서드 파티 위험 관리 리소스 센터

Google Cloud는 Google Cloud의 운영을 보호할 뿐만 아니라 Google Cloud의 고객과 파트너의 신뢰를 유지하는 강력한 서드 파티 위험 관리 프로그램을 유지하기 위해 최선을 다하고 있습니다.

영업팀에 문의CISO 통계

소개

Google Cloud는 Google Cloud 서비스와 관련된 특정 활동을 수행하기 위해 서드 파티(하도급업체)와 협력할 수 있습니다. 이러한 하도급업체는 Google Cloud의 서드 파티 위험 관리(TPRM) 프로그램을 통해 모니터링 및 관리됩니다. 이 프로그램은 하도급업체와의 계약이 Google Cloud의 높은 보안, 규정 준수, 운영 효율성 표준을 준수하도록 설계되었습니다.


Google Cloud의 노력은 끊임없이 변화하는 위험 환경에서 앞서 나가기 위해 서드파티 위험 관리 기능을 개선하는 데 지속적으로 투자하는 데 반영되어 있습니다. 또한 서드 파티는 공급업체 행동규범에 정의된 사회적, 환경적, 윤리적 책임을 다해야 합니다.

공급업체 행동규범

하도급업체 개요

Google Cloud의 TPRM 프로그램은 위험 기반 접근 방식을 취하여 서드 파티로 인한 위험 수준에 비례하여 서드 파티를 식별, 평가, 관리, 모니터링합니다. 중요한 서비스를 제공하는 서드 파티는 강화된 거버넌스와 감독을 받습니다. 특히 TPRM 프로그램은 고객 데이터를 처리하는 하도급업체(하위 프로세서)와 그렇지 않은 하도급업체를 구분합니다. 아래 내용은 Google Cloud의 서드 파티 위험 관리 활동이 하도급업체 수명 주기의 각 단계에서 어떻게 이루어지는지 설명합니다.

공급업체 이미지

서드 파티 위험 거버넌스

Google Cloud의 TPRM 프로그램은 Cloud 최고 정보 보안 책임자(CISO) 조직을 통해 관리되며 Google의 엔터프라이즈 서드 파티 위험 관리 프로그램, 조달, 공급업체 관리 조직, 위험 및 규정 준수, 법무팀의 지원을 받아 조직 전반에서 서드 파티 위험을 적절하게 관리합니다. 


여러 직종으로 구성된 경영진 수준의 관리 조직이 서드 파티 위험을 포함한 Google Cloud의 감독 및 관리를 제공합니다. 관리 조직은 정의된 위험 성향 및 허용 범위를 활용하여 하도급업체에서 발생할 수 있는 잠재적 위험이 허용 가능한 한도 내에서 관리되도록 합니다. 또한 Google Cloud가 전반적인 서드 파티 위험을 평가, 모니터링, 관리하는 방식의 일관성과 철저함을 보장하기 위한 정책과 절차가 마련되어 있습니다.

Google Cloud의 서드 파티 위험 관리 수명 주기

계획

Google Cloud TPRM 프로그램에서는 서드 파티와 협력하기 전에 서드 파티를 분류하고 서드 파티 서비스로 인한 위험 수준을 판단하기 위한 평가를 완료해야 합니다. 위험 수준은 실사, 계약, 온보딩, 지속적 모니터링에 대한 요구사항을 정의하는 데 사용됩니다. 이 단계에서는 새로운 하도급업체를 Google Cloud에 온보딩하는 것이 미치는 영향을 파악하기 위해 전반적인 집중 위험을 평가합니다.

계획 이미지
실사 이미지

실사

Google Cloud의 TPRM 프로그램은 정보 보안, 개인 정보 보호, 사고 관리, 비즈니스 연속성, 규정 준수, 재무 안정성, 위치 위험, 운영 능력 등 다양한 서드 파티 위험 영역을 해결하도록 설계되었습니다. 이러한 위험을 효과적으로 관리하기 위해 Google Cloud는 전문적인 통계를 제공하고 맞춤형 위험 완화 및 관리 전략을 개발하는 내부 주제 전문가를 참여시킵니다. 이러한 전문성을 바탕으로 Google Cloud는 서드 파티 관계 전반에서 잠재적인 위험을 선제적으로 식별, 평가, 완화할 수 있습니다. 

온보딩 및 서비스 시작에 있어 실사 평가를 만족스럽게 완료하는 것은 필수입니다. 하도급업체는 매년 재평가를 받으며, 확인된 문제는 중앙 문제 관리 프로세스를 사용하여 추적, 관리, 해결됩니다. 실사가 완료되면 결과가 집계되어 Google Cloud 관리팀과 공유됩니다. 

계약

Google Cloud팀은 하도급업체를 온보딩할 때 정의된 절차에 따라 하도급업체와 적절한 계약을 체결한 후 서비스를 시작합니다. 이러한 계약은 Google Cloud의 강력한 보안, 개인 정보 보호, 규정 준수 요구사항은 물론 고객에 대한 하도급업체를 관련 의무도 다룹니다. 

SLA, KPI 또는 기타 성과 측정항목은 계약에 정의되어 있으며, 성과 모니터링이 지속적으로 이루어지도록 하도급업체를 위한 실적 전략이 수립되어 있습니다.

온보딩

실사가 완료되면 Google은 계약상 합의된 일정 내에 고객에게 새로운 하도급업체에 대해 알립니다. 

예: Google Cloud는 새로운 보조 프로세서가 고객 데이터 처리를 시작하기 최소 30일 전에 모든 고객에게 이를 알립니다. 

하도급 서비스는 관련된 통지 기간이 지난 후에만 시작할 수 있으며, 보조 프로세서인 경우 고객 데이터에 대한 액세스는 관련된 통지 기간이 지난 후에만 프로비저닝할 수 있습니다.

지속적인 모니터링

하도급업체가 온보딩되면 관련 Google Cloud팀에서 지속적으로 모니터링하여 성과 및 위험 관리와 관련된 다양한 측면을 평가합니다. 성과는 정의된 핵심 성과 지표(KPI)와 분기별 비즈니스 검토(QBR) 회의를 통해 최소 분기별로 공식적으로 관리됩니다. 

실사 평가와 유사한 위험 평가는 매년 실시되지만 하도급업체를 지속적으로 모니터링하여 추가 평가가 필요한 위험 상황의 잠재적 변화를 감지합니다. 

기존 하도급업체의 서비스 유형 또는 위치가 변경되는 경우 Google Cloud는 계약상 합의된 일정 내에 고객에게 이를 알립니다. 

모니터링 중에 Google Cloud에서 식별한 모든 사고는 중앙 사고 관리 프로그램을 통해 추적, 관리, 해결됩니다. 이 프로그램은 조사, 해결, 선제적 커뮤니케이션을 적시에 수행할 수 있도록 전담팀 형식으로 여러 직무의 전문가를 모아 팀을 구성합니다. 자세한 내용은 Google Cloud의 데이터 사고 대응 프로세스에서 확인하세요.


Google Cloud의 데이터 사고 대응 절차
모니터링 이미지
계약 해지 이미지

해지

계획된 하도급업체 해지는 온보딩 시 수립된 종료 계획을 통해 관리되며, Google Cloud의 서비스 제공에 부정적인 영향을 미치지 않도록 설계되었습니다.

Google Cloud가 서비스 연속성을 보장하는 방법

Google Cloud는 고객의 성공에 있어 서비스 연속성이 갖는 중요성을 이해하고 있으며 이를 보호하기 위한 포괄적인 내부 제어 장치를 갖추고 있습니다.

Google Cloud는 하도급업체의 비즈니스 연속성 프로그램을 정기적으로 평가하여 잠재적 위험을 파악하고 영향을 완화하기 위한 전략을 개발합니다. 계약에 따른 하도급업체의 성과는 정의된 핵심성과지표(KPI) 내에서 서비스 품질을 유지하기 위해 정기적으로 모니터링됩니다.



Google Cloud가 하도급업체에서 서비스를 전환해야 하는 예기치 못한 상황이 발생하는 경우 서비스 중단 없이 원활한 전환을 보장하기 위해 철저한 종료 계획이 마련되어 있습니다.

Google Cloud가 고객 데이터를 보호하는 방법

고객 데이터는 Google이 아닌 고객의 데이터입니다. Google은 고객의 지침에 따라 고객 데이터를 처리할 뿐이며, 처리의 목적이나 필수적인 수단을 결정하지 않습니다. 따라서 Google은 고객 데이터의 컨트롤러나 공동 컨트롤러가 아니라 프로세서입니다.

Google은 기술 지원 서비스와 같은 Google Cloud 서비스와 관련하여 제한된 활동을 수행하기 위해 보조 프로세서를 사용합니다. Cloud 데이터 처리 추가 조항에 따라 Google은 보조 프로세서와의 서면 계약에 특정 보호 조항이 포함된다고 고객에게 약정합니다. Google은 해당 계약을 통해 다음과 같은 사항을 보장합니다.



  

  1. 보조 프로세서는 하도급받은 의무를 수행하는 데 필요한 범위 내에서만 고객 데이터에 액세스하고 사용합니다. 
  2. 보조 프로세서는 Google과의 서면 계약에 따라 이러한 처리를 수행하며 
  3. 해당 법률에 따라 필요한 경우, 관련 데이터 보호 의무(Cloud 데이터 처리 추가 조항에 설명된 의무)가 보조 프로세서에게 적용됩니다.
Cloud 데이터 처리 추가 조항

Google은 보조 프로세서의 보안 및 개인정보 보호관행에 대해 감사를 실시하여 보조 프로세서가 부여되는 데이터 액세스 권한과 제공하기로 한 서비스 범위에 비추어 볼 때 타당한 수준의 보안 및 개인정보 보호를 제공하도록 보장합니다. 

Google에서 보조 프로세서에 의해 발생하는 위험을 평가하고 나면 보조 프로세서는 적절한 보안, 기밀성, 개인 정보 보호 계약 조항을 체결해야 합니다. 특히 Google은 계약을 통해 보조 프로세서가 제한된 활동을 수행하는 데 필요한 범위 내에서만 고객 데이터에 액세스하고 모든 액세스가 Google Cloud의 데이터 보호 약관을 준수하도록 보장합니다. 

Google Cloud의 개인 정보 보호 제품에 대한 자세한 내용은 개인 정보 보호 리소스 센터를 참조하세요.

개인정보 보호 리소스 센터
자물쇠 이미지

다음 단계 수행

하도급업체에 대한 자세한 내용은 계정 담당자에게 문의하거나 Google에 문의하세요.

무료로 시작하기
Google Cloud
Docs지원
콘솔
로그인
무료로 시작하기
문의하기
  • 디지털 혁신 가속화
  • 디지털 혁신을 이제 막 시작한 기업이든 이미 일정 수준에 도달한 기업이든 Google Cloud를 사용하면 가장 까다로운 도전과제를 해결할 수 있습니다.
  • Google Cloud 제품
  • 100개가 넘는 제품을 살펴보세요. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다. 모든 고객이 월간 사용량 한도까지 25개 이상의 제품을 무료로 사용할 수 있습니다.
  • 투명한 가격 책정 방식으로 비용 절감
  • Google Cloud는 사용한 만큼만 지불하는 가격 책정 방식으로 월별 사용량과 선불 리소스의 할인율을 기준으로 자동 할인을 제공합니다. 지금 Google에 문의하여 견적을 받아보세요.
Google Cloud