工信部部署加強互聯(lián)網(wǎng)數(shù)據(jù)中心客戶數(shù)據(jù)安全保護

工業(yè)和信息化部近日印發(fā)通知，指導IDC業(yè)務經(jīng)營者加強客戶數(shù)據(jù)安全保護，提出明確安全責任界面、強化制度建設和組織保障、加強客戶管理、加強客戶數(shù)據(jù)安全保障、做好事件應急處置等工作要求。

附《通知》全文：

工業(yè)和信息化部辦公廳關于加強互聯(lián)網(wǎng)數(shù)據(jù)中心客戶數(shù)據(jù)安全保護的通知

工信廳網(wǎng)安〔2025〕5號

各省、自治區(qū)、直轄市通信管理局，中國電信集團有限公司、中國移動通信集團有限公司、中國聯(lián)合網(wǎng)絡通信集團有限公司，有關互聯(lián)網(wǎng)數(shù)據(jù)中心企業(yè)：

互聯(lián)網(wǎng)數(shù)據(jù)中心（以下簡稱IDC）作為新一代信息基礎設施，承載著千行百業(yè)的海量客戶數(shù)據(jù)，是關系國民經(jīng)濟命脈的重要戰(zhàn)略資源。提升IDC客戶數(shù)據(jù)安全保障能力，對于維護經(jīng)濟社會穩(wěn)定乃至國家安全至關重要。為指導IDC業(yè)務經(jīng)營者加強客戶數(shù)據(jù)安全保護，現(xiàn)將有關事項通知如下：

一、基本要求

（一）總體原則。根據(jù)《數(shù)據(jù)安全法》《網(wǎng)絡安全法》《網(wǎng)絡數(shù)據(jù)安全管理條例》《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法（試行）》等法律法規(guī)和政策要求，按照“權責一致、分類施策、技管結合、確保安全”的原則，加強客戶數(shù)據(jù)安全保障能力建設，提升客戶數(shù)據(jù)安全保護水平（具體實施指引見附件）。

（二）明確安全責任界面。在與客戶、第三方服務商等簽署的合同協(xié)議中，根據(jù)合作模式、內容等，明確各方數(shù)據(jù)安全保護責任義務。

（三）強化制度建設和組織保障。建立健全客戶數(shù)據(jù)安全管理制度，明確數(shù)據(jù)安全負責人和管理部門，強化客戶數(shù)據(jù)安全管理保障措施。

（四）加強客戶管理。建立客戶管理機制，按照客戶類別和數(shù)據(jù)保護需求，提供差異化安全保護措施供客戶選用。

（五）加強客戶數(shù)據(jù)安全保障。結合數(shù)據(jù)處理流程，明確數(shù)據(jù)訪問、操作、銷毀等重點環(huán)節(jié)的安全策略和流程機制，并做好數(shù)據(jù)隔離等保護措施。在實施可能影響客戶數(shù)據(jù)安全的高危操作和對外提供客戶數(shù)據(jù)前，應告知客戶并取得授權。根據(jù)業(yè)務實際情況，通過冗余設計等，提高業(yè)務連續(xù)性和穩(wěn)定性。

（六）做好事件應急處置。建立客戶數(shù)據(jù)安全事件應急預案，定期開展應急演練。因IDC業(yè)務經(jīng)營者原因引發(fā)客戶數(shù)據(jù)安全事件時，立即啟動應急處置措施，及時告知客戶，并按有關要求向電信主管部門報告。

（七）提供安全防護服務能力。根據(jù)業(yè)務實際情況，提供數(shù)據(jù)安全技術能力，以及網(wǎng)絡安全防護產(chǎn)品或服務供客戶選擇。

二、加強服務器托管業(yè)務場景保障能力

（八）保障機房設施安全。規(guī)范機房安全管理，配備物理安全保障措施，加強機房權限、人員值守、消防系統(tǒng)等的安全保障，及時發(fā)現(xiàn)、消除安全隱患，防止客戶數(shù)據(jù)損毀、丟失。

（九）做好設備供應鏈管理。涉及提供服務器、網(wǎng)絡設備等售賣、租賃服務的，加強設備采購安全管理，建立設備臺賬，做好設備上架前的安全檢查與定期維護更新，防范客戶數(shù)據(jù)被篡改、竊取。

三、加強數(shù)據(jù)存儲與計算業(yè)務場景保障能力

（十）保障數(shù)據(jù)存儲和計算安全。提供容災備份、校驗技術、密碼技術等數(shù)據(jù)安全保護能力，配備存儲和計算資源監(jiān)控技術能力，及時發(fā)現(xiàn)預警存儲和計算資源異常使用情形，做好資源動態(tài)調整分配，保障相關資源安全可用。

（十一）保障數(shù)據(jù)傳輸安全。提供數(shù)據(jù)加密、接口鑒權、安全審計等保護措施，加強數(shù)據(jù)安全風險監(jiān)測預警，提供數(shù)據(jù)流量異常、違規(guī)導出等安全風險的發(fā)現(xiàn)、告警與處置能力，協(xié)助客戶保障數(shù)據(jù)傳輸鏈路和接口安全。

（十二）強化重點服務安全管理。涉及提供人工智能訓練數(shù)據(jù)集管理功能的，提供保障客戶自有訓練數(shù)據(jù)集安全的能力，避免相關數(shù)據(jù)集被泄露、污染。涉及提供算力調度及算力服務的，做好算力調度策略安全管理，配備算力異常使用情況的監(jiān)測預警與應急處置能力，保障算力調度安全。

四、加強數(shù)據(jù)安全供給支撐

（十三）推進數(shù)據(jù)安全標準研制。工業(yè)和信息化部組織制定IDC業(yè)務客戶數(shù)據(jù)安全保護、能力評價等相關標準，明確IDC業(yè)務客戶數(shù)據(jù)通用及典型業(yè)務場景安全保護細則、責任劃分模型等，建立客戶數(shù)據(jù)安全保護能力分級評價體系，引導IDC業(yè)務經(jīng)營者提升客戶數(shù)據(jù)安全保護水平。

（十四）探索開展數(shù)據(jù)安全保護能力評價。IDC業(yè)務經(jīng)營者可自行或委托第三方專業(yè)機構定期開展客戶數(shù)據(jù)安全保護能力評價。鼓勵行業(yè)組織、專業(yè)機構依據(jù)能力評價結果，開展客戶數(shù)據(jù)安全保護能力分級，引導IDC業(yè)務客戶根據(jù)業(yè)務場景、數(shù)據(jù)重要程度等，按需選擇IDC業(yè)務。

五、工作實施

（十五）夯實客戶數(shù)據(jù)安全保護責任。IDC業(yè)務經(jīng)營者要高度重視客戶數(shù)據(jù)安全保護，強化責任擔當，結合本單位實際，積極加大資源投入，做好客戶數(shù)據(jù)安全保護工作，切實提升IDC業(yè)務服務水平。

（十六）加強督促指導。工業(yè)和信息化部、各地通信管理局加強對IDC業(yè)務客戶數(shù)據(jù)安全保護工作的督促指導，落實相關企業(yè)主體責任。