第三方风险管理资源中心

Google Cloud 可能会聘请第三方（分包商）执行与 Google Cloud 服务相关的特定活动。这些分包商通过 Google Cloud 的第三方风险管理 (TPRM) 计划进行监控和管理，该计划旨在确保与任何分包商的合作都坚持以 Google Cloud 的高标准追求安全性、合规性和运营效率。

Google Cloud 的 TPRM 计划采用基于风险的方法来识别、评估、管理和监控第三方，具体取决于第三方所带来的风险级别。对提供重要服务的第三方，我们会加强治理和监督。具体而言，TPRM 计划会区分处理客户数据的分包商（子处理方）和不处理客户数据的分包商。下方内容介绍了 Google Cloud 在分包商生命周期的每个阶段所开展的第三方风险管理活动。

Google Cloud 的 TPRM 计划由 Cloud 首席信息安全官 (CISO) 组织进行治理和管理，并由 Google 的企业第三方风险管理计划、采购、供应商管理组织、风险和合规性以及法律团队提供支持，以确保在整个组织中妥善管理第三方风险。

在与第三方合作之前，Google Cloud TPRM 计划要求完成评估，以对第三方进行分类并确定第三方服务所带来的风险级别。风险级别用于定义尽职调查、签约和第三方加入以及持续监控方面的要求。在此阶段，我们会评估整体集中风险，以确定将新分包商加入 Google Cloud 的影响。

Google Cloud 团队在与分包商建立合作关系时，会遵循既定流程，以在服务开始之前与分包商签署适当的合同。这些合同涵盖了 Google Cloud 的严格安全、隐私和合规要求，以及我们在分包商方面对客户的义务。

通过合同定义服务等级协议 (SLA)、关键绩效指标 (KPI) 或其他绩效指标，并为分包商制定绩效策略，以确保持续进行绩效监控。

在与分包商建立合作关系后，相关的 Google Cloud 团队会持续监控其在绩效和风险管理等各个方面的表现。通过设定的关键绩效指标 (KPI) 和季度业务总结 (QBR) 会议，至少每季度正式管理一次绩效。

虽然我们每年都会进行风险评估（类似于尽职调查评估），但我们会持续监控分包商，以检测风险状况的潜在变化，这可能需要进一步评估。

如果现有分包商的服务类型或位置发生变化，Google Cloud 将在合同约定的期限内通知客户。

Google Cloud 在监控期间发现的任何突发事件都将通过一个集中的突发事件管理计划进行跟踪、管理和解决，该计划汇集了一个跨职能的专家团队，以专门团队的形式运作，以确保及时进行调查、补救和主动沟通。如需了解详情，请参阅 Google Cloud 的数据突发事件响应流程。

Google Cloud 了解服务连续性对客户成功的重要性，并制定了全面的内部控制措施来保护服务连续性。

Google Cloud 会定期评估分包商的业务连续性计划，以识别潜在风险并制定策略来减轻其影响。定期监控分包商的表现，以确保其服务质量符合既定关键绩效指标 (KPI)。

客户数据是您的数据，而不是 Google 的数据。我们仅会按照您的指示处理客户数据，不会自行决定处理数据的目的或主要方式。因此，我们是客户数据的处理方，而不是控制方或共同控制方。

Google 会使用子处理方来执行与 Google Cloud 服务相关的有限活动，例如技术支持服务。根据我们的云端数据处理附录，Google 向客户承诺，其与子处理方签订的书面协议将包含特定的保护措施。Google 将通过该协议确保以下事项：

Google 会对子处理方的安全和隐私权规范进行审核，确保子处理方提供的安全和隐私级别与其访问数据和所提供服务的范围相称。

Google 对子处理方存在的风险进行评估后，子处理方必须签署相应的安全、保密和隐私合同条款。具体而言，Google 将通过合同确保子处理方仅在执行其有限活动所需的范围内访问客户数据，并且所有访问行为都符合 Google Cloud 的数据保护条款。

如需详细了解 Google Cloud 的隐私保护产品和服务，请参阅隐私保护资源中心。