歐盟 NIS2 指令 (Regulation (EU) 2022/2555 -「NIS2」) 是網路安全法規,已於 2024 年 10 月 17 日取代歐盟 NIS 指令 (Regulation (EU) 2016/1148 -「NIS1」)。NIS2 規範歐盟成員國中重要實體管理網路安全風險的方式,以及重大事件的通報方式。
Google 支持優先考量並提升網路安全的計畫,並且會遵守 NIS2 的規定,讓每位 Google Cloud 和 Workspace 客戶都能安心使用我們提供的服務。
Google 在合約中承諾會導入並維護與 Google Cloud 服務相關的技術、組織和實體安全措施,協助您遵循 NIS2 法規。我們也提供其他安全性產品和功能,協助您保護雲端環境。Google 發布說明文件和資源,協助您評估 Google Cloud 和 Workspace 服務的安全性。
以下說明我們的合約、控管機制和程序如何符合《NIS2 指令》第 21 條第 2 款,和歐盟導入法規附錄第 5.1 點及第 6.1 點的供應商及服務供應商收購規定。
Google Cloud 和 Workspace 的網路安全
如要瞭解 Google Cloud 和 Workspace 的安全性,請參閱《Cloud 資料處理修訂條款》,其中說明支援這些服務的資料中心、硬體、軟體和網路的安全性。Google 服務具有一對多的特性,因此能為所有客戶提供同樣強大的安全防護機制。我們提供有關安全性做法的詳細資訊,讓客戶能瞭解這些做法,並考慮將其做為收購規定的一環,一併遵守。
詳情請參閱:
雖然雲端的資料和應用程式安全性由您定義,但資料安全性對 Google 來說也是重中之重。我們會主動採取下列行動來協助您:
您可以選擇使用 Google Cloud 安全性產品,增強及監控資料安全性。如需 Google Cloud 安全性產品相關資訊,請參閱「Cloud 安全性產品」頁面。
Google 也發布了雲端安全性最佳做法指南和相關資源,請參閱 Google Cloud 安全性最佳做法和 Google Workspace 安全性與資料保護頁面。
Google 提供服務水準協議,說明雲端服務的可用性。請參閱《Google Cloud Platform 服務水準協議》和《Google Workspace 服務水準協議》。客戶可以使用服務的功能,持續監控 Google 服務 (包括服務水準協議) 的效能。Google 會維護並提供客戶資訊主頁,詳列相關資訊,包括 Google Cloud 服務的狀態資訊 (請前往 https://status.cloud.google.com) 和 Workspace 服務的狀態資訊 (請前往 https://www.google.com/appsstatus/dashboard/)。狀態資訊主頁僅供參考。
人員技能與訓練
如要瞭解 Google 人員的技能和訓練,請參閱《Cloud 資料處理修訂條款》的附錄 2:安全措施。Google 人員必須遵守 Google 的保密和隱私權政策,並接受安全訓練,以及完成與其職務相關的額外要求。Google 人員行為也必須符合機密性、商業道德、適當使用及專業標準等方面的公司準則。
人員背景查核
如要瞭解 Google 如何對自家員工進行背景查核,請參閱《Cloud 資料處理附加條款》的附錄 2:安全措施。Google 會在法律允許的範圍內,依據適當的當地勞工法規,進行合理適當的背景調查。
事件通知
Google 的事件通知承諾載於《Cloud 資料處理附加條款》第 7.2 節。若 Google 察覺發生資料事件,會立即通知客戶,不會無故拖延,並迅速採取合理措施將傷害降至最低,維護客戶資料安全。如要進一步瞭解資料事件應變程序,請參閱這篇文章。
稽核報告
Google 瞭解您希望 Google 的安全性、隱私權和法規遵循控管機制皆通過獨立驗證。為了提供這樣的保證,Google 會定期委請多家第三方稽核單位進行獨立審查,在合約期間,Google 承諾會遵守下列重要國際標準:
以及《Cloud 資料處理附加條款》附錄 4 所述的任何其他認證。您可以隨時查看 Google 目前的認證與稽核報告。法規遵循報告管理員可讓您視需要輕鬆存取這些重要的法規遵循資源。
安全漏洞管理
Google 內部的安全漏洞管理程序,會主動掃描所有技術堆疊是否面臨安全威脅。這項程序會將市售工具、開放原始碼工具,以及依據特定用途建構的內部工具合併使用。我們會在 Google Cloud 安全性公告中發布已緩解風險的安全漏洞。如要進一步瞭解安全漏洞管理,請參閱 Google 安全性總覽。
複委託者網路安全
如要瞭解 Google 對複委託者的網路安全要求,請參閱《Cloud 資料處理附加條款》第 11 節和附錄 2:安全措施。在讓複委託者參與資料處理活動之前,Google 會先稽核其安全性及隱私權做法,並根據該複委託者可能會存取的資料和提供的服務範圍,判斷其採取的安全性及隱私權防護層級是否恰當。Google 評估複委託者的各項風險後,複委託者必須簽訂適當的安全性、機密性和隱私權合約條款。
資料擷取與刪除
如要瞭解合約終止後如何擷取及刪除客戶資料,請參閱《Cloud 資料處理附加條款》第 6 和 9 節。Google 讓客戶能以與服務功能一致的方式匯出客戶資料。Google 會依照第 6 節的說明,在期限屆滿時從 Google 系統中刪除客戶資料。
Google 會持續配合監管生態的變化提升各項功能。