《工业和信息化部办公厅关于加强互联网数据中心客户数据保护的通知》 .docxVIP

附件

互联网数据中心客户数据安全保护实施指引

一、互联网数据中心业务基本情况及数据安全风险挑战（一）互联网数据中心基本情况及分类互联网数据中心业务（以下简称IDC业务，见《电信业

务分类目录》）主要包括传统数据中心业务和互联网资源协作业务。结合业务产品功能，细分为三类业务场景：一是服务器托管业务场景，指IDC业务经营者为客户提供机房、机柜、设备租赁，以及设备维护等服务的业务模式。二是数据存储业务场景，指IDC业务经营者为客户提供数据存储服务，以及相关数据上传、下载、访问等服务的业务模式。三是数据计算业务场景，指IDC业务经营者为客户提供数据清洗、集成、分析、加工、展示、模型训练以及算力调度等服务的业务模式。

（二）IDC业务面临的客户数据安全风险挑战

1.通用安全风险。一方面，IDC业务经营者、客户甚至第三方供应商等可能接触、处理客户数据的各方主体未明确划分数据安全责任边界，导致各方数据安全保护权责不清、责任义务落实不到位。另一方面，IDC业务经营者针对客户数据安全管理制度机制不健全、安全防护措施配备不完善，增加客户数据被窃取、泄露等的安全风险。

2.典型业务场景安全风险。一是服务器托管类业务场景

-1-

下，IDC业务经营者主要负责保障机房基础设施安全，可能

存在的客户数据安全风险情形主要包括：自然环境灾害（地

震、洪水）、物理设施故障（如断电、温湿度失调等）等引

发服务器等设备宕机、损毁和失窃等，导致客户数据破坏和

丢失。网络设备、服务器等由业务经营者提供的，需要防范

因设备安全管理不健全，存在设备漏洞、后门等导致设备被

攻击入侵，进而引发客户数据被窃取或破坏等风险。二是数据存储和计算类业务场景下，IDC业务经营者主要通过提供安全可靠的计算、存储平台，可能存在的客户数据安全风险情形主要包括：在数据存储、传输，以及算力调度、人工智能训练等环节，因数据安全保障措施配备不足，风险监测、资源监控和负载均衡等相关管理和技术手段不完善等，导致数据被窃取、泄露、丢失等风险。

二、提升客户数据安全保障能力（三）通用保障能力

1.客户数据处理要求。IDC业务经营者按照《数据安全法》《网络安全法》《网络数据安全管理条例》《工业和信息化领域数据安全管理办法（试行）》等法律法规和政策要求，履行客户数据安全保护责任，未经客户授权，不得以任何形式收集、存储、使用、加工、传输、提供、公开、销毁客户数据。其他法律法规另有规定的除外。

2.明确责任界面。在与客户签署的合同协议中，参照有关行业标准，根据业务模式和服务内容，明确双方数据安全保护责任义务。涉及通过采购第三方服务商设备、服务等，

-2-

处理客户数据的，需明确各方数据安全保护责任义务。

3.管理制度建设。建立客户数据安全管理制度，明确工

作职责分工、配套机制、管理与技术保障措施等内容。

4.机构与人员设置。明确数据安全负责人和管理部门，

结合业务模式，设立数据安全管理岗位并明确岗位职责，配

备相应人员，统筹负责客户数据处理活动安全管理。

5.客户管理。建立客户管理机制，加强对党政机关等重

点客户的数据安全风险提示，依据客户类别和数据保护需

求，提供差异化安全防护能力，并配合采取相应保护措施，

提升IDC承载信息系统和数据的安全保护能力。

6.数据分类分级保护。在提供服务前，通过合同协议等

方式，提示客户按照国家及行业有关法规、政策要求、标准

规范识别重要数据，加强个人信息保护，履行数据分类分级

保护责任义务。根据数据类别级别，具备差异化安全保护能

力，依据客户数据分类分级保护要求，配合做好相应的数据

安全保护。

7.数据访问安全。规范对客户数据的访问流程，配合客

户建立访问控制策略，配备技术措施防范客户数据未授权访

问等安全风险。

8.数据操作安全。健全客户数据操作登记、权限审批、

账号动态核验等机制。经客户授权，开展客户数据处理活动

的，按照最小必要原则合理分配操作权限，做好权限监控，

留存权限申请、审批、数据操作等相关日志记录，及时回收

到期权限；开展数据批量下载、批量访问或客户重要数据、

-3-

个人信息操作处理的，单独履行内部审批程序。

9.数据销毁安全。明确客户数据销毁安全策略和操作规

程，针对不同类型的存储介质提供差异化数据销毁措施。未

经授权，不擅自销毁客户数据。应客户要求销毁数据的，做

好销毁记录，不得以任何理由、任何方式进行恢复。

10.数据隔离安全。配备数据隔离安全策略，提供物理、

逻辑等数据隔离方式，保障客户数据在各环节处理的独立

性。

11.高危操作安全。建立覆盖网络与设备更换、运维、

升级，以及数据迁移等可能导致客户重大数据安全风险的高

危操作台账，形成高危操作安全规范。开展高