飛象網訊(致新/文)1月15日消息,工信部昨日下發《工業和信息化部辦公廳關于加強互聯網數據中心客戶數據安全保護的通知》。
工業和信息化部辦公廳關于加強互聯網數據中心客戶數據安全保護的通知
工信廳網安〔2025〕5號
各省、自治區、直轄市通信管理局,中國電信集團有限公司、中國移動通信集團有限公司、中國聯合網絡通信集團有限公司,有關互聯網數據中心企業:
互聯網數據中心(以下簡稱IDC)作為新一代信息基礎設施,承載著千行百業的海量客戶數據,是關系國民經濟命脈的重要戰略資源。提升IDC客戶數據安全保障能力,對于維護經濟社會穩定乃至國家安全至關重要。為指導IDC業務經營者加強客戶數據安全保護,現將有關事項通知如下:
一、基本要求
(一)總體原則。根據《數據安全法》《網絡安全法》《網絡數據安全管理條例》《工業和信息化領域數據安全管理辦法(試行)》等法律法規和政策要求,按照“權責一致、分類施策、技管結合、確保安全”的原則,加強客戶數據安全保障能力建設,提升客戶數據安全保護水平(具體實施指引見附件)。
(二)明確安全責任界面。在與客戶、第三方服務商等簽署的合同協議中,根據合作模式、內容等,明確各方數據安全保護責任義務。
(三)強化制度建設和組織保障。建立健全客戶數據安全管理制度,明確數據安全負責人和管理部門,強化客戶數據安全管理保障措施。
(四)加強客戶管理。建立客戶管理機制,按照客戶類別和數據保護需求,提供差異化安全保護措施供客戶選用。
(五)加強客戶數據安全保障。結合數據處理流程,明確數據訪問、操作、銷毀等重點環節的安全策略和流程機制,并做好數據隔離等保護措施。在實施可能影響客戶數據安全的高危操作和對外提供客戶數據前,應告知客戶并取得授權。根據業務實際情況,通過冗余設計等,提高業務連續性和穩定性。
(六)做好事件應急處置。建立客戶數據安全事件應急預案,定期開展應急演練。因IDC業務經營者原因引發客戶數據安全事件時,立即啟動應急處置措施,及時告知客戶,并按有關要求向電信主管部門報告。
(七)提供安全防護服務能力。根據業務實際情況,提供數據安全技術能力,以及網絡安全防護產品或服務供客戶選擇。
二、加強服務器托管業務場景保障能力
(八)保障機房設施安全。規范機房安全管理,配備物理安全保障措施,加強機房權限、人員值守、消防系統等的安全保障,及時發現、消除安全隱患,防止客戶數據損毀、丟失。
(九)做好設備供應鏈管理。涉及提供服務器、網絡設備等售賣、租賃服務的,加強設備采購安全管理,建立設備臺賬,做好設備上架前的安全檢查與定期維護更新,防范客戶數據被篡改、竊取。
三、加強數據存儲與計算業務場景保障能力
(十)保障數據存儲和計算安全。提供容災備份、校驗技術、密碼技術等數據安全保護能力,配備存儲和計算資源監控技術能力,及時發現預警存儲和計算資源異常使用情形,做好資源動態調整分配,保障相關資源安全可用。
(十一)保障數據傳輸安全。提供數據加密、接口鑒權、安全審計等保護措施,加強數據安全風險監測預警,提供數據流量異常、違規導出等安全風險的發現、告警與處置能力,協助客戶保障數據傳輸鏈路和接口安全。
(十二)強化重點服務安全管理。涉及提供人工智能訓練數據集管理功能的,提供保障客戶自有訓練數據集安全的能力,避免相關數據集被泄露、污染。涉及提供算力調度及算力服務的,做好算力調度策略安全管理,配備算力異常使用情況的監測預警與應急處置能力,保障算力調度安全。
四、加強數據安全供給支撐
(十三)推進數據安全標準研制。工業和信息化部組織制定IDC業務客戶數據安全保護、能力評價等相關標準,明確IDC業務客戶數據通用及典型業務場景安全保護細則、責任劃分模型等,建立客戶數據安全保護能力分級評價體系,引導IDC業務經營者提升客戶數據安全保護水平。
(十四)探索開展數據安全保護能力評價。IDC業務經營者可自行或委托第三方專業機構定期開展客戶數據安全保護能力評價。鼓勵行業組織、專業機構依據能力評價結果,開展客戶數據安全保護能力分級,引導IDC業務客戶根據業務場景、數據重要程度等,按需選擇IDC業務。
五、工作實施
(十五)夯實客戶數據安全保護責任。IDC業務經營者要高度重視客戶數據安全保護,強化責任擔當,結合本單位實際,積極加大資源投入,做好客戶數據安全保護工作,切實提升IDC業務服務水平。
(十六)加強督促指導。工業和信息化部、各地通信管理局加強對IDC業務客戶數據安全保護工作的督促指導,落實相關企業主體責任。
特此通知。
工業和信息化部辦公廳
2025年1月13日
