工信部发布加强IDC数据安全保护新政

发布日期：2025-01-16 13:55:42  浏览次数：123 来源：中国IDC圈

1月14日，工信部网站发布《工业和信息化部办公厅关于加强互联网数据中心客户数据安全保护的通知》（下文简称“通知”），提出“权责一致、分类施策、技管结合、确保安全”的原则，要求IDC业务经营者加强客户数据安全保障能力建设，提升客户数据安全保护水平，以维护经济社会稳定和国家安全。

通知中要求，加强服务器托管业务场景保障能力，并于附件《互联网数据中心客户数据安全保护实施指引》（下文简称“指引”）明确，IDC业务细分为三类业务场景：

一是服务器托管业务场景，指IDC业务经营者为客户提供机房、机柜、设备租赁，以及设备维护等服务的业务模式。二是数据存储业务场景，指IDC业务经营者为客户提供数据存储服务，以及相关数据上传、下载、访问等服务的业务模式。三是数据计算业务场景，指IDC业务经营者为客户提供数据清洗、集成、分析、加工、展示、模型训练以及算力调度等服务的业务模式。

对于典型业务场景安全风险，指引中也分为两大类。一是机房基础设施安全，包括自然环境灾害、物理设施故障、设备管理不健全等。二是数据存储、传输，以及算力调度、人工智能训练等环节，数据安全保障措施配备不足，风险监测、资源监控和负载均衡等相关管理和技术手段不完善等。

此外，通知与指引明确了如下几个方面：

明确责任主体和边界，清晰界定各方责任。文件要求在合同中明确IDC业务经营者、客户、第三方供应商等各方在数据安全保护方面的责任，避免责任不清、义务落实不到位的情况。

强化安全管理和技术措施，建立健全管理制度。包括数据安全管理制度、机构和人员设置、客户管理、数据分类分级保护、数据访问安全、数据操作安全、数据销毁安全、数据隔离安全、高危操作安全、数据对外提供、业务可用性保障、安全事件应急处置等方面。

提升技术防护能力。强调了数据加密、脱敏、访问控制、鉴权与校验、日志记录与审计、数据备份与恢复、防火墙、堡垒机、非法入侵检测、防篡改、漏洞扫描、病毒防范、安全升级等安全防护能力的重要性。

推动行业规范和监督，鼓励第三方评估。工业和信息化部将组织制定IDC业务客户数据安全保护相关标准，建立能力分级评价体系，引导行业健康发展。鼓励行业组织、专业机构依据能力评价结果，开展客户数据安全保护能力分级，引导IDC业务客户根据业务场景、数据重要程度等，按需选择IDC业务。

通知旨在建立一个全方位、多层次、立体化的 IDC 客户数据安全保护体系。通过明确责任、强化管理、提升技术、规范行业等措施，最终实现 IDC 业务客户数据的安全、可控，保障客户权益，促进行业健康发展，维护国家安全和社会稳定。