工信部发布通知加强IDC客户数据安全保护

工业和信息化部近日发布《工业和信息化部办公厅关于加强互联网数据中心客户数据安全保护的通知》（以下简称“通知”），强调“权责一致、分类施策、技管结合、确保安全”原则，要求IDC（互联网数据中心）业务经营者提升客户数据安全保障能力，维护经济社会稳定及国家安全。

IDC业务场景分类

在通知附件《互联网数据中心客户数据安全保护实施指引》（以下简称“指引”）中，IDC业务被细分为以下三类场景：

1. 服务器托管业务：IDC运营商向客户提供机房、机柜、设备租赁及维护等服务。

2. 数据存储业务：为客户提供数据存储、上传、下载和访问等相关服务。

3. 数据计算业务：涵盖数据清洗、集成、分析、加工、展示、模型训练以及算力调度等服务。

典型业务场景的安全风险

指引指出IDC业务面临的两大主要安全风险：

1. 机房基础设施安全风险：包括自然灾害、物理设施故障及设备管理缺失等问题。

2. 数据安全风险：涉及数据存储、传输、算力调度和人工智能训练等环节，存在安全防护措施不足、监测手段不完善、资源监控及负载均衡机制欠缺等问题。

强化IDC客户数据安全的核心要求

1. 明确责任主体与边界

• 规范IDC业务经营者、客户及第三方供应商在数据安全保护方面的责任，确保合同中明确各方义务，防止责任划分不清导致管理漏洞。

2. 强化安全管理和技术措施

• 建立健全数据安全管理制度，包括客户管理、数据分类分级保护、数据访问与操作安全、数据隔离与销毁安全、高危操作管控、业务可用性保障以及安全事件应急处置等措施。

3. 提升技术防护能力

• 强调数据安全防护手段，如数据加密、脱敏、访问控制、身份鉴权、日志审计、数据备份与恢复、防火墙、堡垒机、非法入侵检测、防篡改、漏洞扫描、病毒防范及安全升级等。

4. 推动行业标准与监督

• 工信部将制定IDC客户数据安全保护标准，并建立能力分级评价体系，鼓励行业组织和专业机构进行评估，引导IDC客户依据业务需求选择适合的安全等级。

总结

该通知旨在构建全面、多层次的IDC客户数据安全保护体系，通过明确责任、强化管理、提升技术防护能力、规范行业发展等措施，确保IDC业务的安全可控，维护客户权益，促进行业健康发展，并保障国家安全与社会稳定。

标题：工信部发布通知加强IDC客户数据安全保护

TAG标签：