B 級保護 (加拿大)

Google Cloud 的 B 級保護法規遵循情形

加拿大網路安全中心 (Cyber Centre) 制定了一套雲端服務安全性評估架構,稱為「加拿大政府:雲端服務供應商 (CSP) 資訊技術安全性 (ITS) 評估計畫」(Government of Canada: Cloud Service Provider (CSP) Information Technology Security (ITS) Assessment Program)。ITS 評估計畫的主要目標,是向加拿大政府部門和機關保證雲端服務符合該政府的公有雲安全規定,可用來處理最高等級為「B 級保護」(Protected B) 的資訊和服務。這項計畫會就 CSP 提供的特定雲端服務,評估其安全防護機制、控制項和運作方式。換句話說,ITS 評估計畫並非針對整間公司進行認證,而是根據既定的加拿大政府安全性控管機制來評估特定服務。

CSP ITS 評估共分成三個環節,每個環節由加拿大政府的不同團隊進行:1) 網路安全中心的供應鏈完整性 (SCI) 團隊負責評估與公司擁有權、地理位置和產品/服務相關的風險;2) 加拿大公共服務暨採購部門負責透過合約安全計畫 (PSPC CSP) 評估實體和員工安全性;3) 網路安全中心負責根據加拿大政府的雲端控管機制評估雲端服務,這些機制包括 B 級保護中影響等級 (Protected B Medium,舊稱 PBMM),以及 B 級保護高價值資產 (Protected B High Value Asset,簡稱 PBHVA) 額外控管措施。

Google Cloud 已完成 ITS 評估的三個環節,包括網路安全中心的供應鏈完整性和 IT 雲端安全性評估程序,還有必要的實體和員工安全性評估。如果加拿大聯邦政府客戶想依據合約安全計畫規範採購雲端服務,必須選用「加拿大 B 級保護專用資料邊界」功能套件。

簡介

加拿大政府會根據不同的安全性分類等級來為資料歸類,例如「A 級保護」(Protected A)、「B 級保護」(Protected B)、「密件級」(Confidential)、「機密級」(Secret) 和「最高機密」(Top Secret) 等。分類等級取決於資訊的敏感性,以及資訊的機密性、完整性和/或可用性受損害時,可能會引發的危害。加拿大政府部門和機關必須先識別及分類資訊,瞭解應採行哪項安全控管機制,再使用合適的雲端服務。

什麼是 B 級保護?

「受保護的資訊」可歸類為「A 級保護」、「B 級保護」或「C 級保護」。這種分類方式適用於個人資訊、機密商業資訊,以及能合理推斷遭駭時會危害非國家利益的任何其他資訊或資產。具體而言,B 級保護資訊涵蓋個人私密資訊,例如病歷、績效評估報告、財務詳細資訊等。如果有人未經授權揭露這類資訊,可能會對個人/組織造成嚴重危害,包括心理不適、財務損失或信譽遭破壞。

加拿大政府已發布多項政策工具,例如《政府安全政策》(Policy on Government Security)、服務與數位政策/指令/規範 (Policy/Directive/Guideline on Service and Digital)、合約安全手冊 (Contract Security Manual),以及《商業雲端服務安全使用指引:安全政策實施通知 (SPIN)》(Direction on the Secure Use of Commercial Cloud Services: Security Policy Implementation Notice (SPIN))。這些內容載明實體、員工和 IT 方面的安全規定,同時指出各部門、機關和私營組織能考慮採用的控管機制,以確實保護機密政府資訊。

B 級保護的雲端相關安全控管規範有哪些?

如要瞭解雲端安全控管規範,請見《資訊技術安全指引附錄 3 (ITSG-33) - IT 安全風險管理:生命週期做法》(Annex 3 of Information Technology Security Guidance (ITSG-33) – IT Security Risk Management: A Lifecycle Approach)。IT 安全規定則是以網路安全中心的「中影響等級雲端安全控管機制」(Medium Cloud Security Control Profile) 做為基準。另外,加拿大政府也設計出一套 B 級保護高價值資產 (PBHVA) 雲端安全控管機制 (B High Value Assets (PBHVA) Cloud Security Control Profile),定義了額外的完整性和可用性增強控管措施,適合用來支援確認屬於高價值資產系統的 B 級保護工作負載。

加拿大公共服務暨採購部門 (PSPC) 合約安全計畫 (CSP)

PSPC CSP 旨在驗證雲端服務合約提及的員工和實體安全,包括確認 Google Cloud 已註冊加入 PSPC CSP、取得必要的組織安全許可,並協助員工取得個人安全許可,得以在有業務需求時存取受保護的資訊或營運區域。PSPC 也會對 Google Cloud 加拿大資料中心進行實體安全調查,確保園區符合資安營運區域、妥善資料防護、存取權控管和合約安全方面的規範。

加拿大網路安全中心 (CCCS) 供應鏈完整性 (SCI)

網路安全中心的 SCI 團隊負責評估擁有權、位置和商業行為等與公司相關的風險因素,以及產品或服務本身的技術風險。SCI 團隊會參考多種來源的資訊產生風險評分,協助決定最終的雲端安全性評估結果。如要進一步瞭解 SCI 的作業程序,請參閱「ITSAP.10.070 網路供應鏈:風險評估做法」(ITSAP.10.070, Cyber supply chain: An approach to assessing risk)。

加拿大網路安全中心 (CCCS) CSP IT 安全性評估程序

雲端服務供應商 (CSP) 資訊技術安全性 (ITS) 評估程序 (ITSM.50.100),是指根據安全控管機制 (中影響等級雲端控管機制和/或 B 級保護高價值資產額外控管措施) 評估雲端解決方案。Google Cloud 負責提供證據,證明我們確實遵守相關控管機制的各項安全控管措施。接著,CCCS 會發布安全性評估報告,總結調查結果。

Google Cloud 的 B 級保護法規遵循情形

Google Cloud 已通過 PSPC CSP 的評估,確實符合組織、實體和員工方面的安全規定。Google Cloud 也完成了加拿大網路安全中心 (CCCS) 的雲端服務供應商 (CSP) IT 安全性評估和供應鏈完整性 (SCI) 程序,經認可能支援下列類型的工作負載:B 級保護中影響等級,以及 B 級保護高價值資產。歡迎視需要透過法規遵循報告管理員取得 CCCS 摘要報告,無須額外付費。

在 Google Cloud 託管 B 級保護工作負載

Google Cloud 在自家預設採用安全設定的基礎架構上投入資源,確保內建及預先設定安全性控管機制,讓客戶無須使用傳統獨立的政府雲端基礎架構,也能達成各種法規遵循等級。

Assured Workloads 是 Google Cloud 法規遵循產品,可協助客戶遵守各種架構的規範,例如 CJIS、FedRAMP (中等和高等)、美國國防部 IL2/IL4/IL5、B 級保護等。

如果加拿大聯邦政府客戶想依據合約安全計畫規範,使用 Google Cloud 服務處理受保護的工作負載,必須選用「加拿大 B 級保護專用資料邊界」功能套件。加拿大 B 級保護專用 Assured Workloads 具備 B 級保護授權的服務,可導入合適的控管措施,協助加拿大政府部門簡化安全防護與法規遵循作業,具體做法如下:設定防護措施,限制加拿大的 B 級保護客戶資料位置;以及僅限取得「可靠狀態」等級以上個人安全許可的人員提供技術支援。如要查看加拿大 B 級保護專用 Assured Workloads 支援的產品/服務清單,請參閱這份說明文件

範圍內的服務

下列 Google Cloud 服務已經過加拿大網路安全中心的 B 級保護 IT 安全性評估:

B 級保護中影響等級

存取權核准

Access Context Manager

資料存取透明化控管機制

管理控制台 (包括 Admin SDK、Directory Sync)

AI 平台資料標籤服務

AI 平台神經架構搜尋

AI 平台訓練和預測

Anthos Config Management (ACM)

Anthos Identity Service (AIS)

Anthos 服務網格

Apigee

App Engine

Artifact Registry

Assured Workloads

AutoML Natural Language

AutoML Tables

AutoML Translation

AutoML Video

AutoML Vision

BeyondCorp Enterprise (附註:已不屬於 Cloud 控制台服務)

BigQuery

BigQuery 資料移轉服務

二進位授權

Care Studio (舊稱 Cloud Healthcare Search)

憑證授權單位服務

Chronicle (資安產品)

Chronicle SOAR

Cloud Asset Inventory

Cloud Bigtable

Cloud Billing

Cloud Build

Cloud CDN

Cloud Composer

Cloud 控制台 (不包括 BeyondCorp Enterprise)

Cloud Console 應用程式

Cloud Data Fusion

Cloud Data Loss Prevention

Cloud Deployment Manager

Cloud DNS

Cloud Endpoints

Cloud External Key Manager (Cloud EKM)

Cloud Filestore

Cloud Functions

Cloud Functions for Firebase

Cloud Healthcare

Cloud Healthcare API

Cloud HSM

Cloud Identity

Cloud Identity-Aware Proxy

Cloud IDS

Cloud Interconnect

Cloud Key Management Service

Cloud Life Sciences (舊稱 Google Genomics)

Cloud Load Balancing

Cloud Logging

Cloud Monitoring

Cloud NAT (網路位址轉譯)

Cloud Natural Language API

Cloud Profiler

Cloud Router

Cloud Run (全代管)

Cloud Run for Anthos

Cloud Scheduler

Cloud SDK

Cloud Shell

Cloud Source Repositories

Cloud Spanner

Cloud SQL

Cloud Storage

Cloud Storage for Firebase

Cloud Tasks

Cloud Trace

Cloud Translation

Cloud Vision

Cloud VPN

Cloud Workstations

Compute Engine

Connect

Contact Center AI

Container Registry

Data Catalog

資料庫遷移服務

Dataflow

Dataproc

Datastore

DataStream

Dialogflow

Document AI

Earth Engine

Eventarc

Firebase 驗證

Firestore

GCP Marketplace (舊稱 Cloud Launcher)

Vertex AI 的生成式 AI

GKE Hub

Google Cloud Armor

Google Kubernetes Engine

Identity & Access Management

Identity Platform

Insights

金鑰存取依據 (存取自主性)

Looker Studio (包括 Pro 版,舊稱 Google 數據分析)

Memorystore

Network Connectivity Center

Network Intelligence Center

網路服務級別

Notebooks (舊稱 Vertex AI Workbench/AI 平台 Notebooks)

Persistent Disk

Pub/Sub

reCAPTCHA Enterprise

Resource Manager API

Secret Manager

Security Command Center (舊稱 Cloud Security Scanner,包括 Web Security Scanner)

Service Directory

Service Infrastructure (舊稱 Service Control,包括 Service Management API 和 Service Consumer Management API)

Speech-to-Text

Storage 移轉服務

Talent Solution

Text-to-Speech

Traffic Director

Vertex AI 預測

Vertex AI Model Registry

Vertex AI Search (包括 Agentspace)

Vertex 機器學習中繼資料

Vertex 模型監控

Vertex 線上和批次預測

Vertex 管道

Vertex 訓練

Video Intelligence API

虛擬私有雲 (VPC)

VM 管理員

VPC Service Controls

Web Risk API

Workflows

員工身分聯盟 (BYOID)


B 級保護高價值資產 (PBHVA)

存取權核准

Access Context Manager

資料存取透明化控管機制

管理控制台 (包括 Admin SDK、Directory Sync)

AI 平台資料標籤服務

AI 平台神經架構搜尋

AI 平台訓練和預測

Anthos Config Management (ACM)

Anthos Identity Service (AIS)

Anthos 服務網格

Apigee

App Engine

Artifact Registry

Assured Workloads

AutoML Natural Language

AutoML Tables

AutoML Translation

AutoML Video

AutoML Vision

BeyondCorp Enterprise (附註:已不屬於 Cloud 控制台服務)

BigQuery

BigQuery 資料移轉服務

二進位授權

Care Studio (舊稱 Cloud Healthcare Search)

憑證授權單位服務

Chronicle (資安產品)

Chronicle SOAR

Cloud Asset Inventory

Cloud Bigtable

Cloud Billing

Cloud Build

Cloud CDN

Cloud Composer

Cloud 控制台 (不包括 BeyondCorp Enterprise)

Cloud Console 應用程式

Cloud Data Fusion

Cloud Data Loss Prevention

Cloud Deployment Manager

Cloud DNS

Cloud Endpoints

Cloud External Key Manager (Cloud EKM)

Cloud Filestore

Cloud Functions

Cloud Functions for Firebase

Cloud Healthcare

Cloud Healthcare API

Cloud HSM

Cloud Identity

Cloud Identity-Aware Proxy

Cloud IDS

Cloud Interconnect

Cloud Key Management Service

Cloud Life Sciences (舊稱 Google Genomics)

Cloud Load Balancing

Cloud Logging

Cloud Monitoring

Cloud NAT (網路位址轉譯)

Cloud Natural Language API

Cloud Profiler

Cloud Router

Cloud Run (全代管)

Cloud Run for Anthos

Cloud Scheduler

Cloud SDK

Cloud Shell

Cloud Source Repositories

Cloud Spanner

Cloud SQL

Cloud Storage

Cloud Storage for Firebase

Cloud Tasks

Cloud Trace

Cloud Translation

Cloud Vision

Cloud VPN

Cloud Workstations

Compute Engine

Connect

Contact Center AI

Container Registry

Data Catalog

資料庫遷移服務

Dataflow

Dataproc

Datastore

DataStream

Dialogflow

Document AI

Earth Engine

Eventarc

Firebase 驗證

Firestore

GCP Marketplace (舊稱 Cloud Launcher)

GKE Hub

Google Cloud Armor

Google Kubernetes Engine

Identity & Access Management

Identity Platform

Insights

金鑰存取依據 (存取自主性)

Looker Studio (包括 Pro 版,舊稱 Google 數據分析)

Memorystore

Network Connectivity Center

Network Intelligence Center

網路服務級別

Notebooks (舊稱 Vertex AI Workbench/AI 平台 Notebooks)

Persistent Disk

Pub/Sub

reCAPTCHA Enterprise

Resource Manager API

Secret Manager

Security Command Center (舊稱 Cloud Security Scanner,包括 Web Security Scanner)

Service Directory

Service Infrastructure (舊稱 Service Control,包括 Service Management API 和 Service Consumer Management API)

Speech-to-Text

Storage 移轉服務

Talent Solution

Text-to-Speech

Traffic Director

Vertex AI 預測

Vertex AI Model Registry

Vertex 機器學習中繼資料

Vertex 模型監控

Vertex 線上和批次預測

Vertex 管道

Vertex 訓練

Video Intelligence API

虛擬私有雲 (VPC)

VM 管理員

VPC Service Controls

Web Risk API

Workflows

員工身分聯盟 (BYOID)

展開下一步行動

運用價值 $300 美元的免費抵免額和超過 20 項一律免費的產品,開始在 Google Cloud 中建構產品與服務。

Google Cloud