Geben Sie zur erstmaligen Anmeldung den Benutzernamen und das Kennwort ein, die Ihnen vom Zoom Drittanbieter-Risikomanagement-Portal bereitgestellt wurden:

Sie müssen Ihr Kennwort bei der ersten Anmeldung ändern Sie haben die Möglichkeit, Ihren Benutzernamen nach der ersten Anmeldung zu ändern Hinweis: Ihr Benutzername wird zunächst automatisch generiert und entspricht nicht standardmäßig Ihrer E-Mail-Adresse. Tippen Sie Benutzernamen und/oder Kennwort ein, anstatt sie zu kopieren/einzufügen. So können Sie vermeiden, dass am Ende ein Leerzeichen kopiert wird, was zu einem Fehler bei der Anmeldung führt. Hinweis: Eine Multi-Faktor-Authentifizierung (MFA) ist erforderlich.

Wie benachrichtigt das TPRM mein Unternehmen, wenn Handlungsbedarf besteht?

E-Mail Benachrichtigungen im Anbieterportal

Welche Schritte umfasst die Zusammenarbeit mit dem TPRM-Team?

Vorbereitung Kick-off-Meeting Beurteilung Meetings und Auswertung Vereinbarung der Zusammenarbeit Kontinuierliche Überwachung

Welche Daten gelten als vertraulich?

Kundeninhalte Kundendaten Mitarbeiterdaten Daten potenzieller Mitarbeiter Ereignisprotokolle Konfigurationsdaten Metadaten zu Meetings

Welche Risikobewertungen können im Rahmen des Programms durchgeführt werden?

Fragebogen zum inhärenten Risiko (IRQ) Die Due-Diligence-Risikobewertungen müssen von Fachexpertenteams (Subject Matter Expert, SME) durchgeführt werden, die sich möglicherweise mit folgenden Bereichen befassen: Risikomanagement Dritter, Datenschutz, Compliance, IT, Sicherheitsarchitektur, offensiver Sicherheit oder Open-Source-Sicherheit.

Wie oft sind Risikobewertungen vorgeschrieben?

IRQ sind für die Zusammenarbeit mit jedem neuen Anbieter erforderlich. Die Anforderungen an die Risikobewertung basieren auf der inhärenten Risikostufe. Nachfolgend sind die allgemeinen Zeitpläne aufgeführt, die für die kontinuierliche Überwachung eingehalten werden: Kritisch: Jährlich Hoch: Jährlich bis zweijährlich Mittel: Zweijährlich bis dreijährlich Niedrig: Bei Bedarf

Was passiert, wenn potenzielle Risiken oder konkrete Ergebnisse festgestellt werden?

Wenn Sicherheitsprobleme festgestellt werden, ist die bei Zoom zuständige Person dafür verantwortlich, dass der Anbieter einen Risikobewältigungsplan entwickelt. Bei Bedarf kann dieser Plan in rechtliche Vereinbarungen einbezogen werden. Risikobewältigungspläne können die Behebung oder Akzeptanz der Probleme umfassen.

Wie sollte mein Unternehmen bei einem Datenschutz- oder Sicherheitsvorfall vorgehen?

Sie können den Vorfall melden, indem Sie sich direkt an Ihren Zoom Vendor Manager wenden oder eine E-Mail an TPRM ( tprm@zoom.us ) senden. Geben Sie unbedingt Folgendes an: Datum des Vorfalls Name des Anbieters Produkt-/Anwendungsname (falls zutreffend) benachrichtigte Personen bei Zoom zugehörige Bestellung (sofern zutreffend/verfügbar) Zusammenfassung des Vorfalls

Beziehungen zu Drittanbietern

Anbieter-Onboarding

Zoom arbeitet mit Drittanbietern zusammen, um die Anforderungen von Kunden und Unternehmen zu erfüllen. Diese Drittunternehmen können „Lieferanten“, „Anbieter“ oder „Drittanbieter“ genannt werden. Im Rahmen des Third Party Risk Management(TPRM)-Programm werden viele dieser Drittanbieter bewertet oder beraten. Das TPRM-Programm ist eng mit der Rechtsabteilung, der Beschaffungsabteilung, der Abteilung für Technologie-Compliance, der Datenschutzabteilung, der IT-Abteilung und den Geschäftseinheiten verknüpft, um eine umfassende Steuerung und Verwaltung der externen Anbieter von Zoom zu gewährleisten.

Mit dem TPRM-Programm wollen wir sicherstellen, dass Anbieter, die Technologie oder Dienste von Zoom bereitstellen und vertrauliche Daten von Zoom nutzen, wichtige Sicherheitsrichtlinien, Compliance-Anforderungen und gesetzliche Vorschriften einhalten.

Das TPRM-Programm sorgt für die Einhaltung dieser Anforderungen durch einen risikobasierten Überprüfungszyklus. Alle neuen Anbieter müssen diesen Prozess zuerst abschließen.

Häufig gestellte Fragen

Vendor Risk Management Portal

Sie müssen Ihr Kennwort bei der ersten Anmeldung ändern
Sie haben die Möglichkeit, Ihren Benutzernamen nach der ersten Anmeldung zu ändern
Hinweis: Ihr Benutzername wird zunächst automatisch generiert und entspricht nicht standardmäßig Ihrer E-Mail-Adresse. Tippen Sie Benutzernamen und/oder Kennwort ein, anstatt sie zu kopieren/einzufügen. So können Sie vermeiden, dass am Ende ein Leerzeichen kopiert wird, was zu einem Fehler bei der Anmeldung führt.
Hinweis: Eine Multi-Faktor-Authentifizierung (MFA) ist erforderlich.

Sie können sie über die Funktion „Kennwort vergessen“ im Portal selbst zurücksetzen. Alternativ können Sie eine E-Mail an TPRM@zoom.us oder TPRM_Assessments@zoom.us senden. Sie erhalten dann von uns einen Link mit einem neuen temporären Kennwort.

Die vorrangige Kontaktperson in Ihrem Unternehmen kann nach Bedarf weitere Kontaktpersonen im Drittanbieter-Portal hinzufügen.

E-Mail
Benachrichtigungen im Anbieterportal

Program Scope

Alle Anbieter müssen einen Fragebogen zu inhärenten Risiken (IRQ) ausfüllen. Basierend auf den Ergebnissen des IRQ können bei einigen Anbietern weitere Risikobewertungen erforderlich sein. Einige Dienste, die als risikoarm eingestuft werden, erfordern möglicherweise keine detaillierte Bewertung.

Das TPRM-Team plant am Anfang einer neuen Zusammenarbeit ein Kick-off-Meeting mit Ihnen. Während dieser Zeit werden Ihnen Bewertungsaktivitäten und der Zeitplan mitgeteilt. Die Bewertung sollte nach Möglichkeit nicht länger dauern als 90 Kalendertage.

Vorbereitung
Kick-off-Meeting
Beurteilung
Meetings und Auswertung
Vereinbarung der Zusammenarbeit
Kontinuierliche Überwachung

Kundeninhalte
Kundendaten
Mitarbeiterdaten
Daten potenzieller Mitarbeiter
Ereignisprotokolle
Konfigurationsdaten
Metadaten zu Meetings

Risk Assessments

Risikobewertungen beinhalten Beratungs- und Bewertungsleistungen im Zusammenhang mit der Einhaltung gesetzlicher Vorschriften oder der Informationssicherheit. Ziel ist es, Projektteams und Führungskräften Orientierung zu bieten, um die durch neue Lösungen entstehenden Technologierisiken zu bewältigen.

Fragebogen zum inhärenten Risiko (IRQ)
Die Due-Diligence-Risikobewertungen müssen von Fachexpertenteams (Subject Matter Expert, SME) durchgeführt werden, die sich möglicherweise mit folgenden Bereichen befassen: Risikomanagement Dritter, Datenschutz, Compliance, IT, Sicherheitsarchitektur, offensiver Sicherheit oder Open-Source-Sicherheit.

Der IRQ enthält Fragen zu den Diensten des Anbieters. Sie dienen zur Ermittlung des potenziellen Risikos für Zoom und der Einstufung des inhärenten Risikos.

Eine inhärente Risikostufe bezieht sich auf das potenzielle Risiko, das eine Zusammenarbeit für Zoom darstellt, bevor irgendwelche Kontrollen angewendet oder berücksichtigt werden. Die Risikostufe wird auf einer Skala mit „niedrig“, „mittel“ oder „hoch“ angegeben. Die inhärente Risikostufe ist der entscheidende Faktor bei der Bestimmung, welche Risikobewertungsarbeiten erforderlich sind.

IRQ sind für die Zusammenarbeit mit jedem neuen Anbieter erforderlich.
Die Anforderungen an die Risikobewertung basieren auf der inhärenten Risikostufe.
Nachfolgend sind die allgemeinen Zeitpläne aufgeführt, die für die kontinuierliche Überwachung eingehalten werden:
- Kritisch: Jährlich
- Hoch: Jährlich bis zweijährlich
- Mittel: Zweijährlich bis dreijährlich
- Niedrig: Bei Bedarf

Wenn Sicherheitsprobleme festgestellt werden, ist die bei Zoom zuständige Person dafür verantwortlich, dass der Anbieter einen Risikobewältigungsplan entwickelt. Bei Bedarf kann dieser Plan in rechtliche Vereinbarungen einbezogen werden.
Risikobewältigungspläne können die Behebung oder Akzeptanz der Probleme umfassen.

Incident Management

Sie können den Vorfall melden, indem Sie sich direkt an Ihren Zoom Vendor Manager wenden oder eine E-Mail an TPRM (tprm@zoom.us) senden.
Geben Sie unbedingt Folgendes an:
- Datum des Vorfalls
- Name des Anbieters
- Produkt-/Anwendungsname (falls zutreffend)
- benachrichtigte Personen bei Zoom
- zugehörige Bestellung (sofern zutreffend/verfügbar)
- Zusammenfassung des Vorfalls