Zoom 벤더 위험 관리 포털에서 받은 사용자 이름과 암호를 사용하여 최초로 로그인합니다.

첫 로그인 시 암호를 변경해야 합니다. 첫 로그인 후 사용자 아이디를 변경할 수 있는 옵션이 제공됩니다. 참고: 사용자 아이디는 처음에 자동으로 생성되며 사용자의 이메일 주소로 기본 설정되지 않습니다. 사용자 아이디 및/또는 비밀번호 입력 시, 복사/붙여넣기로 인해 끝에 공백이 복사되어 로그인 실패가 발생하지 않도록 직접 입력하세요. 참고: 다단계 인증(MFA)이 필요합니다.

TPRM 참여 단계는 어떻게 되나요?

준비 킥오프 평가 작업 회의 및 분석 계약 종료 지속적인 모니터링

민감한 것으로 간주되는 데이터는 무엇인가요?

고객 콘텐츠 데이터 고객 데이터 직원 데이터 잠재 직원 데이터 이벤트 로그 구성 데이터 회의 메타데이터

어떤 위험 평가가 범위 안에 포함될 수 있나요?

내재적 위험 설문지(IRQ) 실사 위험 평가는 주제 전문가(SME) 팀이 수행하며, 여기에는 제3자 위험 관리 팀, 개인정보 보호 팀, 규정 준수 팀, IT 팀, 보안 아키텍처 팀, 공격 보안 팀 또는 오픈 소스 보안 팀이 포함될 수 있습니다.

위험 평가는 얼마나 자주 수행되어야 하나요?

모든 신규 벤더 계약에는 IRQ가 필요합니다. 위험 평가 요건은 내재적 위험 등급에 따라 결정됩니다. 다음은 지속적인 모니터링을 위해 따라야 할 일반적인 일정입니다. 중요: 매년 높음: 매년~격년 중간: 격년~3년 낮음: 임의

잠재적인 위험 또는 문제가 확인되면 어떻게 되나요?

보안 문제가 확인되면 Zoom 비즈니스 소유자는 벤더가 해당 문제에 대한 위험 대응 계획을 제공하도록 확인할 책임이 있으며 필요에 따라 해당 계획을 법적 계약에 포함시킬 수 있습니다. 위험 대응 계획에는 문제 해결 또는 수락이 포함될 수 있습니다.

개인정보 보호 관련 사고 또는 보안 사고가 발생하면 회사에서는 어떻게 해야 하나요?

사고는 Zoom 벤더 관리자에게 직접 연락하거나 TPRM (tprm@zoom.us) 으로 이메일을 보내 보고할 수 있습니다. 보고에는 반드시 다음 사항을 포함합니다. 사고 날짜 벤더 이름 제품/애플리케이션 이름(해당하는 경우) 통지받은 Zoom 연락처 관련 PO(해당하는 경우/사용 가능한 경우) 사고 요약

제3자 벤더와의 관계

Q: 사용자 이름/암호를 잊어버려서 재설정해야 하나요?

포털의 '암호 찾기' 기능을 이용하여 직접 재설정할 수 있습니다. 또는 TPRM@zoom.us 나 TPRM_Assessments@zoom.us 로 문의하시면 새 임시 암호가 포함된 링크를 다시 보내 드립니다.

벤더 온보딩

Zoom은 고객 및 비즈니스의 요구 사항을 충족하기 위해 제3자 벤더와 파트너 관계를 맺고 있습니다. 이러한 제3자 기업은 공급업체, 벤더 또는 제3자 벤더라고 지칭될 수 있습니다. 제3자 위험 관리(TPRM) 프로그램은 이러한 많은 제3자 벤더를 위한 자문 및 평가 활동을 제공합니다. TPRM은 법무, 조달, 기술 규정 준수, 개인정보 보호, IT, 비즈니스 부서와 연계되어 Zoom의 벤더 그룹에 대한 포괄적인 거버넌스 및 관리를 제공합니다.

TPRM 프로그램은 Zoom에 기술 또는 서비스를 제공하고 Zoom의 민감한 데이터에 액세스하는 벤더가 주요 보안 원칙을 따르고 규정 준수 및 규제 요건을 충족하는지 확인하기 위해 마련되었습니다. TPRM 프로그램의 일부로 위험 평가가 수행됩니다.

TPRM은 위험 기반 검토 주기 동안 이러한 요구 사항을 준수하도록 유도합니다. 신규 벤더의 경우 이 프로세스가 완료될 때까지 협업을 시작할 수 없습니다.

자주 묻는 질문

Vendor Risk Management Portal

첫 로그인 시 암호를 변경해야 합니다.
첫 로그인 후 사용자 아이디를 변경할 수 있는 옵션이 제공됩니다.
참고: 사용자 아이디는 처음에 자동으로 생성되며 사용자의 이메일 주소로 기본 설정되지 않습니다. 사용자 아이디 및/또는 비밀번호 입력 시, 복사/붙여넣기로 인해 끝에 공백이 복사되어 로그인 실패가 발생하지 않도록 직접 입력하세요.
참고: 다단계 인증(MFA)이 필요합니다.

포털의 '암호 찾기' 기능을 이용하여 직접 재설정할 수 있습니다. 또는 TPRM@zoom.us나 TPRM_Assessments@zoom.us로 문의하시면 새 임시 암호가 포함된 링크를 다시 보내 드립니다.

회사의 기본 벤더 담당자는 필요에 따라 벤더 포털에서 담당자를 추가할 수 있습니다.

이메일
벤더 포털 알림

Program Scope

모든 벤더는 내재적 위험 설문조사(IRQ) 대상에 포함됩니다. IRQ 결과에 따라 일부 벤더는 추가 위험 평가가 필요할 수 있습니다. 위험이 낮은 것으로 확인된 일부 서비스는 자세한 평가가 필요하지 않을 수 있습니다.

새로운 계약이 시작되면 TPRM 팀에서 킥오프 회의 일정을 예약합니다. 이 기간 동안 평가 활동과 일정이 해당 벤더에 전달됩니다. 전체 일정은 달력 일수로 90일을 초과하지 않는 것을 목표로 합니다.

준비
킥오프
평가 작업
회의 및 분석
계약 종료
지속적인 모니터링

고객 콘텐츠 데이터
고객 데이터
직원 데이터
잠재 직원 데이터
이벤트 로그
구성 데이터
회의 메타데이터

Risk Assessments

위험 평가는 규정 준수 또는 정보 보안과 관련된 자문 및 평가 서비스입니다. 목표는 프로젝트 팀 및 경영진에게 새로운 솔루션으로 인한 기술 위험을 관리하는 지침을 제공하는 것입니다.

내재적 위험 설문지(IRQ)
실사 위험 평가는 주제 전문가(SME) 팀이 수행하며, 여기에는 제3자 위험 관리 팀, 개인정보 보호 팀, 규정 준수 팀, IT 팀, 보안 아키텍처 팀, 공격 보안 팀 또는 오픈 소스 보안 팀이 포함될 수 있습니다.

IRQ는 벤더 서비스에 대한 질문으로 구성되어 있으며, Zoom이 처할 수 있는 잠재적 위험 및 내재적 위험 등급을 판단하는 데 사용됩니다.

내재적 위험 등급은 컨트롤이 적용되거나 고려되기 전에 계약으로 인해 Zoom에 미치게 될 잠재적 위험을 의미합니다. 위험 등급은 낮음, 중간, 높음으로 측정됩니다. 내재적 위험 등급은 필요한 위험 평가 작업을 결정하는 요인입니다.

모든 신규 벤더 계약에는 IRQ가 필요합니다.
위험 평가 요건은 내재적 위험 등급에 따라 결정됩니다.
다음은 지속적인 모니터링을 위해 따라야 할 일반적인 일정입니다.
- 중요: 매년
- 높음: 매년~격년
- 중간: 격년~3년
- 낮음: 임의

보안 문제가 확인되면 Zoom 비즈니스 소유자는 벤더가 해당 문제에 대한 위험 대응 계획을 제공하도록 확인할 책임이 있으며 필요에 따라 해당 계획을 법적 계약에 포함시킬 수 있습니다.
위험 대응 계획에는 문제 해결 또는 수락이 포함될 수 있습니다.

Incident Management

사고는 Zoom 벤더 관리자에게 직접 연락하거나 TPRM(tprm@zoom.us)으로 이메일을 보내 보고할 수 있습니다.
보고에는 반드시 다음 사항을 포함합니다.
- 사고 날짜
- 벤더 이름
- 제품/애플리케이션 이름(해당하는 경우)
- 통지받은 Zoom 연락처
- 관련 PO(해당하는 경우/사용 가능한 경우)
- 사고 요약