Google Cloud와 EU 네트워크 및 정보 시스템 지침(NIS2)

Google은 클라우드 서비스와 관련된 기술적, 조직적, 물리적 보안 조치를 구현하고 유지하기로 계약을 체결함으로써 NIS2 규정 준수 작업을 지원합니다. 또한 클라우드 환경을 보호하는 데 도움이 되는 추가 보안 제품과 기능도 제공합니다. Google은 Google Cloud 및 Workspace 서비스의 보안 평가에 도움이 되는 문서와 리소스를 게시합니다.

Google의 계약, 제어, 프로세스가 NIS2 지침 21조 2항 및 EU 시행 규정 부록 5.1항 및 6.1항에 포함된 공급업체 및 서비스 제공업체 획득 요구사항을 어떻게 지원하는지에 대한 정보는 아래에 제공됩니다.

Google Cloud 및 Workspace의 사이버 보안

Google Cloud 및 Workspace의 보안은 Cloud 데이터 처리 추가 조항에서 다룹니다. 이 추가 조항에서는 서비스를 지원하는 데이터 센터, 하드웨어, 소프트웨어, 네트워킹의 보안에 대해 설명합니다. Google 서비스의 일대다 특성으로 인해 Google은 모든 고객에게 동일하게 강력한 보안을 제공합니다. Google은 고객이 Google의 보안 관행을 이해하고 획득 요구사항의 일부로 간주할 수 있도록 고객에게 Google의 보안 관행에 대한 자세한 정보를 제공합니다.

자세한 정보는 다음을 참조하세요. 

• Google Cloud Trust Center 
• Google 보안 개요 
• Google 인프라 보안 설계 개요 
• 보안 리소스

클라우드에서 데이터와 애플리케이션의 보안을 정의하는 것은 고객의 몫이지만, 데이터 보안은 Google이 가장 중요하게 생각하는 요소입니다. Google은 다음과 같은 선제적인 조치를 취하여 고객을 지원합니다. 

• 저장 데이터 암호화. Google은 고객의 추가 조치가 없어도 미사용 상태로 보관 중인 고객 데이터를 기본적으로 암호화합니다. 자세한 내용은 Google Cloud 저장 데이터 암호화 및 Google Workspace 암호화 백서에서 확인할 수 있습니다.
• 전송 중인 데이터 암호화. 데이터가 Google이나 Google의 대리인이 통제하지 않는 물리적 경계 외부로 이동할 때 Google은 하나 이상의 네트워크 계층에서 모든 전송 중 데이터를 암호화하고 인증합니다. 자세한 내용은 Google Cloud 전송 중 암호화 및 Google Workspace 암호화 백서를 참조하세요. 

Google Cloud Security 제품을 사용하여 데이터 보안을 강화하고 모니터링할 수 있습니다. Google Cloud Security 제품에 대한 정보는 Cloud Security 제품에서 확인할 수 있습니다. 

또한 Google은 Google Cloud 보안 권장사항 및 Google Workspace 보안 및 데이터 보호 페이지에서 클라우드 보안 권장사항 가이드와 리소스를 게시합니다.

Google은 클라우드 서비스의 가용성과 관련된 서비스수준계약을 제공합니다. Google Cloud Platform 서비스수준계약 및 Google Workspace 서비스수준계약에서 확인할 수 있습니다. 고객은 서비스의 기능을 사용하여 Google 서비스 성능(서비스수준계약 포함)을 지속적으로 모니터링할 수 있습니다. Google은 https://status.cloud.google.com 및 https://www.google.com/appsstatus/dashboard/에서 Google Cloud 서비스 및 Workspace 서비스의 상태에 대한 정보를 제공하는 대시보드를 유지관리하고 고객에게 제공합니다. 상태 대시보드는 정보 제공 목적으로만 제공됩니다.

직원 기술 및 교육

Google 직원의 기술과 교육은 Cloud 데이터 처리 추가 조항의 부록 2: 보안 조치에서 다룹니다. Google 직원은 Google의 비밀유지 및 개인정보처리방침을 준수해야 하며, 보안 교육을 받고 자신의 역할에 따라 추가 요건을 완료해야 합니다. Google 직원은 비밀유지, 비즈니스 윤리, 적합한 사용, 직업 기준에 대한 Google의 가이드라인에 따라 행동해야 합니다. 

직원 신원 확인

Google 직원의 신원 확인에 관한 내용은 Cloud 데이터 처리 추가 조항의 부록 2: 보안 조치에 나와 있습니다. Google은 관련 지역 노동법과 법규에 따라 법적으로 허용되는 범위까지 타당한 신원 조회를 실시합니다.

사고 알림

Google의 사고 알림 약정은 Cloud 데이터 처리 추가 조항 7.2항에 명시되어 있습니다. Google은 데이터 사고를 인지한 후 신속하게 지체 없이 고객에게 알리고 피해를 최소화하고 고객 데이터를 보호하기 위한 합당한 조치를 신속하게 취합니다. 자세한 내용은 데이터 사고 대응 프로세스에서 확인하세요.

감사 보고서

Google은 보안, 개인정보 보호, 규정 준수 통제 수단 관리에 대해 독립 기관으로부터 검증을 받기를 기대합니다. Google은 보안 수준을 보증하기 위해 여러 서드 파티 독립 감사 기관으로부터 정기적인 감사를 받고 있습니다. Google은 계약 기간 동안 다음과 같은 주요 국제 표준을 준수할 것을 약속합니다. 

• ISO/IEC 27001(정보 보안 관리 시스템) 
• SOC 2 
• SOC 3

Cloud 데이터 처리 추가 조항의 부록 4에 설명된 추가 인증도 포함됩니다. 언제든지 Google의 현재 인증 및 감사 보고서를 검토할 수 있습니다. 규정 준수 보고서 관리자는 필요 시 이러한 주요 규정 준수 리소스에 손쉽게 액세스할 수 있는 기능을 제공합니다.

취약점 관리

Google의 내부 취약점 관리 프로세스를 통해 기술 스택에서 보안 위협을 적극적으로 검사합니다. 이 프로세스에서는 상용, 오픈소스, 전문 사내 도구를 조합하여 사용합니다. Google에서 완화한 취약점은 Google Cloud 보안 게시판에 게시됩니다. 취약점 관리에 대한 자세한 내용은 Google 보안 개요에서 확인하세요.

보조 프로세서 사이버 보안

Google의 보조 프로세서에 대한 사이버 보안 요구사항은 Cloud 데이터 처리 추가 조항의 11항 및 부록 2: 보안 조치에 설명되어 있습니다. Google은 보조 프로세서 참여에 앞서 보조 프로세서의 보안 및 개인정보 보호관행에 대해 감사를 실시하여 보조 프로세서가 부여되는 데이터 액세스 권한과 제공하기로 한 서비스 범위에 비추어 볼 때 타당한 수준의 보안 및 개인정보 보호를 제공하도록 보장합니다. Google에서 보조 프로세서에 의해 발생하는 위험을 평가하고 나면 보조 프로세서는 적절한 보안, 기밀성, 개인 정보 보호 계약 조항을 체결해야 합니다.

데이터 검색 및 삭제

계약 해지 시 고객 데이터의 검색 및 삭제는 Cloud 데이터 처리 추가 조항의 6항 및 9항에 설명되어 있습니다. Google은 고객이 서비스의 기능에 부합하는 방식으로 고객 데이터를 내보내도록 지원합니다. Google은 6항에 설명된 대로 계약 기간이 종료되면 Google 시스템에서 고객 데이터를 삭제합니다.

Google은 규제 환경의 변화에 대응하여 지속적으로 역량을 강화할 것입니다.