各省、自治區、直轄市通信管理局，中國電信集團有限公司、中國移動(dòng)通信集團有限公司、中國聯(lián)合網(wǎng)絡(luò )通信集團有限公司，有關(guān)互聯(lián)網(wǎng)數據中心企業(yè)：

互聯(lián)網(wǎng)數據中心（以下簡(jiǎn)稱(chēng)IDC）作為新一代信息基礎設施，承載著(zhù)千行百業(yè)的海量客戶(hù)數據，是關(guān)系國民經(jīng)濟命脈的重要戰略資源。提升IDC客戶(hù)數據安全保障能力，對于維護經(jīng)濟社會(huì )穩定乃至國家安全至關(guān)重要。為指導IDC業(yè)務(wù)經(jīng)營(yíng)者加強客戶(hù)數據安全保護，現將有關(guān)事項通知如下：

一、基本要求

（一）總體原則。根據《數據安全法》《網(wǎng)絡(luò )安全法》《網(wǎng)絡(luò )數據安全管理條例》《工業(yè)和信息化領(lǐng)域數據安全管理辦法（試行）》等法律法規和政策要求，按照“權責一致、分類(lèi)施策、技管結合、確保安全”的原則，加強客戶(hù)數據安全保障能力建設，提升客戶(hù)數據安全保護水平（具體實(shí)施指引見(jiàn)附件）。

（二）明確安全責任界面。在與客戶(hù)、第三方服務(wù)商等簽署的合同協(xié)議中，根據合作模式、內容等，明確各方數據安全保護責任義務(wù)。

（三）強化制度建設和組織保障。建立健全客戶(hù)數據安全管理制度，明確數據安全負責人和管理部門(mén)，強化客戶(hù)數據安全管理保障措施。

（四）加強客戶(hù)管理。建立客戶(hù)管理機制，按照客戶(hù)類(lèi)別和數據保護需求，提供差異化安全保護措施供客戶(hù)選用。

（五）加強客戶(hù)數據安全保障。結合數據處理流程，明確數據訪(fǎng)問(wèn)、操作、銷(xiāo)毀等重點(diǎn)環(huán)節的安全策略和流程機制，并做好數據隔離等保護措施。在實(shí)施可能影響客戶(hù)數據安全的高危操作和對外提供客戶(hù)數據前，應告知客戶(hù)并取得授權。根據業(yè)務(wù)實(shí)際情況，通過(guò)冗余設計等，提高業(yè)務(wù)連續性和穩定性。

（六）做好事件應急處置。建立客戶(hù)數據安全事件應急預案，定期開(kāi)展應急演練。因IDC業(yè)務(wù)經(jīng)營(yíng)者原因引發(fā)客戶(hù)數據安全事件時(shí)，立即啟動(dòng)應急處置措施，及時(shí)告知客戶(hù)，并按有關(guān)要求向電信主管部門(mén)報告。

（七）提供安全防護服務(wù)能力。根據業(yè)務(wù)實(shí)際情況，提供數據安全技術(shù)能力，以及網(wǎng)絡(luò )安全防護產(chǎn)品或服務(wù)供客戶(hù)選擇。

二、加強服務(wù)器托管業(yè)務(wù)場(chǎng)景保障能力

（八）保障機房設施安全。規范機房安全管理，配備物理安全保障措施，加強機房權限、人員值守、消防系統等的安全保障，及時(shí)發(fā)現、消除安全隱患，防止客戶(hù)數據損毀、丟失。

（九）做好設備供應鏈管理。涉及提供服務(wù)器、網(wǎng)絡(luò )設備等售賣(mài)、租賃服務(wù)的，加強設備采購安全管理，建立設備臺賬，做好設備上架前的安全檢查與定期維護更新，防范客戶(hù)數據被篡改、竊取。

三、加強數據存儲與計算業(yè)務(wù)場(chǎng)景保障能力

（十）保障數據存儲和計算安全。提供容災備份、校驗技術(shù)、密碼技術(shù)等數據安全保護能力，配備存儲和計算資源監控技術(shù)能力，及時(shí)發(fā)現預警存儲和計算資源異常使用情形，做好資源動(dòng)態(tài)調整分配，保障相關(guān)資源安全可用。

（十一）保障數據傳輸安全。提供數據加密、接口鑒權、安全審計等保護措施，加強數據安全風(fēng)險監測預警，提供數據流量異常、違規導出等安全風(fēng)險的發(fā)現、告警與處置能力，協(xié)助客戶(hù)保障數據傳輸鏈路和接口安全。

（十二）強化重點(diǎn)服務(wù)安全管理。涉及提供人工智能訓練數據集管理功能的，提供保障客戶(hù)自有訓練數據集安全的能力，避免相關(guān)數據集被泄露、污染。涉及提供算力調度及算力服務(wù)的，做好算力調度策略安全管理，配備算力異常使用情況的監測預警與應急處置能力，保障算力調度安全。

四、加強數據安全供給支撐

（十三）推進(jìn)數據安全標準研制。工業(yè)和信息化部組織制定IDC業(yè)務(wù)客戶(hù)數據安全保護、能力評價(jià)等相關(guān)標準，明確IDC業(yè)務(wù)客戶(hù)數據通用及典型業(yè)務(wù)場(chǎng)景安全保護細則、責任劃分模型等，建立客戶(hù)數據安全保護能力分級評價(jià)體系，引導IDC業(yè)務(wù)經(jīng)營(yíng)者提升客戶(hù)數據安全保護水平。

（十四）探索開(kāi)展數據安全保護能力評價(jià)。IDC業(yè)務(wù)經(jīng)營(yíng)者可自行或委托第三方專(zhuān)業(yè)機構定期開(kāi)展客戶(hù)數據安全保護能力評價(jià)。鼓勵行業(yè)組織、專(zhuān)業(yè)機構依據能力評價(jià)結果，開(kāi)展客戶(hù)數據安全保護能力分級，引導IDC業(yè)務(wù)客戶(hù)根據業(yè)務(wù)場(chǎng)景、數據重要程度等，按需選擇IDC業(yè)務(wù)。

五、工作實(shí)施

（十五）夯實(shí)客戶(hù)數據安全保護責任。IDC業(yè)務(wù)經(jīng)營(yíng)者要高度重視客戶(hù)數據安全保護，強化責任擔當，結合本單位實(shí)際，積極加大資源投入，做好客戶(hù)數據安全保護工作，切實(shí)提升IDC業(yè)務(wù)服務(wù)水平。

（十六）加強督促指導。工業(yè)和信息化部、各地通信管理局加強對IDC業(yè)務(wù)客戶(hù)數據安全保護工作的督促指導，落實(shí)相關(guān)企業(yè)主體責任。

特此通知。

附件：互聯(lián)網(wǎng)數據中心客戶(hù)數據安全保護實(shí)施指引 

來(lái)源：工業(yè)和信息化部