Met de gebruikersnaam en het wachtwoord dat je ontvangt van de Zoom-portal voor beheer van leveranciersrisico's kun je je voor de eerste keer aanmelden:

Je moet je wachtwoord na de eerste aanmelding wijzigen Je hebt de mogelijkheid om je gebruikersnaam na de eerste aanmelding te wijzigen Opmerking: je gebruikersnaam wordt aanvankelijk automatisch gegenereerd en is niet standaard je e-mailadres. Typ je gebruikersnaam en/of wachtwoord in plaats van ze te kopiëren en plakken om te voorkomen dat er een spatie aan het eind wordt meegekopieerd, wat zal leiden tot een mislukte aanmelding. Opmerking: tweeledige verificatie (MFA) is verplicht.

Hoe stuurt TPRM berichten naar mijn onderneming als er actie moet worden ondernomen?

E-mail Meldingen in de leveranciersportal

Wat zijn de stappen van het TPRM-proces?

Voorbereiding Start Beoordelingswerkzaamheden Vergaderingen en analyse Afsluiting van de relatie Doorlopende monitoring

Welke gegevens worden als gevoelige gegevens beschouwd?

Klantinhoudgegevens Klantgegevens Werknemersgegevens Gegevens van potentiële werknemers Gebeurtenislogboeken Configuratiegegevens Metadata van vergaderingen

Welke risicobeoordelingen kunnen er worden uitgevoerd?

Vragenlijst inherente risico's (IRQ) Due diligence-risicobeoordelingen, uitgevoerd door teams van deskundigen (SME's), waaronder op het gebied van beheer van het risico van derden, privacy, naleving, IT, beveiligingsarchitectuur, offensieve beveiliging of open source-beveiliging.

Hoe vaak zijn risicobeoordelingen nodig?

IRQ's zijn nodig bij elke relatie met een nieuwe leverancier. De benodigde risicobeoordelingen zijn gebaseerd op het inherente risiconiveau. Hieronder staan de algemene tijdschema's die worden aangehouden voor doorlopende monitoring: Kritiek: jaarlijks Hoog: jaarlijks tot tweejaarlijks Gemiddeld: tweejaarlijks tot driejaarlijks Laag: ad hoc

Wat gebeurt er als er potentiële risico's of problemen worden vastgesteld?

Als er beveiligingsproblemen worden vastgesteld, is de bedrijfseigenaar van Zoom verantwoordelijk om ervoor te zorgen dat de leverancier een risicoresponsplan voor het probleem verstrekt en het plan indien nodig kan opnemen in juridische overeenkomsten. Risicoresponsplannen kunnen herstel of aanvaarding van de problemen inhouden.

Wat moet mijn onderneming doen als er een privacy- of beveiligingsincident optreedt?

Je kunt het incident melden door rechtstreeks contact op te nemen met je leveranciersbeheerder bij Zoom of door een e-mail te sturen naar TPRM ( tprm@zoom.us ). Zorg dat je de volgende informatie vermeldt: Datum van het incident Naam van de leverancier Naam van product/applicatie (indien van toepassing) Ingelichte Zoom-contactpersoon of -personen Bijbehorende inkooporder (indien van toepassing/beschikbaar) Samenvatting van het incident

Relaties met externe leveranciers

Onboarding van leveranciers

Zoom werkt samen met externe leveranciers om klanten en bedrijven te kunnen bieden wat ze nodig hebben. Deze externe ondernemingen kunnen worden aangeduid als aanbieders, leveranciers of externe leveranciers. Het TPRM-programma (Third Party Risk Management ofwel beheer van het risico van derden) verzorgt advies- en beoordelingsactiviteiten voor veel van deze externe leveranciers. TPRM werkt samen met de juridische afdeling, de inkoopafdeling, de technologiecompliance-afdeling, de privacy-afdeling, de IT-afdeling en de bedrijfseenheden om te zorgen voor alomvattend bestuur en beheer van de leveranciers van Zoom.

Het TPRM-programma is opgericht om te waarborgen dat leveranciers die technologie of diensten aan Zoom leveren en toegang hebben tot gevoelige gegevens van Zoom zich houden aan essentiële beveiligingsprincipes en voldoen aan de nalevings- en wettelijke vereisten. In het kader van het TPRM-programma worden er risicobeoordelingen uitgevoerd.

TPRM bevordert de naleving van deze vereisten via een op risico gebaseerde beoordelingscyclus. Nieuwe leveranciers kunnen pas beginnen met hun werkzaamheden wanneer dit proces is afgerond.

Veelgestelde vragen

Vendor Risk Management Portal

Je moet je wachtwoord na de eerste aanmelding wijzigen
Je hebt de mogelijkheid om je gebruikersnaam na de eerste aanmelding te wijzigen
Opmerking: je gebruikersnaam wordt aanvankelijk automatisch gegenereerd en is niet standaard je e-mailadres. Typ je gebruikersnaam en/of wachtwoord in plaats van ze te kopiëren en plakken om te voorkomen dat er een spatie aan het eind wordt meegekopieerd, wat zal leiden tot een mislukte aanmelding.
Opmerking: tweeledige verificatie (MFA) is verplicht.

Je kunt je gebruikersnaam of wachtwoord zelf resetten via de functie 'wachtwoord vergeten' in de portal of contact opnemen met TPRM@zoom.us of TPRM_Assessments@zoom.us, dan sturen we je een link met een nieuw tijdelijk wachtwoord.

De primaire contactpersoonpersoon van je bedrijf kan indien nodig extra contactpersonen toevoegen in het leveranciersportaal.

E-mail
Meldingen in de leveranciersportal

Program Scope

Alle leveranciers komen in aanmerking voor een vragenlijst inherente risico's (IRQ). Op basis van de resultaten van de IRQ kunnen voor sommige leveranciers aanvullende risicobeoordelingen nodig zijn. Voor sommige diensten waarvan is vastgesteld dat ze een laag risico inhouden, is mogelijk geen gedetailleerde beoordeling nodig.

Het TPRM-team plant bij aanvang van een nieuwe relatie een startbijeenkomst met je. Op dat moment worden de beoordelingsactiviteiten en tijdschema's aan je bekendgemaakt. Er wordt naar gestreefd om het proces niet langer dan 90 kalenderdagen te laten duren.

Voorbereiding
Start
Beoordelingswerkzaamheden
Vergaderingen en analyse
Afsluiting van de relatie
Doorlopende monitoring

Klantinhoudgegevens
Klantgegevens
Werknemersgegevens
Gegevens van potentiële werknemers
Gebeurtenislogboeken
Configuratiegegevens
Metadata van vergaderingen

Risk Assessments

Risicobeoordelingen zijn advies- en beoordelingsdiensten met betrekking tot de naleving van wet- en regelgeving of informatiebeveiliging. Het doel is om projectteams en leiders begeleiding te bieden bij het beheren van de technologische risico's die nieuwe oplossingen met zich meebrengen.

Vragenlijst inherente risico's (IRQ)
Due diligence-risicobeoordelingen, uitgevoerd door teams van deskundigen (SME's), waaronder op het gebied van beheer van het risico van derden, privacy, naleving, IT, beveiligingsarchitectuur, offensieve beveiliging of open source-beveiliging.

De IRQ bestaat uit vragen over de dienst van de leverancier die worden gebruikt om het potentiële risico voor Zoom en het inherente risiconiveau vast te stellen.

Een inherent risiconiveau verwijst naar het potentiële risico dat een relatie met een leverancier voor Zoom vertegenwoordigt voordat er maatregelen worden toegepast of in aanmerking worden genomen. Het risiconiveau wordt gemeten op een schaal van laag, gemiddeld en hoog. Het inherente risiconiveau is de sturende factor bij het vaststellen welke risicobeoordelingswerkzaamheden nodig zijn.

IRQ's zijn nodig bij elke relatie met een nieuwe leverancier.
De benodigde risicobeoordelingen zijn gebaseerd op het inherente risiconiveau.
Hieronder staan de algemene tijdschema's die worden aangehouden voor doorlopende monitoring:
- Kritiek: jaarlijks
- Hoog: jaarlijks tot tweejaarlijks
- Gemiddeld: tweejaarlijks tot driejaarlijks
- Laag: ad hoc

Als er beveiligingsproblemen worden vastgesteld, is de bedrijfseigenaar van Zoom verantwoordelijk om ervoor te zorgen dat de leverancier een risicoresponsplan voor het probleem verstrekt en het plan indien nodig kan opnemen in juridische overeenkomsten.
Risicoresponsplannen kunnen herstel of aanvaarding van de problemen inhouden.

Incident Management

Je kunt het incident melden door rechtstreeks contact op te nemen met je leveranciersbeheerder bij Zoom of door een e-mail te sturen naar TPRM (tprm@zoom.us).
Zorg dat je de volgende informatie vermeldt:
- Datum van het incident
- Naam van de leverancier
- Naam van product/applicatie (indien van toepassing)
- Ingelichte Zoom-contactpersoon of -personen
- Bijbehorende inkooporder (indien van toepassing/beschikbaar)
- Samenvatting van het incident