Met de gebruikersnaam en het wachtwoord dat je ontvangt van de Zoom-portal voor beheer van leveranciersrisico's kun je je voor de eerste keer aanmelden:

Je moet je wachtwoord na de eerste aanmelding wijzigen Je hebt de mogelijkheid om je gebruikersnaam na de eerste aanmelding te wijzigen Opmerking: je gebruikersnaam wordt aanvankelijk automatisch gegenereerd en is niet standaard je e-mailadres. Typ je gebruikersnaam en/of wachtwoord in plaats van ze te kopiëren en plakken om een spatie aan het eind te voorkomen, aangezien dit zal leiden tot een mislukte aanmeldingspoging. Opmerking: multifactorauthenticatie (MFA) is verplicht.

Hoe stuurt TPRM berichten naar mijn onderneming als er actie moet worden ondernomen?

E-mail Meldingen in de leveranciersportal

Wat zijn de stappen van het TPRM-proces?

Voorbereiding Start Beoordelingswerkzaamheden Vergaderingen en analyse Afsluiting Doorlopende monitoring

Welke gegevens worden als gevoelige gegevens beschouwd?

Inhoud van klanten Klantgegevens Werknemersgegevens Gegevens van potentiële werknemers Gebeurtenislogboeken Configuratiegegevens Metadata van vergaderingen

Welke risicobeoordelingen kunnen er worden uitgevoerd?

Vragenlijst inherente risico's (IRQ) 'Due diligence'-risicobeoordelingen, uitgevoerd door teams van Subject Matter Experts (SME's), waaronder op het gebied van beheer van derdenrisico, privacy, naleving, IT, beveiligingsarchitectuur, offensieve beveiliging of open source-beveiliging.

Hoe vaak zijn risicobeoordelingen nodig?

IRQ's zijn nodig bij elke relatie met een nieuwe leverancier. De benodigde risicobeoordelingen zijn gebaseerd op het inherente risiconiveau. Hieronder staan de frequenties die worden aangehouden voor doorlopende monitoring: Kritiek: jaarlijks Hoog: jaarlijks tot tweejaarlijks Gemiddeld: tweejaarlijks tot driejaarlijks Laag: ad hoc

Wat gebeurt er als er potentiële risico's of problemen worden vastgesteld?

Als er veiligheidsproblemen worden vastgesteld, heeft de Zoom-leveranciersbeheerder de verantwoordelijkheid om te zorgen dat de leverancier een risicoresponsplan voor het probleem verstrekt en kan hij of zij het plan zo nodig opnemen in juridische overeenkomsten. Risicoresponsplannen kunnen herstel of acceptatie van problemen inhouden.

Wat moet mijn onderneming doen als er een privacy- of beveiligingsincident optreedt?

Het incident kan worden gemeld door rechtstreeks contact op te nemen met je leveranciersbeheerder bij Zoom of door een e-mail te sturen naar TPRM ( tprm@zoom.us ). Zorg dat je de volgende informatie vermeldt: Datum van het incident Naam van de leverancier Naam van het product/de toepassing (indien van toepassing) Ingelichte Zoom-contactperso(o)n(en) Bijbehorende inkooporder (indien van toepassing/beschikbaar) Samenvatting van het incident

Relaties met externe leveranciers

Onboarding van leveranciers

Zoom werkt samen met externe leveranciers om klanten en bedrijven te kunnen bieden wat ze nodig hebben. Deze externe ondernemingen kunnen worden aangeduid als aanbieders, leveranciers of externe leveranciers. Het TPRM-programma (Third Party Risk Management ofwel beheer van het risico van derden) verzorgt advies- en beoordelingsactiviteiten voor veel van deze externe leveranciers. TPRM werkt samen met de juridische afdeling, de inkoopafdeling, de technologiecompliance-afdeling, de privacy-afdeling, de IT-afdeling en de bedrijfseenheden om te zorgen voor alomvattend bestuur en beheer van de leveranciers van Zoom.

Het TPRM-programma is opgericht om te waarborgen dat leveranciers die technologie of diensten aan Zoom leveren en toegang hebben tot gevoelige gegevens van Zoom zich houden aan essentiële beveiligingsprincipes en voldoen aan de nalevings- en wettelijke vereisten. In het kader van het TPRM-programma worden er risicobeoordelingen uitgevoerd.

TPRM bevordert de naleving van deze vereisten via een op risico gebaseerde beoordelingscyclus. Nieuwe leveranciers kunnen pas beginnen met hun werkzaamheden wanneer dit proces is afgerond.

Veelgestelde vragen

Vendor Risk Management Portal

Je moet je wachtwoord na de eerste aanmelding wijzigen
Je hebt de mogelijkheid om je gebruikersnaam na de eerste aanmelding te wijzigen
Opmerking: je gebruikersnaam wordt aanvankelijk automatisch gegenereerd en is niet standaard je e-mailadres. Typ je gebruikersnaam en/of wachtwoord in plaats van ze te kopiëren en plakken om een spatie aan het eind te voorkomen, aangezien dit zal leiden tot een mislukte aanmeldingspoging.
Opmerking: multifactorauthenticatie (MFA) is verplicht.

Je kunt je gebruikersnaam of wachtwoord zelf resetten via de functie 'wachtwoord vergeten' in de portal of contact opnemen met TPRM@zoom.us of TPRM_Assessments@zoom.us, dan sturen we je een link met een nieuw tijdelijk wachtwoord.

De primaire leverancierscontactpersoon bij je onderneming kan zo nodig meer contactpersonen toevoegen in de leveranciersportal.

E-mail
Meldingen in de leveranciersportal

Program Scope

Alle leveranciers komen in aanmerking voor een vragenlijst inherente risico's (IRQ). Op basis van de resultaten van de IRQ kunnen voor sommige leveranciers aanvullende risicobeoordelingen nodig zijn. Voor sommige diensten waarvan is vastgesteld dat ze een laag risico inhouden, is mogelijk geen gedetailleerde beoordeling nodig.

Het TPRM-team plant bij aanvang van een nieuwe relatie een startbijeenkomst met je. Op dat moment worden de beoordelingsactiviteiten en tijdschema's aan je bekendgemaakt. Er wordt naar gestreefd om het proces niet langer dan 90 kalenderdagen te laten duren.

Voorbereiding
Start
Beoordelingswerkzaamheden
Vergaderingen en analyse
Afsluiting
Doorlopende monitoring

Inhoud van klanten
Klantgegevens
Werknemersgegevens
Gegevens van potentiële werknemers
Gebeurtenislogboeken
Configuratiegegevens
Metadata van vergaderingen

Risk Assessments

Risicobeoordelingen zijn advies- en beoordelingsdiensten in verband met de naleving van de wetgeving of informatiebeveiliging. Het doel is om begeleiding te bieden aan projectteams en leiders bij het beheren van de technologierisico's die nieuwe oplossingen met zich meebrengen.

Vragenlijst inherente risico's (IRQ)
'Due diligence'-risicobeoordelingen, uitgevoerd door teams van Subject Matter Experts (SME's), waaronder op het gebied van beheer van derdenrisico, privacy, naleving, IT, beveiligingsarchitectuur, offensieve beveiliging of open source-beveiliging.

De IRQ bestaat uit vragen over de dienst van de leverancier die worden gebruikt om het potentiële risico voor Zoom en het inherente risiconiveau vast te stellen.

Een inherent risiconiveau verwijst naar het potentiële risico dat een relatie met een leverancier voor Zoom vertegenwoordigt voordat er maatregelen worden toegepast of in aanmerking worden genomen. Het gemeten risiconiveau kan laag, gemiddeld of hoog zijn. Het inherente risiconiveau is de sturende factor bij het vaststellen welke risicobeoordelingswerkzaamheden nodig zijn.

IRQ's zijn nodig bij elke relatie met een nieuwe leverancier.
De benodigde risicobeoordelingen zijn gebaseerd op het inherente risiconiveau.
Hieronder staan de frequenties die worden aangehouden voor doorlopende monitoring:
- Kritiek: jaarlijks
- Hoog: jaarlijks tot tweejaarlijks
- Gemiddeld: tweejaarlijks tot driejaarlijks
- Laag: ad hoc

Als er veiligheidsproblemen worden vastgesteld, heeft de Zoom-leveranciersbeheerder de verantwoordelijkheid om te zorgen dat de leverancier een risicoresponsplan voor het probleem verstrekt en kan hij of zij het plan zo nodig opnemen in juridische overeenkomsten.
Risicoresponsplannen kunnen herstel of acceptatie van problemen inhouden.

Incident Management

Het incident kan worden gemeld door rechtstreeks contact op te nemen met je leveranciersbeheerder bij Zoom of door een e-mail te sturen naar TPRM (tprm@zoom.us).
Zorg dat je de volgende informatie vermeldt:
- Datum van het incident
- Naam van de leverancier
- Naam van het product/de toepassing (indien van toepassing)
- Ingelichte Zoom-contactperso(o)n(en)
- Bijbehorende inkooporder (indien van toepassing/beschikbaar)
- Samenvatting van het incident