Google Cloud 与欧盟网络和信息系统指令 (NIS2)

Google 在合同中承诺实施并维护与我们的云服务相关的技术、组织和物理安全措施，以此来支持您履行 NIS2 合规义务。我们还提供其他安全产品和功能，帮助您保护云环境。Google 发布了相关文档和资源，以帮助您对 Google Cloud 和 Workspace 服务进行安全评估。

以下信息说明了我们的合同、控制措施和流程如何满足 NIS2 指令第 21 条第 2 款以及欧盟实施条例附录 5.1 点和 6.1 点中规定的供应商和服务提供商采购要求。

Google Cloud 和 Workspace 中的网络安全

云端数据处理附录介绍了 Google Cloud 和 Workspace 的安全性，其中描述了支持这些服务的数据中心、硬件、软件和网络的安全性。鉴于我们的服务具有一对多特性，Google 为所有客户提供了同样强大的安全性。我们向客户提供有关我们安全实践的详细信息，以便客户可以理解它们并将其视为其采购要求的一部分。

如需了解详情，请访问：

• Google Cloud 信任中心
• Google 安全概览
• Google 基础架构安全设计概述
• 安全资源

虽然您定义了数据和应用在云端的安全性，但您的数据安全性对 Google 来说至关重要。我们会采取以下主动措施来帮助您：

• 静态加密。默认情况下，Google 对静态存储的客户数据进行加密，无需您采取任何额外操作。如需了解详情，请参阅 Google Cloud 静态数据加密和 Google Workspace 加密白皮书。
• 传输加密。如果数据将移出物理边界，脱离 Google 或 Google 授权代理方的控制范围，Google 会在一个或多个网络层对传输中的所有数据进行加密和身份验证。如需了解详情，请参阅 Google Cloud 的传输加密和 Google Workspace 加密白皮书。

您可以选择使用 Google Cloud Security 产品来增强和监控数据安全。如需了解有关 Google Cloud 安全产品的信息，请访问 Cloud 安全产品。

Google 还在 Google Cloud 安全最佳实践和 Google Workspace 安全和数据保护页面上发布了云安全最佳实践指南和资源。

Google 就云服务的可用性提供服务等级协议。您可以参阅 Google Cloud Platform 服务等级协议和 Google Workspace 服务等级协议。客户可以通过使用服务的功能持续监控 Google 服务（包括服务等级协议）的效果。Google 维护并向客户提供信息中心，其中包含有关 Google Cloud 服务和 Workspace 服务的状态信息，网址分别为 https://status.cloud.google.com 和 https://www.google.com/appsstatus/dashboard/。状态信息中心仅供参考。

人员技能和培训

云端数据处理附录中的“附录 2：安全措施”部分介绍了 Google 员工的技能和培训情况。Google 员工必须遵守 Google 的机密性与隐私权政策，接受安全培训，并符合与其职能相称的其他要求。Google 员工的行为举止还必须符合我们的机密性、商业道德、合理使用和专业标准准则。

人员背景核实

云端数据处理附录的附录 2：“安全措施”中介绍了 Google 对 Google 员工进行背景核实的相关要求。Google 会在法律允许范围内，根据当地适用的劳动法和法律法规，合理进行适当的背景调查。

突发事件通知

Google 的突发事件通知承诺规定在云端数据处理附录的第 7.2 条中。在发现数据突发事件后，Google 会立即通知客户，且不得无故拖延；并会立即采取合理措施，以尽量减少损害并保护客户的数据。如需了解详情，请参阅数据突发事件响应流程。

审核报告

Google 了解，您希望我们通过安全性、隐私权和合规控制措施方面的独立验证。为确保做到这一点，Google 会定期接受多项独立的第三方审核。Google 承诺在与您的合约期限内遵守以下主要国际标准：

• ISO/IEC 27001（信息安全管理系统）
• SOC 2 
• SOC 3

以及云端数据处理附录的附录 4 中所述的任何其他认证。您可以随时查看 Google 当前的认证和审核报告。合规报告管理器可让您轻松地按需访问这些重要的合规性资源。

漏洞管理

Google 的内部漏洞管理流程会主动扫描技术栈中的安全威胁。此过程结合使用商业、开源和专门构建的内部工具。我们已缓解的漏洞会发布到 Google Cloud 安全公告中。如需了解有关漏洞管理的更多信息，请参阅我们的 Google 安全概览。

子处理方信息安全

Google 对其子处理方提出的信息安全要求在云端数据处理附录的第 11 条和附录 2“安全措施”中有所说明。在与分包商合作前，Google 会对分包商的安全和隐私权规范进行审核，确保分包商提供的安全和隐私级别与其访问数据和所提供的服务范围相称。Google 对分包商存在的风险进行评估后，分包商必须签署相应的安全、保密和隐私合同条款。

数据检索和删除

云端数据处理附录的第 6 条和第 9 条介绍了合同终止后如何检索和删除客户数据。Google 允许客户按照服务的功能导出客户数据。Google 会在期限届满时根据第 6 条的规定从 Google 的系统中删除客户数据。

随着监管环境的变化，Google 将不断完善我们的产品及服务功能。