Cloud 第三方風險管理資源中心

Google Cloud 致力於維持完善的第三方風險管理計畫,不僅保護 Google Cloud 營運,也維護 Google Cloud 客戶和合作夥伴的信任。

引言

Google Cloud 可能會聘僱第三方 (即「分包商」) 執行與 Google Cloud 服務相關的特定活動。這些分包商會受到 Google Cloud 第三方風險管理 (TPRM) 計畫的監控和管理,確保與任何分包商的合作關係都符合 Google Cloud 在安全性、法規遵循和作業效率方面的高標準。


Google Cloud 致力於持續投資強化第三方風險管理能力,以便在瞬息萬變的風險環境中保持領先地位。此外,第三方也應負起社會、環境和道德責任,如供應商行為準則所定義。

分包商總覽

Google Cloud 的 TPRM 計畫採取以風險為準的做法,會根據第三方造成的風險程度,對其進行識別、評估、管理和監控。提供重要服務的第三方會受到更嚴格的管理和監督。具體來說,TPRM 計畫會區分處理客戶資料的分包商 (複委託者) 和不處理客戶資料的分包商。下列內容說明 Google Cloud 在分包商生命週期各階段執行的第三方風險管理活動。

供應商圖片

第三方風險管理

Google Cloud 的 TPRM 計畫由雲端資安長 (CISO) 組織負責管理,並由 Google 的企業第三方風險管理計畫、採購、供應商管理組織、風險與法規遵循團隊,以及法律團隊提供支援,確保整個組織能妥善管理第三方風險。


我們設有跨部門的管理階層等級的管理機構,負責監督及管理 Google Cloud 相關事務,包括第三方風險。管理機構會運用明確的風險承受度和容忍度,確保分包商引發的潛在風險可控管在可接受的範圍內。此外,Google Cloud 也制定相關政策和程序,確保我們評估、監控及管理整體第三方風險的做法一致且周全。

Google Cloud 第三方風險管理生命週期

規劃

在與第三方合作之前,Google Cloud TPRM 計畫要求先完成評估,以便將第三方歸類,並判斷第三方服務的風險程度。風險等級用於定義盡職調查、簽約、到職訓練和持續監控的相關規定。在這個階段,我們會評估整體集中度風險,以判斷將新分包商導入 Google Cloud 的影響。

規劃的圖片
盡職調查圖片

盡職調查

Google Cloud 的 TPRM 計畫旨在處理各種第三方風險領域,包括資訊安全、隱私權、事件管理、維持企業營運、監管法規遵循、財務穩定性、地點風險、營運能力等。為有效管理這些風險,Google Cloud 會與內部專業領域的專家合作,這些專家會提供專業見解並制定專屬的風險控管與管理策略。有了這些專業知識,Google Cloud 就能主動找出、評估並減輕與第三方合作關係的潛在風險。

完成盡職調查評估是新手上路和開始提供服務的必要條件。我們每年會重新評估分包商,並使用集中式問題管理程序來追蹤、管理及修正任何已識別的問題。盡職調查完成後,我們會匯總結果並與 Google Cloud 管理團隊分享。

簽約

Google Cloud 團隊在招募分包商時,會依照既定程序,在服務開始前與分包商簽訂適當的合約。這些合約涵蓋 Google Cloud 嚴格的安全性、隱私權和法規遵循規定,以及涉及分包商時,我們對客戶的義務。

合約中會明訂服務水準協議、KPI 或其他成效指標,並為分包商制定成效策略,確保持續進行成效監控。

新手上路

完成盡職調查後,Google 會在合約議定的時間內,通知客戶新分包商的相關資訊。

舉例來說:Google Cloud 會在新的複委託者開始處理客戶資料前,至少提前 30 天通知所有客戶。

只有在適用的通知期間過後,才可開始提供分包契約服務,並向複委託者提供客戶資料存取權。

持續監控

在分包商加入後,Google Cloud 相關團隊會持續監控他們在各層面的成效和風險管理相關表現。我們會透過明確的主要成效指標 (KPI) 和季度業務審查 (QBR) 會議,每季 (至少) 正式管理成效。

我們每年會進行風險評估 (類似盡職調查評估),並持續監控分包商,以便偵測風險狀況是否有變化,進而決定是否需要進一步評估。

如果現有分包商的服務類型或地點有變更,Google Cloud 會在合約議定時間內通知客戶。

Google Cloud 會透過集中式事件管理計畫,追蹤、管理及解決在監控期間找出的任何事件。這個計畫會讓各部門的專家組成專屬的跨職能團隊,確保能及時進行調查、補救及主動溝通。如需更多資訊,請參閱 Google Cloud 的資料事件應變程序。


監控的圖片
合約終止圖片

終止

我們會在合作夥伴加入時制定退場計畫,並透過這份計畫管理預定的分包商終止合約事宜,確保 Google Cloud 提供服務不受負面影響。

Google Cloud 如何確保服務持續性

Google Cloud 瞭解服務持續性對客戶成功的重要性,並設有完善的內部控管機制來確保服務不中斷。

Google Cloud 會定期評估分包商維持企業營運的計畫,找出潛在風險並制定策略,以減輕風險帶來的影響。我們也會根據合約,定期監控分包商的表現,確保其將服務品質維持在定義的主要成效指標 (KPI) 範圍內。



如有突發狀況,而 Google Cloud 需要從分包商轉移服務,我們已制定服務中斷退場計畫,確保服務能順利轉移,不致中斷。

Google Cloud 如何保護客戶資料

客戶資料並非屬 Google 所有,您才是資料的擁有者。我們只會依照您的指示處理客戶資料,不會決定處理的目的或基本方式。因此,我們是客戶資料的處理者,而非控管者或共同控管者。

Google 會透過複委託者執行與 Google Cloud 服務相關的特定活動,例如技術支援服務。根據《Cloud 資料處理附加條款》,Google 向客戶保證,其與複委託者簽訂的書面協議將包含特定保護措施。透過該協議,Google 將確保以下事項:



  

  1. 複委託者僅在執行分包義務的必要範圍內,存取及使用客戶資料;
  2. 複委託者必須依據與 Google 簽訂的書面協議,執行這類處理作業;
  3. 如適用法律規定,則複委託者須遵守相關資料保護義務 (如《Cloud 資料處理附加條款》所述)。

Google 會稽核複委託者的安全性及隱私權做法,並根據該複委託者可能會存取的資料和提供的服務範圍,判斷其採取的安全性及隱私權防護層級是否恰當。

Google 評估複委託者的各項風險後,複委託者必須簽訂適當的安全性、機密性和隱私權合約條款。具體而言,Google 會透過合約確保複委託者僅在執行特定活動的必要範圍內存取客戶資料,且所有存取行為均符合 Google Cloud 的資料保護條款。

如要進一步瞭解 Google Cloud 的隱私權服務,請參閱隱私權資源中心。

鎖頭圖片

展開下一步行動

如需進一步瞭解分包商,請與您的帳戶代表聯絡,或與我們聯絡。