全员数据安全培训2次（覆盖600人），组织安全团队专项技术培训3次，组织管理层数据安全合规培训1次。

第六步：自测评估与正式测评（第17-20周）

整改完成后，华南腾飞团队对照GA/T 2380-2026和GA/T 2394-2026的测评项进行了全面自测，确认所有关键测评项均已达标。随后委托具有资质的第三方测评机构进行正式测评。测评结果显示：3个等保三级系统的数据安全专项测评均通过，其中核心交易管理系统得分92分、客户信息管理系统得分88分、风控决策引擎系统得分90分。

项目总结：整个项目历时约20周，客户在深信服数据安全产品和华南腾飞专业服务的支撑下，从"数据安全基础薄弱"到"等保数据安全测评全面达标"，完成了一次系统性的数据安全能力提升。客户CTO的评价很实在："以前做等保，觉得买个设备、写份制度就能过关。这次数据安全专项测评让我们真正意识到，数据安全不是设备堆出来的，是一套需要持续运营的体系。"

七、FAQ 常见问题

Q1：6月1日之后不合规会被处罚吗？有没有缓冲期？
A：GA/T 2380-2026等四项标准属于公共安全行业标准，6月1日起正式实施后，网络安全监管部门可以依据这些标准对企业进行数据安全监督检查。虽然标准本身不是"处罚法"，但不达标意味着违反了《网络安全法》《数据安全法》中的相关条款，可能面临整改通知、罚款、暂停业务等处罚。目前公安部尚未明确宣布"缓冲期"，建议企业尽快启动自查整改，不要在红线边缘观望。对于已经完成等保测评但尚未覆盖数据安全专项的企业，建议立即启动差距分析，利用7-8月的时间窗口完成关键整改。

Q2：我们已经做过等保2.0测评了，还需要重新做吗？
A：需要。过去的等保2.0测评主要依据GB/T 22239-2019等标准，数据安全只是其中的一个子项。现在四项数据安全标准的发布，意味着数据安全从"子项"升级为"独立体系"。企业需要在原有等保测评的基础上，增加数据安全专项测评。具体方式可能是"扩展测评"（在原有测评基础上增加数据安全专项测评项）或"专项测评"（独立的数据安全测评），由测评机构根据实际情况确定。建议企业主动联系已合作的测评机构，了解具体的测评安排。

Q3：中小企业预算有限，数据分类分级这种"大工程"怎么做？
A：建议采取"急用先行、分步推进"的策略。第一步，先用自动化工具完成基础的数据资产发现和分类分级，覆盖核心业务系统中的关键数据，这个过程通常1-2周可以完成，费用可控。第二步，在后续工作中逐步完善分类分级制度和管理流程。深信服数据安全大脑提供了自动化的数据发现和分类分级能力，可以大幅降低人工成本。华南腾飞为中小企业提供的数据分类分级咨询方案，起步费用通常在3-8万元之间，远低于全面治理的费用。

Q4：数据加密会不会影响业务性能？
A：这是企业最关心的问题之一。确实，加密会增加一定的计算开销，但影响程度取决于加密方案的选择。数据库透明加密（TDE）对业务代码无侵入，性能损耗通常在5%-15%之间，对于大多数业务场景可以接受。应用层加密灵活度更高，但需要改造业务代码。建议在实施前进行性能基准测试，评估加密对核心业务的影响。深信服的数据库加密方案支持国密SM4算法，并通过硬件加速卡（如支持国密算法的加密机）可以进一步降低性能损耗。对于性能极度敏感的场景，可以采用字段级加密策略，仅对关键敏感字段进行加密。

Q5：选择测评机构有什么讲究？不是所有测评机构都能做数据安全测评吗？
A：不是。GA/T 2381-2026对测评机构提出了明确的能力要求，包括：团队中必须有数据安全专业背景的人员、测评工具必须符合标准要求、质量管理体系必须覆盖数据安全测评。建议企业在选择测评机构时，重点考察：（1）是否具备数据安全专项测评资质和经验；（2）团队中是否有持有CISP-DSG、CDSP等数据安全认证的专家；（3）是否有同行业的数据安全测评案例；（4）测评工具是否覆盖GA/T 2394-2026中定义的全部测评项。选择不合格的测评机构，测评结果可能不被监管部门认可，企业需要重新测评，浪费时间和金钱。

Q6：数据安全合规改造，是先做技术还是先做管理？
A：正确的做法是"管理先行，技术跟进，两者并行"。没有管理制度的技术措施是无根之木——比如，你部署了数据库审计系统，但如果没有"谁负责看审计日志、多久审查一次、发现问题怎么处理"的制度，这个审计系统就等于白装。反过来，只有制度没有技术支撑，制度也无法落地——比如你要求"所有数据操作必须审计"，但如果没有审计工具，这个要求就是一纸空文。在实践中，建议在差距分析阶段就同时设计管理制度和技术方案，在整改阶段并行推进。一般管理制度可以在3-4周内完成初稿，技术部署需要8-12周，两者在时间上可以重叠推进。

八、总结

2026年6月1日，等保数据安全新规正式实施。这不是一次普通的"标准更新"，而是中国数据安全治理体系的一次重大变革——数据安全从"系统安全的附属品"正式升级为"独立保护体系"。对深圳企业来说，这意味着合规压力骤然加大，但同时也是系统性提升数据安全能力的契机。

合规不是目的，安全才是。把数据安全建设仅仅当作"应付检查"，是对企业自身的不负责任。在数据泄露事件频发、网络攻击手段不断进化的今天，数据安全能力已经成为企业的核心竞争力之一——客户信任你，是因为他们相信你会保护好自己的数据。

华南腾飞科技作为深圳本地专业的网络安全与IT基础设施解决方案提供商，是深信服金牌代理商，已为500+政企客户提供安全合规服务。我们的数据安全服务团队由持有CISP-DSG、CDSP、CISP-PTE等认证的资深安全专家组成，覆盖数据安全风险评估、数据分类分级咨询、等保数据安全合规整改、数据安全产品部署、数据安全运营托管等全链路服务。如果您企业的等保数据安全合规改造还没有头绪，联系华南腾飞，我们提供免费的数据安全评估咨询和方案设计服务。

距离6月1日还有最后几天。不要等到检查来了才开始准备。现在行动，还来得及。