サードパーティ ベンダーの関連情報

• 初回サインイン時にパスワードを変更する必要があります。
• ユーザー名を変更するオプションは初回サインイン後に利用できます。
• 注: ユーザー名は初回に自動生成され、お使いのメールアドレスがデフォルトとはなりません。ユーザー名とパスワードについては、サインインエラーの原因となる末尾のスペースをコピーしないよう、コピー / ペーストではなく入力を行ってください。
• 注: 多要素認証（MFA）を求められます。

本ポータルで [パスワードを忘れた場合] 機能を使用することで、ご自身によるリセットが可能です。TPRM@zoom.usまたはTPRM_Assessments@zoom.usにご連絡いただければ、Zoomより新しい一時パスワード付きリンクを再送信します。

貴社の主要ベンダー担当者は、必要に応じてベンダーポータルで追加の連絡先を登録できます。

• メール
• ベンダーポータル上の通知

全ベンダーが固有リスクアンケート（IRQ）の対象となります。IRQの結果に応じ、一部ベンダーには追加のリスクアセスメントが必要になる場合があります。低リスクとして認識された一部サービスには、詳細なアセスメントを求められないケースもあります。

TPRMチームにより、新しいエンゲージメントの開始時に皆様とのキックオフミーティングがスケジュールされます。同期間中、皆様には評価アクティビティとタイムラインについてお伝えし、90暦日以内に完了するよう設定いたします。

• 準備
• キックオフ
• アセスメントワーク
• ミーティングと分析
• エンゲージメントの終了
• 継続的監視

• 顧客コンテンツデータ
• お客様データ
• 従業員データ
• 従業員候補のデータ
• イベントログ
• 設定データ
• ミーティングのメタデータ

リスクアセスメントは、規制上のコンプライアンスや情報セキュリティに関連した助言およびアセスメントサービスを指します。その目的は、プロジェクトチームやリーダーシップにガイドを提供し、新しいソリューションによるテクノロジーリスクを管理することにあります。

• 固有リスクアンケート（IRQ）
• 対象分野の専門チーム（SMEチーム）が実施するデューデリジェンスリスク評価には、サードパーティリスク管理、プライバシー、コンプライアンス、IT、セキュリティアーキテクチャ、攻撃的セキュリティ、オープンソースセキュリティなどが含まれる場合があります。

IRQは、Zoomおよび固有リスク階層に課せられる潜在リスクの判断に使用される、ベンダーサービスについての質問で構成されています。

固有リスク階層は、あらゆる管理を適用または検討する前に、1件のベンダーエンゲージメントがZoomに示す潜在リスクを意味します。このリスク階層は「低」、「中」、「高」の範囲で測定されます。固有リスク階層は、求められるリスクアセスメントワークを判断する推進要素となります。

• 新規ベンダー契約にはIRQの提出が必要です。
• リスク評価の要件は、固有リスクの階層に基づきます。
• 継続的モニタリングに関しては、以下の一般的なスケジュールに従うものとします。
  • 重大: 年1回
  • 高: 年1回～2年に1回
  • 中: 2年～3年に1回
  • 低: 随時

• セキュリティ上の問題が特定された場合、Zoomの事業責任者はベンダーが問題に対するリスク対応計画を提供することを確認する責任があり、必要に応じてその計画を法的契約に組み込むことができます。
• リスク対応計画には、問題の修復または受容が含まれる場合があります。

• インシデントは、Zoomベンダーマネージャーへの直接連絡か、TPRM（tprm@zoom.us）へのメール送信により報告をお願いいたします。
• 以下の内容を記載してください。
  • インシデントが発生した日付
  • ベンダー名
  • 製品 / アプリケーション名（該当する場合）
  • 通知されたZoom担当者
  • 関連する PO（該当する場合 / 利用可能な場合）
  • インシデントの概要