資料事件回應程序

本文上次更新於 2024 年 5 月，內容反映截至撰文時的情況。我們會持續改善保護客戶的方式，因此 Google 的安全性政策和系統未來可能會改變。

Google 的首要任務是為客戶資料維護安全無虞的環境。為協助保護客戶資料，我們採用領先業界的資訊安全作業，結合嚴格的程序、專業的事件應變團隊，以及多層資訊安全和隱私權基礎架構。本文件說明我們在 Google Cloud中管理及應對資料事件的原則性做法。

《Cloud 資料處理附加條款》將資料事件定義為「因違反 Google 安全規定，導致系統上由 Google 管理或控制的『客戶資料』受到意外或非法損害、損失、修改或未經授權之揭露或存取」。雖然我們會採取措施，因應資料和系統可預見的威脅，但資料事件不包括未成功的嘗試或活動，也不包括不會危及客戶資料安全性的活動。舉例來說，失敗的登入嘗試、連線偵測 (ping)、通訊埠掃描、阻斷服務攻擊，以及其他對防火牆或網路系統的網路攻擊，都不屬於資料事件。

事件回應程序是我們整體安全性及隱私權計畫的關鍵一環。對於管理資料事件，我們制定了一套嚴格的處理程序。這個程序規定，一旦客戶資料的機密性、完整性或可用性可能因為某個事件受到影響，相關人員應該採取什麼樣的動作、提報程序、緩解措施、解決方法和通知機制。

如要進一步瞭解我們的安全防護措施，請參閱基礎架構安全設計總覽和Google Cloud 安全性。 Google Cloud

資料事件回應

我們的事件回應計畫是由各領域專職事件回應的專家團隊負責，以確保對每起事件所發現的問題對症下藥。視事件的性質而定，這個專家回應團隊可能涵蓋以下領域：

• 事件和提報管理
• 產品工程
• 網站穩定性工程
• 雲端安全性和隱私權
• 數位鑑識
• 全域調查
• 偵測與回應
• 安全性、隱私權和產品諮詢
• 信任與安全性
• 反濫用技術
• Cloud Customer Care

這些團隊的專家會透過各種方式參與事件回應程序。舉例來說，事件指揮官負責協調事件回應程序，在需要的時候，數位鑑識團隊要幫忙進行鑑識調查，並追蹤持續進行中的攻擊。產品工程師負責將對客戶的影響降到最低，另外也要提供解決方案來修正受影響的產品；法律顧問會與適當的安全和隱私權團隊成員合作，執行 Google 的證據蒐集策略、與執法單位和政府監管機構交涉，並提供法律問題和要求的相關建議。Customer Care 團隊會回應顧客提出的問題和要求，藉此提供額外資訊和協助。

團隊架構

我們宣布事件發生後，就會立即指派事件指揮官來負責協調事件回應程序和解決措施；事件指揮官會從不同團隊挑選專家，組成事件回應團隊。接著，事件指揮官會指派專家去處理事件的不同面向，從事件發生到完結的整個因應過程都由指揮官負責調度。下圖顯示事件應變期間的應變團隊架構，有不同角色和職責的專家。視事件類型而定，系統可能會指派不同的角色。

資料事件回應程序

每個資料事件都不一樣，而資料事件回應程序的目的在於保護客戶資料、盡快恢復正常服務運作，以及滿足監管法規和合約的遵循需求。下表說明 Google 事件應變計畫的主要步驟。

事件步驟	目標	說明
識別	偵測	自動和手動程序會偵測潛在安全漏洞和事件。
	報表	自動和手動程序會將問題回報給事件應變團隊。
協調	分類	系統會執行下列活動： 值班待命的回應人員會評估事件回報的性質。 值班待命的回應人員會評估事件的嚴重程度。 值班待命的回應人員會指派事件指揮官。
	與應變團隊互動	系統會執行下列活動： 事件指揮官完成已知事實的評估。 事件指揮官會指派相關團隊的負責人，組成事件回應團隊。 事件應變團隊評估事件和應變工作。
解決方法	調查	系統會執行下列活動： 事件應變團隊會收集事件的關鍵事實。 視需要整合其他資源，以便迅速解決問題。
	防堵與復原	營運主管會立即採取行動，完成下列事項： 避免持續損壞。 修正根本問題。 將受影響的系統和服務還原至正常運作狀態。
	通訊	系統會執行下列活動： 我們會評估關鍵事實，判斷是否適合發送通知。 溝通總監會與適當的總監一起制定溝通計畫。
結案	汲取的經驗教訓	系統會執行下列活動： 事件回應團隊會回顧事件和回應工作。 事件指揮中心會指派長期改善措施的負責人。
持續改善	計畫開發	維護必要的團隊、訓練、程序、資源和工具。
	預防方法	團隊會根據學到的教訓，改善事件回應計畫。

以下各節將詳細說明每個步驟。

識別

如果希望事件管理程序能有效率，及早準確識別事件是最重要的關鍵。識別階段的重點在於監控安全性事件，目的是要偵測並回報潛在的資料事件。

事件偵測團隊會運用先進的偵測工具、信號及警示機制，盡量在早期階段就找出可能會發生的事件。我們的事件偵測來源包括：

• 自動分析網路和系統記錄：自動分析網路流量和系統存取記錄，有助於找出可疑、濫用或未獲授權的活動，並將這類活動提報給安全人員。

• 測試：安全團隊會透過滲透測試、品質查驗 (QA) 措施、入侵偵測和軟體安全性審查，主動檢查是否有安全性威脅。

• 內部程式碼審查：原始碼審查作業可找出隱藏的安全漏洞和設計瑕疵，並確認是否已採行重要的安全性控管措施。

• 產品專用工具和處理程序：視情況採用團隊專用的自動化工具，提升我們在產品層級偵測事件的能力。

• 異常使用情形偵測：我們採用多層機器學習系統，藉此將瀏覽器、裝置、應用程式登入和其他使用活動，區分為安全和異常的使用者活動。

• 資料中心和工作場所服務安全性快訊：資料中心的安全性快訊會檢查是否出現可能影響基礎架構的事件。

• Google 員工：Google 員工會偵測異常並回報問題。

• Google 的安全漏洞獎勵計畫： 有時外部的安全研究人員會回報 Google 的瀏覽器擴充功能、行動裝置及網路應用程式存有潛在的技術安全漏洞，可能難以保護使用者資料的機密或完整。

協調

一旦接獲事件回報，值班待命的回應人員會先審查並評估事件回報的性質，判斷這是否為潛在資料事件及是否要啟動事件回應程序。

確認後，回應人員會評估事件性質，並協調回應策略。在這個階段，回應程序包括完成事件分類評估、視情況調整嚴重性等級，並通知所需的事件回應團隊，由合適的作業和技術總監來審視相關事實資料及辨別需要調查的關鍵領域。此外，我們會指派產品總監及法律總監，他們負責做出事件因應方法的重要決策。然後，回應者會分派調查工作，並收集相關事實資料。如有必要，我們會宣告事件發生並指派事件指揮官。

我們的回應程序有許多方面都取決於嚴重性評估結果，也就是根據事件回應團隊收集和分析的關鍵事實資料來判斷。這些重要事實包括：

• 對客戶、第三方及 Google 的潛在傷害

• 事件的性質 (例如資料是否可能損毀、遭到存取或變更)

• 可能受影響的資料類型

• 事件對於客戶使用服務造成的影響

• 事件的狀態 (例如事件是否已隔離、正在發生或受到控制)

在整個回應過程中，一旦收到新資訊，事件指揮官及其他總監都會定期再重新評估這些因素，這是為了確保我們的回應程序能分配到適當的資源，且指定的緊急程度適恰。我們會將影響最重大的事件指定為嚴重性等級最高。這時指揮官會指派傳達總監，負責和其他總監一起制定傳達溝通計畫。

解決方法

在解決階段，重點是調查根本原因、控制事件的影響範圍、視情況解決立即性的安全風險、在修復措施中採行必要的修正作業，以及復原受影響的系統、資料及服務。

受影響的資料會盡可能還原成原本的狀態。視特定事件的合理及必要情況而定，我們可能會採取各種不同的步驟來解決事件。舉例來說，有時可能需要運用技術或鑑識調查，重新構建問題的根本原因，或找出對客戶資料的影響。如果資料遭到不當修改或損毀，我們可能會嘗試從備份副本復原資料。

修復作業的其中一個重要步驟是在事件影響客戶資料時通知這些客戶。我們會評估整個事件的關鍵要素，判斷該事件是否會影響客戶資料。假如有必要通知客戶，事件指揮官就會啟動通知程序。這時候溝通總監就要參考產品及法律總監的意見來制定溝通計畫，然後通知受影響的客戶。客戶收到通知後，溝通總監也會在客戶服務團隊的協助之下，支援客戶提出的要求。

我們會盡可能提供及時且明確的通知，並附上已知的資料事件詳細資訊、我們已採取哪些步驟來減輕潛在風險，以及我們建議客戶採取的因應措施。我們會盡量提供具體的事件資訊，讓客戶評估自身是否需要履行通知義務。

結案

成功修復及解決資料事件之後，事件回應團隊會檢討從事件學到的教訓。假如事件引發重大問題，事件指揮官可能會進行事後檢討分析。在這個程序中，事件回應團隊會審查事件原因及我們的回應策略，並找出可以進一步改善的關鍵領域。在某些情況下，這可能需要和各個產品、工程及作業團隊討論，並研究如何強化產品。如果需要後續追蹤，事件回應團隊會制定行動計畫來完成後續工作，並指派專案經理負責長期追蹤。等修復工作都完成之後，這個事件就宣告完結。

持續改善

Google 會從每次的事件中學習並採取預防措施，避免日後再發生同樣的事件。

根據從事件分析獲得的實用深入分析，我們除了可以改良工具、訓練及處理程序，還可以改善整體安全性及隱私權資料保護計畫、安全性政策和回應措施。此外，從事件中得到的資料也有助我們安排程式設計工作的優先順序，進而建置更完善的產品。

安全性與隱私權專業人員會審查所有網路、系統及服務的安全性計畫，找出需要改善之處，並且向產品及工程團隊提供產品諮詢服務。安全與隱私權專業人員會運用機器學習、資料分析及其他新技術，監控 Google 網路是否有可疑活動、解決資訊安全威脅、執行例行安全評估和稽核，並與外部專家合作定期進行安全性評估。此外，Project Zero 負責向軟體廠商回報錯誤，並記錄在外部資料庫中，藉此防範具有針對性的攻擊行為。

我們定期舉辦訓練活動並推廣安全防護意識，藉此促進安全性及資料隱私權方面的創新。專責事件回應人員都需要接受鑑識及證據處置的訓練，包括第三方和專屬工具的使用。我們還針對關鍵領域 (例如存有敏感客戶資訊的系統) 進行事件回應流程和程序的演練。這些演練會將各種情況納入考量，包括內部人員威脅和軟體安全漏洞，協助我們做好完善的安全性及隱私權事件因應準備。

根據我們的 ISO-27017、ISO-27018、ISO-27001、PCI-DSS、SOC 2 和 FedRAMP 計畫，Google 的程序會定期接受測試，並向客戶和監管機關證明我們通過了安全性、隱私權和法規遵循控管的獨立驗證審查。如要查看 Google Cloud的第三方認證清單，請前往法規遵循資源中心。

摘要

保護資料安全是我們的核心業務。我們會持續投資在整體安全性計畫、資源及專業知識，確保發生資料事件時，Google 能夠有效因應、保護客戶資料，同時維持一貫的服務高可用性，不辜負客戶的信賴與託付。

我們世界級的事件回應計畫可提供下列重要功能：

• 運用業界領先的技術來建置處理程序，按 Google 等級的規模迅速解決事件並調整作業程序。

• 透過先進的監控系統、資料分析及機器學習服務技術，主動偵測事件並遏制事件擴大。

• 指派專責各領域的專家來因應各種類型或規模的資料事件。

• 按照 Google 在服務條款及客戶協議中的承諾，透過完善流暢的通知程序及時通知受影響的客戶。

後續步驟

• 如要進一步瞭解事件管理，請參閱「Building secure and reliable systems」(建構安全可靠的系統) 一書的第 17 章 (O'Reilly 出版)。

• 如要進一步瞭解如何在Google Cloud中為客戶工作負載導入安全性，請參閱企業基礎藍圖和 Google Cloud Well-Architected Framework。