Geben Sie zur erstmaligen Anmeldung den Benutzernamen und das Kennwort ein, die Ihnen vom Zoom Drittanbieter-Risikomanagement-Portal bereitgestellt wurden:

Das Kennwort müssen Sie nach der ersten Anmeldung ändern. Den Benutzernamen können Sie auf Wunsch nach der ersten Anmeldung ändern. Hinweis: Ihr Benutzername wird automatisch erstellt und stimmt nicht standardmäßig mit Ihrer E-Mail-Adresse überein. Tippen Sie den Benutzernamen und/oder das Kennwort ein, statt sie zu kopieren und einzufügen. So können Sie vermeiden, dass die Anmeldung fehlschlägt, weil ein überflüssiges Leerzeichen am Ende mitkopiert wurde. Hinweis: Es ist eine Multi-Faktor-Authentifizierung (MFA) erforderlich.

Wie benachrichtigt das TPRM mein Unternehmen, wenn Handlungsbedarf besteht?

E-Mails Benachrichtigungen im Anbieterportal

Welche Schritte umfasst die Zusammenarbeit mit dem TPRM-Team?

Vorbereitung Kick-off-Meeting Bewertungstätigkeiten Meetings und Auswertung Abschluss der Zusammenarbeit Kontinuierliches Monitoring

Welche Daten gelten als vertraulich?

Kundeninhalte Kundendaten Mitarbeiterdaten Daten potenzieller Mitarbeiter Event-Protokolle Konfigurationsdaten Meeting-Metadaten

Welche Risikobewertungen können im Rahmen des Programms durchgeführt werden?

Fragebogen zum inhärenten Risiko (IRQ) Due-Diligence-Risikobewertungen, die von Subject Matter Expert (SME) Teams durchgeführt werden, und das Risikomanagement für Dritte, Datenschutz, Einhaltung, IT, Sicherheitsarchitektur, Offensive Security oder Open Source Security umfassen können.

Wie oft sind Risikobewertungen vorgeschrieben?

IRQs sind bei jeder Neubeauftragung eines Anbieters erforderlich. Welche Risikobewertungen erforderlich sind, hängt von der Einstufung des inhärenten Risikos ab. Folgende allgemeine Zeitrahmen gelten für das kontinuierliche Monitoring: Kritisch: jährlich Hoch: jährlich bis alle zwei Jahre Mittel: alle zwei bis drei Jahre Niedrig: anlassbezogen

Was passiert, wenn potenzielle Risiken oder konkrete Ergebnisse festgestellt werden?

Werden sicherheitsrelevante Probleme festgestellt, muss der Zoom Unternehmensinhaber dafür Sorge tragen, dass der Anbieter einen Plan zur Risikobewältigung mit Bezug zu diesen Problemen vorlegt. Die Pläne sind bei Bedarf auch in rechtliche Vereinbarungen aufzunehmen. Pläne zur Risikobewältigung können die Korrektur oder Akzeptanz der Probleme umfassen.

Wie sollte mein Unternehmen bei einem Datenschutz- oder Sicherheitsvorfall vorgehen?

Der Vorfall kann gemeldet werden, indem Sie sich direkt an Ihren Zoom Vendor Manager wenden oder eine E-Mail an TPRM tprm@zoom.us ) senden. Folgende Angaben werden benötigt: Datum des Vorfalls Name des Anbieters Name des Produkts / der Anwendung (falls zutreffend) Benachrichtigte(r) Kontakt(e) bei Zoom Zugehöriger Auftrag (falls zutreffend/verfügbar) Zusammenfassung des Vorfalls

Beziehungen zu Drittanbietern

Anbieter-Onboarding

Zoom arbeitet mit Drittanbietern zusammen, um die Anforderungen von Kunden und Unternehmen zu erfüllen. Diese Drittunternehmen können „Lieferanten“, „Anbieter“ oder „Drittanbieter“ genannt werden. Im Rahmen des Third Party Risk Management(TPRM)-Programm werden viele dieser Drittanbieter bewertet oder beraten. Das TPRM-Programm ist eng mit der Rechtsabteilung, der Beschaffungsabteilung, der Abteilung für Technologie-Compliance, der Datenschutzabteilung, der IT-Abteilung und den Geschäftseinheiten verknüpft, um eine umfassende Steuerung und Verwaltung der externen Anbieter von Zoom zu gewährleisten.

Mit dem TPRM-Programm wollen wir sicherstellen, dass Anbieter, die Technologie oder Dienste von Zoom bereitstellen und vertrauliche Daten von Zoom nutzen, wichtige Sicherheitsrichtlinien, Compliance-Anforderungen und gesetzliche Vorschriften einhalten.

Das TPRM-Programm sorgt für die Einhaltung dieser Anforderungen durch einen risikobasierten Überprüfungszyklus. Alle neuen Anbieter müssen diesen Prozess zuerst abschließen.

Häufig gestellte Fragen

Vendor Risk Management Portal

Das Kennwort müssen Sie nach der ersten Anmeldung ändern.
Den Benutzernamen können Sie auf Wunsch nach der ersten Anmeldung ändern.
Hinweis: Ihr Benutzername wird automatisch erstellt und stimmt nicht standardmäßig mit Ihrer E-Mail-Adresse überein. Tippen Sie den Benutzernamen und/oder das Kennwort ein, statt sie zu kopieren und einzufügen. So können Sie vermeiden, dass die Anmeldung fehlschlägt, weil ein überflüssiges Leerzeichen am Ende mitkopiert wurde.
Hinweis: Es ist eine Multi-Faktor-Authentifizierung (MFA) erforderlich.

Sie können Ihr Kennwort über die Funktion „Kennwort vergessen“ im Portal selbst zurücksetzen. Alternativ wenden Sie sich an TPRM@zoom.us oder TPRM_Assessments@zoom.us. Wir senden Ihnen dann einen Link mit einem neuen temporären Kennwort zu.

Der Hauptansprechpartner Ihres Unternehmens kann bei Bedarf weitere Kontakte im Anbieterportal hinzufügen.

E-Mails
Benachrichtigungen im Anbieterportal

Program Scope

Alle Anbieter müssen einen Fragebogen zum inhärenten Risiko (Inherent Risk Questionnaire, IRQ) ausfüllen. Je nach den Ergebnissen des IRQ müssen manche Anbieter gegebenenfalls weitere Risikobewertungen durchlaufen. Manche als risikoarm eingestufte Dienstleistungen erfordern keine detaillierte Bewertung.

Das TPRM-Team vereinbart zu Beginn einer neuen Zusammenarbeit ein Kick-off-Meeting mit Ihnen. Dabei werden Sie über die Bewertungsaktivitäten und den Zeitrahmen informiert. Die Bewertung sollte nach Möglichkeit nicht länger dauern als 90 Kalendertage.

Vorbereitung
Kick-off-Meeting
Bewertungstätigkeiten
Meetings und Auswertung
Abschluss der Zusammenarbeit
Kontinuierliches Monitoring

Kundeninhalte
Kundendaten
Mitarbeiterdaten
Daten potenzieller Mitarbeiter
Event-Protokolle
Konfigurationsdaten
Meeting-Metadaten

Risk Assessments

Risikobewertungen sind Beratungs- und Bewertungstätigkeiten mit Bezug zur Einhaltung von Vorschriften oder zur Informationssicherheit. Sie sollen Projekt-Teams und Führungskräften eine Orientierungshilfe geben, um die mit neuen Lösungen einhergehenden Technologierisiken einzudämmen.

Fragebogen zum inhärenten Risiko (IRQ)
Due-Diligence-Risikobewertungen, die von Subject Matter Expert (SME) Teams durchgeführt werden, und das Risikomanagement für Dritte, Datenschutz, Einhaltung, IT, Sicherheitsarchitektur, Offensive Security oder Open Source Security umfassen können.

Der IRQ besteht aus Fragen zu den Dienstleistungen des Anbieters. Sie dienen zur Ermittlung des potenziellen Risikos für Zoom und der Einstufung des inhärenten Risikos.

Die Stufe des inhärenten Risikos gibt an, wie groß das potenzielle Risiko einer Zusammenarbeit für Zoom ist, bevor irgendwelche Maßnahmen erwogen oder ergriffen werden. Die Risikostufe wird auf einer Skala von niedrig über mittel bis hoch zugeordnet. Die Stufe des inhärenten Risikos ist ausschlaggebend für den Umfang der erforderlichen Risikobewertung.

IRQs sind bei jeder Neubeauftragung eines Anbieters erforderlich.
Welche Risikobewertungen erforderlich sind, hängt von der Einstufung des inhärenten Risikos ab.
Folgende allgemeine Zeitrahmen gelten für das kontinuierliche Monitoring:
- Kritisch: jährlich
- Hoch: jährlich bis alle zwei Jahre
- Mittel: alle zwei bis drei Jahre
- Niedrig: anlassbezogen

Werden sicherheitsrelevante Probleme festgestellt, muss der Zoom Unternehmensinhaber dafür Sorge tragen, dass der Anbieter einen Plan zur Risikobewältigung mit Bezug zu diesen Problemen vorlegt. Die Pläne sind bei Bedarf auch in rechtliche Vereinbarungen aufzunehmen.
Pläne zur Risikobewältigung können die Korrektur oder Akzeptanz der Probleme umfassen.

Incident Management

Der Vorfall kann gemeldet werden, indem Sie sich direkt an Ihren Zoom Vendor Manager wenden oder eine E-Mail an TPRM tprm@zoom.us) senden.
Folgende Angaben werden benötigt:
- Datum des Vorfalls
- Name des Anbieters
- Name des Produkts / der Anwendung (falls zutreffend)
- Benachrichtigte(r) Kontakt(e) bei Zoom
- Zugehöriger Auftrag (falls zutreffend/verfügbar)
- Zusammenfassung des Vorfalls