財聯(lián)社1月14日訊，工業(yè)和信息化部辦公廳發(fā)布關(guān)于加強互聯(lián)網(wǎng)數(shù)據(jù)中心客戶數(shù)據(jù)安全保護的通知，其中提到，在與客戶、第三方服務(wù)商等簽署的合同協(xié)議中，根據(jù)合作模式、內(nèi)容等，明確各方數(shù)據(jù)安全保護責任義務(wù)。建立健全客戶數(shù)據(jù)安全管理制度，明確數(shù)據(jù)安全負責人和管理部門，強化客戶數(shù)據(jù)安全管理保障措施。建立客戶管理機制，按照客戶類別和數(shù)據(jù)保護需求，提供差異化安全保護措施供客戶選用。結(jié)合數(shù)據(jù)處理流程，明確數(shù)據(jù)訪問、操作、銷毀等重點環(huán)節(jié)的安全策略和流程機制，并做好數(shù)據(jù)隔離等保護措施。在實施可能影響客戶數(shù)據(jù)安全的高危操作和對外提供客戶數(shù)據(jù)前，應(yīng)告知客戶并取得授權(quán)。根據(jù)業(yè)務(wù)實際情況，通過冗余設(shè)計等，提高業(yè)務(wù)連續(xù)性和穩(wěn)定性。建立客戶數(shù)據(jù)安全事件應(yīng)急預(yù)案，定期開展應(yīng)急演練。因IDC業(yè)務(wù)經(jīng)營者原因引發(fā)客戶數(shù)據(jù)安全事件時，立即啟動應(yīng)急處置措施，及時告知客戶，并按有關(guān)要求向電信主管部門報告。

工業(yè)和信息化部辦公廳關(guān)于加強互聯(lián)網(wǎng)數(shù)據(jù)中心客戶數(shù)據(jù)安全保護的通知

各省、自治區(qū)、直轄市通信管理局，中國電信集團有限公司、中國移動通信集團有限公司、中國聯(lián)合網(wǎng)絡(luò)通信集團有限公司，有關(guān)互聯(lián)網(wǎng)數(shù)據(jù)中心企業(yè)：

互聯(lián)網(wǎng)數(shù)據(jù)中心（以下簡稱IDC）作為新一代信息基礎(chǔ)設(shè)施，承載著千行百業(yè)的海量客戶數(shù)據(jù)，是關(guān)系國民經(jīng)濟命脈的重要戰(zhàn)略資源。提升IDC客戶數(shù)據(jù)安全保障能力，對于維護經(jīng)濟社會穩(wěn)定乃至國家安全至關(guān)重要。為指導IDC業(yè)務(wù)經(jīng)營者加強客戶數(shù)據(jù)安全保護，現(xiàn)將有關(guān)事項通知如下：

一、基本要求

（一）總體原則。根據(jù)《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》等法律法規(guī)和政策要求，按照“權(quán)責一致、分類施策、技管結(jié)合、確保安全”的原則，加強客戶數(shù)據(jù)安全保障能力建設(shè)，提升客戶數(shù)據(jù)安全保護水平（具體實施指引見附件）。

（二）明確安全責任界面。在與客戶、第三方服務(wù)商等簽署的合同協(xié)議中，根據(jù)合作模式、內(nèi)容等，明確各方數(shù)據(jù)安全保護責任義務(wù)。

（三）強化制度建設(shè)和組織保障。建立健全客戶數(shù)據(jù)安全管理制度，明確數(shù)據(jù)安全負責人和管理部門，強化客戶數(shù)據(jù)安全管理保障措施。

（四）加強客戶管理。建立客戶管理機制，按照客戶類別和數(shù)據(jù)保護需求，提供差異化安全保護措施供客戶選用。

（五）加強客戶數(shù)據(jù)安全保障。結(jié)合數(shù)據(jù)處理流程，明確數(shù)據(jù)訪問、操作、銷毀等重點環(huán)節(jié)的安全策略和流程機制，并做好數(shù)據(jù)隔離等保護措施。在實施可能影響客戶數(shù)據(jù)安全的高危操作和對外提供客戶數(shù)據(jù)前，應(yīng)告知客戶并取得授權(quán)。根據(jù)業(yè)務(wù)實際情況，通過冗余設(shè)計等，提高業(yè)務(wù)連續(xù)性和穩(wěn)定性。

（六）做好事件應(yīng)急處置。建立客戶數(shù)據(jù)安全事件應(yīng)急預(yù)案，定期開展應(yīng)急演練。因IDC業(yè)務(wù)經(jīng)營者原因引發(fā)客戶數(shù)據(jù)安全事件時，立即啟動應(yīng)急處置措施，及時告知客戶，并按有關(guān)要求向電信主管部門報告。

（七）提供安全防護服務(wù)能力。根據(jù)業(yè)務(wù)實際情況，提供數(shù)據(jù)安全技術(shù)能力，以及網(wǎng)絡(luò)安全防護產(chǎn)品或服務(wù)供客戶選擇。

二、加強服務(wù)器托管業(yè)務(wù)場景保障能力

（八）保障機房設(shè)施安全。規(guī)范機房安全管理，配備物理安全保障措施，加強機房權(quán)限、人員值守、消防系統(tǒng)等的安全保障，及時發(fā)現(xiàn)、消除安全隱患，防止客戶數(shù)據(jù)損毀、丟失。

（九）做好設(shè)備供應(yīng)鏈管理。涉及提供服務(wù)器、網(wǎng)絡(luò)設(shè)備等售賣、租賃服務(wù)的，加強設(shè)備采購安全管理，建立設(shè)備臺賬，做好設(shè)備上架前的安全檢查與定期維護更新，防范客戶數(shù)據(jù)被篡改、竊取。

三、加強數(shù)據(jù)存儲與計算業(yè)務(wù)場景保障能力

（十）保障數(shù)據(jù)存儲和計算安全。提供容災(zāi)備份、校驗技術(shù)、密碼技術(shù)等數(shù)據(jù)安全保護能力，配備存儲和計算資源監(jiān)控技術(shù)能力，及時發(fā)現(xiàn)預(yù)警存儲和計算資源異常使用情形，做好資源動態(tài)調(diào)整分配，保障相關(guān)資源安全可用。

（十一）保障數(shù)據(jù)傳輸安全。提供數(shù)據(jù)加密、接口鑒權(quán)、安全審計等保護措施，加強數(shù)據(jù)安全風險監(jiān)測預(yù)警，提供數(shù)據(jù)流量異常、違規(guī)導出等安全風險的發(fā)現(xiàn)、告警與處置能力，協(xié)助客戶保障數(shù)據(jù)傳輸鏈路和接口安全。

（十二）強化重點服務(wù)安全管理。涉及提供人工智能訓練數(shù)據(jù)集管理功能的，提供保障客戶自有訓練數(shù)據(jù)集安全的能力，避免相關(guān)數(shù)據(jù)集被泄露、污染。涉及提供算力調(diào)度及算力服務(wù)的，做好算力調(diào)度策略安全管理，配備算力異常使用情況的監(jiān)測預(yù)警與應(yīng)急處置能力，保障算力調(diào)度安全。

四、加強數(shù)據(jù)安全供給支撐

（十三）推進數(shù)據(jù)安全標準研制。工業(yè)和信息化部組織制定IDC業(yè)務(wù)客戶數(shù)據(jù)安全保護、能力評價等相關(guān)標準，明確IDC業(yè)務(wù)客戶數(shù)據(jù)通用及典型業(yè)務(wù)場景安全保護細則、責任劃分模型等，建立客戶數(shù)據(jù)安全保護能力分級評價體系，引導IDC業(yè)務(wù)經(jīng)營者提升客戶數(shù)據(jù)安全保護水平。

（十四）探索開展數(shù)據(jù)安全保護能力評價。IDC業(yè)務(wù)經(jīng)營者可自行或委托第三方專業(yè)機構(gòu)定期開展客戶數(shù)據(jù)安全保護能力評價。鼓勵行業(yè)組織、專業(yè)機構(gòu)依據(jù)能力評價結(jié)果，開展客戶數(shù)據(jù)安全保護能力分級，引導IDC業(yè)務(wù)客戶根據(jù)業(yè)務(wù)場景、數(shù)據(jù)重要程度等，按需選擇IDC業(yè)務(wù)。

五、工作實施

（十五）夯實客戶數(shù)據(jù)安全保護責任。IDC業(yè)務(wù)經(jīng)營者要高度重視客戶數(shù)據(jù)安全保護，強化責任擔當，結(jié)合本單位實際，積極加大資源投入，做好客戶數(shù)據(jù)安全保護工作，切實提升IDC業(yè)務(wù)服務(wù)水平。

（十六）加強督促指導。工業(yè)和信息化部、各地通信管理局加強對IDC業(yè)務(wù)客戶數(shù)據(jù)安全保護工作的督促指導，落實相關(guān)企業(yè)主體責任。

特此通知。

工業(yè)和信息化部辦公廳

2025年1月13日