五方面十六條要求！工信部部署加強互聯(lián)網數據中心客戶數據安全保護

工業(yè)和信息化部近日印發(fā)通知，部署加強互聯(lián)網數據中心（IDC)客戶數據安全保護。針對典型業(yè)務場景，提出明確安全責任界面、強化制度建設和組織保障、加強客戶管理、加強客戶數據安全保障、做好事件應急處置等工作要求。引導各通信管理局、基礎電信運營企業(yè)和有關互聯(lián)網數據中心企業(yè)做好IDC客戶數據安全保護工作，推動IDC業(yè)務安全有序發(fā)展。

關于加強互聯(lián)網數據中心客戶數據安全保護的通知工信廳網安〔2025〕5號

各省、自治區(qū)、直轄市通信管理局，中國電信集團有限公司、中國移動通信集團有限公司、中國聯(lián)合網絡通信集團有限公司，有關互聯(lián)網數據中心企業(yè)：　　互聯(lián)網數據中心（以下簡稱IDC）作為新一代信息基礎設施，承載著千行百業(yè)的海量客戶數據，是關系國民經濟命脈的重要戰(zhàn)略資源。提升IDC客戶數據安全保障能力，對于維護經濟社會穩(wěn)定乃至國家安全至關重要。為指導IDC業(yè)務經營者加強客戶數據安全保護，現將有關事項通知如下：

一、基本要求

（一）總體原則。根據《數據安全法》《網絡安全法》《網絡數據安全管理條例》《工業(yè)和信息化領域數據安全管理辦法（試行）》等法律法規(guī)和政策要求，按照“權責一致、分類施策、技管結合、確保安全”的原則，加強客戶數據安全保障能力建設，提升客戶數據安全保護水平（具體實施指引見附件）�！　�

（二）明確安全責任界面。在與客戶、第三方服務商等簽署的合同協(xié)議中，根據合作模式、內容等，明確各方數據安全保護責任義務�！�　

（三）強化制度建設和組織保障。建立健全客戶數據安全管理制度，明確數據安全負責人和管理部門，強化客戶數據安全管理保障措施�！　�

（四）加強客戶管理。建立客戶管理機制，按照客戶類別和數據保護需求，提供差異化安全保護措施供客戶選用�！　�

（五）加強客戶數據安全保障。結合數據處理流程，明確數據訪問、操作、銷毀等重點環(huán)節(jié)的安全策略和流程機制，并做好數據隔離等保護措施。在實施可能影響客戶數據安全的高危操作和對外提供客戶數據前，應告知客戶并取得授權。根據業(yè)務實際情況，通過冗余設計等，提高業(yè)務連續(xù)性和穩(wěn)定性。　　

（六）做好事件應急處置。建立客戶數據安全事件應急預案，定期開展應急演練。因IDC業(yè)務經營者原因引發(fā)客戶數據安全事件時，立即啟動應急處置措施，及時告知客戶，并按有關要求向電信主管部門報告。　　

（七）提供安全防護服務能力。根據業(yè)務實際情況，提供數據安全技術能力，以及網絡安全防護產品或服務供客戶選擇。

二、加強服務器托管業(yè)務場景保障能力

（八）保障機房設施安全。規(guī)范機房安全管理，配備物理安全保障措施，加強機房權限、人員值守、消防系統(tǒng)等的安全保障，及時發(fā)現、消除安全隱患，防止客戶數據損毀、丟失。

（九）做好設備供應鏈管理。涉及提供服務器、網絡設備等售賣、租賃服務的，加強設備采購安全管理，建立設備臺賬，做好設備上架前的安全檢查與定期維護更新，防范客戶數據被篡改、竊取。

三、加強數據存儲與計算業(yè)務場景保障能力

（十）保障數據存儲和計算安全。提供容災備份、校驗技術、密碼技術等數據安全保護能力，配備存儲和計算資源監(jiān)控技術能力，及時發(fā)現預警存儲和計算資源異常使用情形，做好資源動態(tài)調整分配，保障相關資源安全可用。

（十一）保障數據傳輸安全。提供數據加密、接口鑒權、安全審計等保護措施，加強數據安全風險監(jiān)測預警，提供數據流量異常、違規(guī)導出等安全風險的發(fā)現、告警與處置能力，協(xié)助客戶保障數據傳輸鏈路和接口安全。

（十二）強化重點服務安全管理。涉及提供人工智能訓練數據集管理功能的，提供保障客戶自有訓練數據集安全的能力，避免相關數據集被泄露、污染。涉及提供算力調度及算力服務的，做好算力調度策略安全管理，配備算力異常使用情況的監(jiān)測預警與應急處置能力，保障算力調度安全。

四、加強數據安全供給支撐

（十三）推進數據安全標準研制。工業(yè)和信息化部組織制定IDC業(yè)務客戶數據安全保護、能力評價等相關標準，明確IDC業(yè)務客戶數據通用及典型業(yè)務場景安全保護細則、責任劃分模型等，建立客戶數據安全保護能力分級評價體系，引導IDC業(yè)務經營者提升客戶數據安全保護水平。

（十四）探索開展數據安全保護能力評價。IDC業(yè)務經營者可自行或委托第三方專業(yè)機構定期開展客戶數據安全保護能力評價。鼓勵行業(yè)組織、專業(yè)機構依據能力評價結果，開展客戶數據安全保護能力分級，引導IDC業(yè)務客戶根據業(yè)務場景、數據重要程度等，按需選擇IDC業(yè)務。

五、工作實施

（十五）夯實客戶數據安全保護責任。IDC業(yè)務經營者要高度重視客戶數據安全保護，強化責任擔當，結合本單位實際，積極加大資源投入，做好客戶數據安全保護工作，切實提升IDC業(yè)務服務水平。

（十六）加強督促指導。工業(yè)和信息化部、各地通信管理局加強對IDC業(yè)務客戶數據安全保護工作的督促指導，落實相關企業(yè)主體責任。

特此通知�！　�

附件：互聯(lián)網數據中心客戶數據安全保護實施指引

工業(yè)和信息化部辦公廳

2025年1月13日

互聯(lián)網數據中心客戶數據安全保護實施指引

一、互聯(lián)網數據中心業(yè)務基本情況及數據安全風險挑戰(zhàn)

�。ㄒ唬┗ヂ�(lián)網數據中心基本情況及分類　　互聯(lián)網數據中心業(yè)務（以下簡稱IDC業(yè)務，見《電信業(yè)務分類目錄》）主要包括傳統(tǒng)數據中心業(yè)務和互聯(lián)網資源協(xié)作業(yè)務。結合業(yè)務產品功能，細分為三類業(yè)務場景：一是服務器托管業(yè)務場景，指IDC業(yè)務經營者為客戶提供機房、機柜、設備租賃，以及設備維護等服務的業(yè)務模式。二是數據存儲業(yè)務場景，指IDC業(yè)務經營者為客戶提供數據存儲服務，以及相關數據上傳、下載、訪問等服務的業(yè)務模式。三是數據計算業(yè)務場景，指IDC業(yè)務經營者為客戶提供數據清洗、集成、分析、加工、展示、模型訓練以及算力調度等服務的業(yè)務模式�！　�

（二）IDC業(yè)務面臨的客戶數據安全風險挑戰(zhàn)　　

1. 通用安全風險。一方面，IDC業(yè)務經營者、客戶甚至第三方供應商等可能接觸、處理客戶數據的各方主體未明確劃分數據安全責任邊界，導致各方數據安全保護權責不清、責任義務落實不到位。另一方面，IDC業(yè)務經營者針對客戶數據安全管理制度機制不健全、安全防護措施配備不完善，增加客戶數據被竊取、泄露等的安全風險�！�　

2.典型業(yè)務場景安全風險。一是服務器托管類業(yè)務場景下，IDC業(yè)務經營者主要負責保障機房基礎設施安全，可能存在的客戶數據安全風險情形主要包括：自然環(huán)境災害（地震、洪水）、物理設施故障（如斷電、溫濕度失調等）等引發(fā)服務器等設備宕機、損毀和失竊等，導致客戶數據破壞和丟失。網絡設備、服務器等由業(yè)務經營者提供的，需要防范因設備安全管理不健全，存在設備漏洞、后門等導致設備被攻擊入侵，進而引發(fā)客戶數據被竊取或破壞等風險。二是數據存儲和計算類業(yè)務場景下，IDC業(yè)務經營者主要通過提供安全可靠的計算、存儲平臺，可能存在的客戶數據安全風險情形主要包括：在數據存儲、傳輸，以及算力調度、人工智能訓練等環(huán)節(jié)，因數據安全保障措施配備不足，風險監(jiān)測、資源監(jiān)控和負載均衡等相關管理和技術手段不完善等，導致數據被竊取、泄露、丟失等風險。

二、提升客戶數據安全保障能力

　（三）通用保障能力　　1. 客戶數據處理要求。IDC業(yè)務經營者按照《數據安全法》《網絡安全法》《網絡數據安全管理條例》《工業(yè)和信息化領域數據安全管理辦法（試行）》等法律法規(guī)和政策要求，履行客戶數據安全保護責任，未經客戶授權，不得以任何形式收集、存儲、使用、加工、傳輸、提供、公開、銷毀客戶數據。其他法律法規(guī)另有規(guī)定的除外�！�　

2. 明確責任界面。在與客戶簽署的合同協(xié)議中，參照有關行業(yè)標準，根據業(yè)務模式和服務內容，明確雙方數據安全保護責任義務。涉及通過采購第三方服務商設備、服務等，處理客戶數據的，需明確各方數據安全保護責任義務�！�　

3. 管理制度建設。建立客戶數據安全管理制度，明確工作職責分工、配套機制、管理與技術保障措施等內容�！�　

4. 機構與人員設置。明確數據安全負責人和管理部門，結合業(yè)務模式，設立數據安全管理崗位并明確崗位職責，配備相應人員，統(tǒng)籌負責客戶數據處理活動安全管理。　　

5. 客戶管理。建立客戶管理機制，加強對黨政機關等重點客戶的數據安全風險提示，依據客戶類別和數據保護需求，提供差異化安全防護能力，并配合采取相應保護措施，提升IDC承載信息系統(tǒng)和數據的安全保護能力�！�　

6. 數據分類分級保護。在提供服務前，通過合同協(xié)議等方式，提示客戶按照國家及行業(yè)有關法規(guī)、政策要求、標準規(guī)范識別重要數據，加強個人信息保護，履行數據分類分級保護責任義務。根據數據類別級別，具備差異化安全保護能力，依據客戶數據分類分級保護要求，配合做好相應的數據安全保護。　　

7. 數據訪問安全。規(guī)范對客戶數據的訪問流程，配合客戶建立訪問控制策略，配備技術措施防范客戶數據未授權訪問等安全風險�！�　

8. 數據操作安全。健全客戶數據操作登記、權限審批、賬號動態(tài)核驗等機制。經客戶授權，開展客戶數據處理活動的，按照最小必要原則合理分配操作權限，做好權限監(jiān)控，留存權限申請、審批、數據操作等相關日志記錄，及時回收到期權限；開展數據批量下載、批量訪問或客戶重要數據、個人信息操作處理的，單獨履行內部審批程序。　　

9. 數據銷毀安全。明確客戶數據銷毀安全策略和操作規(guī)程，針對不同類型的存儲介質提供差異化數據銷毀措施。未經授權，不擅自銷毀客戶數據。應客戶要求銷毀數據的，做好銷毀記錄，不得以任何理由、任何方式進行恢復�！�　

10. 數據隔離安全。配備數據隔離安全策略，提供物理、邏輯等數據隔離方式，保障客戶數據在各環(huán)節(jié)處理的獨立性。　　

11. 高危操作安全。建立覆蓋網絡與設備更換、運維、升級，以及數據遷移等可能導致客戶重大數據安全風險的高危操作臺賬，形成高危操作安全規(guī)范。開展高危操作前，告知相關客戶涉及的系統(tǒng)范圍、操作行為、時間、原因、可能存在的重大風險等，并取得客戶授權�！�　

12. 數據對外提供。涉及對外提供客戶數據的，提前告知客戶提供數據的目的、方式、范圍、保障措施等，并取得客戶授權。　　

13. 業(yè)務可用性保障。根據業(yè)務實際情況，通過冗余設計等，提高業(yè)務連續(xù)性和穩(wěn)定性。　　

14. 安全事件應急處置。建立客戶數據安全事件應急預案，覆蓋客戶數據丟失、損毀、泄露等安全事件場景，明確事件分級處置方法、流程等，定期組織開展應急演練，提升客戶數據安全事件應急處置能力。因IDC業(yè)務經營者原因引發(fā)客戶數據安全事件的，立即啟動應急處置，及時告知客戶，并結合事件影響程度，根據相關法規(guī)和標準要求向電信主管部門報告。同時，根據事件類型、級別等，及時配合客戶開展事件應急處置和上報。　　

15. 安全防護能力提供。根據業(yè)務實際情況，提供數據加密、脫敏、訪問控制、鑒權與校驗、日志記錄與審計、數據備份與恢復等數據安全技術能力，以及防火墻、堡壘機、非法入侵檢測、防篡改、漏洞掃描、病毒防范、安全升級等網絡安全防護產品或服務供客戶選擇�！�　

（四）服務器托管業(yè)務場景保障能力　　

1. 機房管理要求。規(guī)范機房安全管理，明確機房設施、客戶設備、人員進出等安全管理要求。　　

2. 機房物理安全。配備機房物理安全保障措施，對關鍵區(qū)域實施7*24小時監(jiān)控，具備對異常進出行為的識別、報警、攔截、處置等能力�！�　

3. 機房權限管理。設置機房進出權限清單，明確權限范圍、有效期及審批人等信息。對清單外人員機房進出實施嚴格審批，經客戶授權進入機房開展設備、數據運維管理的，配備相應的管理和技術措施，留存機房進出記錄，嚴格限制非授權人員進入�！�　

4. 機房值守管理。安排7*24小時人員值守，建立基礎設施巡檢、風險處置規(guī)程，實施常態(tài)化巡邏、檢查，及時發(fā)現、消除風險隱患。　　

5. 消防系統(tǒng)安全。配備消防供電設施、火災自動報警系統(tǒng)、應急照明系統(tǒng)、雙重水電系統(tǒng)等，保障極端情況下機房快速恢復和運轉�！�　

6. 設備供應管理。涉及提供服務器、網絡設備等售賣、租賃服務的，做好設備安全管理，建立設備臺賬，記錄設備品牌、型號、關鍵性能參數、采購時間、來源，以及安全應用情況等。設備上架前做好安全檢查，并定期開展維護更新，加強安全漏洞、設備及系統(tǒng)配置等安全管理。涉及為黨政機關等重點客戶提供服務的，鼓勵IDC業(yè)務經營者使用自主可控的網絡與數據安全設備。　　

（五）數據存儲與計算業(yè)務場景保障能力　　

1. 數據存儲安全。加強客戶數據存儲安全管理，提供容災備份、校驗技術、密碼技術等數據安全保護能力，以滿足客戶不同的數據儲存安全需求�！　�

2. 數據安全風險監(jiān)測。加強數據安全風險監(jiān)測預警，梳理掌握流量節(jié)點，配備流量分析、過濾等技術手段，具備發(fā)現數據安全風險能力，及時排查、整改數據安全問題隱患。　　

3. 資源監(jiān)控和負載均衡。配備存儲和計算資源監(jiān)控技術能力，實時監(jiān)控、統(tǒng)計分析資源使用情況，及時預警發(fā)現異常使用情形。配備存儲和計算資源負載均衡技術能力，根據資源負載情況實時動態(tài)調整資源分配，保障資源的安全可用。　　

4. 數據傳輸安全。加強客戶數據傳輸安全管理，根據傳輸客戶數據級別和應用場景，配合客戶制定安全傳輸策略，并提供數據加密、接口鑒權、安全審計等保護措施。滿足客戶數據傳輸安全需求和定期接口安全審計需要，及時調整接口狀態(tài)，回收、關閉廢棄接口�！�　

5. 人工智能訓練數據安全。涉及提供人工智能訓練數據集管理功能的，需提供保障客戶自有訓練數據集安全的能力，避免客戶自有訓練數據集被泄露、污染�！�　

6. 算力調度安全。涉及提供算力調度服務的，配備安全可靠的算力調度策略，做好策略配置管理和變更審批，保障算力按需合理分配。涉及提供算力服務的，具備對算力使用情況的實時監(jiān)測能力，發(fā)現并預警算力資源異常使用情形，及時采取策略調整、資源停用等措施。