工信部：加強互聯(lián)網數(shù)據中心客戶數(shù)據安全保護

飛象網訊（致新/文）1月15日消息，工信部昨日下發(fā)《工業(yè)和信息化部辦公廳關于加強互聯(lián)網數(shù)據中心客戶數(shù)據安全保護的通知》。

工業(yè)和信息化部辦公廳關于加強互聯(lián)網數(shù)據中心客戶數(shù)據安全保護的通知

工信廳網安〔2025〕5號

各省、自治區(qū)、直轄市通信管理局，中國電信集團有限公司、中國移動通信集團有限公司、中國聯(lián)合網絡通信集團有限公司，有關互聯(lián)網數(shù)據中心企業(yè)：

互聯(lián)網數(shù)據中心（以下簡稱IDC）作為新一代信息基礎設施，承載著千行百業(yè)的海量客戶數(shù)據，是關系國民經濟命脈的重要戰(zhàn)略資源。提升IDC客戶數(shù)據安全保障能力，對于維護經濟社會穩(wěn)定乃至國家安全至關重要。為指導IDC業(yè)務經營者加強客戶數(shù)據安全保護，現(xiàn)將有關事項通知如下：

一、基本要求

（一）總體原則。根據《數(shù)據安全法》《網絡安全法》《網絡數(shù)據安全管理條例》《工業(yè)和信息化領域數(shù)據安全管理辦法（試行）》等法律法規(guī)和政策要求，按照“權責一致、分類施策、技管結合、確保安全”的原則，加強客戶數(shù)據安全保障能力建設，提升客戶數(shù)據安全保護水平（具體實施指引見附件）。

（二）明確安全責任界面。在與客戶、第三方服務商等簽署的合同協(xié)議中，根據合作模式、內容等，明確各方數(shù)據安全保護責任義務。

（三）強化制度建設和組織保障。建立健全客戶數(shù)據安全管理制度，明確數(shù)據安全負責人和管理部門，強化客戶數(shù)據安全管理保障措施。

（四）加強客戶管理。建立客戶管理機制，按照客戶類別和數(shù)據保護需求，提供差異化安全保護措施供客戶選用。

（五）加強客戶數(shù)據安全保障。結合數(shù)據處理流程，明確數(shù)據訪問、操作、銷毀等重點環(huán)節(jié)的安全策略和流程機制，并做好數(shù)據隔離等保護措施。在實施可能影響客戶數(shù)據安全的高危操作和對外提供客戶數(shù)據前，應告知客戶并取得授權。根據業(yè)務實際情況，通過冗余設計等，提高業(yè)務連續(xù)性和穩(wěn)定性。

（六）做好事件應急處置。建立客戶數(shù)據安全事件應急預案，定期開展應急演練。因IDC業(yè)務經營者原因引發(fā)客戶數(shù)據安全事件時，立即啟動應急處置措施，及時告知客戶，并按有關要求向電信主管部門報告。

（七）提供安全防護服務能力。根據業(yè)務實際情況，提供數(shù)據安全技術能力，以及網絡安全防護產品或服務供客戶選擇。

二、加強服務器托管業(yè)務場景保障能力

（八）保障機房設施安全。規(guī)范機房安全管理，配備物理安全保障措施，加強機房權限、人員值守、消防系統(tǒng)等的安全保障，及時發(fā)現(xiàn)、消除安全隱患，防止客戶數(shù)據損毀、丟失。

（九）做好設備供應鏈管理。涉及提供服務器、網絡設備等售賣、租賃服務的，加強設備采購安全管理，建立設備臺賬，做好設備上架前的安全檢查與定期維護更新，防范客戶數(shù)據被篡改、竊取。

三、加強數(shù)據存儲與計算業(yè)務場景保障能力

（十）保障數(shù)據存儲和計算安全。提供容災備份、校驗技術、密碼技術等數(shù)據安全保護能力，配備存儲和計算資源監(jiān)控技術能力，及時發(fā)現(xiàn)預警存儲和計算資源異常使用情形，做好資源動態(tài)調整分配，保障相關資源安全可用。

（十一）保障數(shù)據傳輸安全。提供數(shù)據加密、接口鑒權、安全審計等保護措施，加強數(shù)據安全風險監(jiān)測預警，提供數(shù)據流量異常、違規(guī)導出等安全風險的發(fā)現(xiàn)、告警與處置能力，協(xié)助客戶保障數(shù)據傳輸鏈路和接口安全。

（十二）強化重點服務安全管理。涉及提供人工智能訓練數(shù)據集管理功能的，提供保障客戶自有訓練數(shù)據集安全的能力，避免相關數(shù)據集被泄露、污染。涉及提供算力調度及算力服務的，做好算力調度策略安全管理，配備算力異常使用情況的監(jiān)測預警與應急處置能力，保障算力調度安全。

四、加強數(shù)據安全供給支撐

（十三）推進數(shù)據安全標準研制。工業(yè)和信息化部組織制定IDC業(yè)務客戶數(shù)據安全保護、能力評價等相關標準，明確IDC業(yè)務客戶數(shù)據通用及典型業(yè)務場景安全保護細則、責任劃分模型等，建立客戶數(shù)據安全保護能力分級評價體系，引導IDC業(yè)務經營者提升客戶數(shù)據安全保護水平。

（十四）探索開展數(shù)據安全保護能力評價。IDC業(yè)務經營者可自行或委托第三方專業(yè)機構定期開展客戶數(shù)據安全保護能力評價。鼓勵行業(yè)組織、專業(yè)機構依據能力評價結果，開展客戶數(shù)據安全保護能力分級，引導IDC業(yè)務客戶根據業(yè)務場景、數(shù)據重要程度等，按需選擇IDC業(yè)務。

五、工作實施

（十五）夯實客戶數(shù)據安全保護責任。IDC業(yè)務經營者要高度重視客戶數(shù)據安全保護，強化責任擔當，結合本單位實際，積極加大資源投入，做好客戶數(shù)據安全保護工作，切實提升IDC業(yè)務服務水平。

（十六）加強督促指導。工業(yè)和信息化部、各地通信管理局加強對IDC業(yè)務客戶數(shù)據安全保護工作的督促指導，落實相關企業(yè)主體責任。

特此通知。

附件：互聯(lián)網數(shù)據中心客戶數(shù)據安全保護實施指引 

工業(yè)和信息化部辦公廳

2025年1月13日