Aby zalogować się po raz pierwszy, użyj nazwy użytkownika i hasła otrzymanych z portalu zarządzania ryzykiem dostawców Zoom:

Musisz zmienić swoje hasło przy pierwszym logowaniu. Będziesz mieć możliwość zmiany nazwy użytkownika po pierwszym zalogowaniu. Uwaga: Twoja nazwa użytkownika jest początkowo generowana automatycznie i nie jest domyślne przypisana do Twojego adres e-mail. Wpisz nazwę użytkownika i/lub hasło zamiast kopiować i wklejać, aby uniknąć skopiowania spacji na końcu, co spowoduje nieudane logowanie. Uwaga: wymagane będzie uwierzytelnianie wieloskładnikowe (MFA).

W jaki sposób TPRM będzie wysyłać do mojej firmy komunikaty dotyczące wymaganych działań?

Adres e-mail Powiadomienia z portalu dla dostawców

Jakie są etapy współpracy w ramach TPRM?

Przygotowanie Rozpoczęcie Ocena Spotkania i analizy Zamknięcie zaangażowania Ciągłe monitorowanie

Co jest uważane za dane wrażliwe?

Dane zawartości klienta Dane klienta Dane pracowników Dane kandydatów do pracy Dzienniki zdarzeń Dane konfiguracyjne Metadane spotkania

Jakie oceny ryzyka mogą wchodzić w zakres?

Kwestionariusz ryzyka nieodłącznego (IRQ) Oceny należytej staranności mają być przeprowadzane przez zespoły ekspertów (SME), które mogą obejmować zarządzanie ryzykiem osób trzecich, prywatność, zgodność, IT, architekturę bezpieczeństwa, bezpieczeństwo ofensywne lub bezpieczeństwo open source.

Jak często wymagane są oceny ryzyka?

IRQ są wymagane w przypadku każdej nowej współpracy z dostawcą. Wymagania dotyczące oceny ryzyka opierają się na poziomie ryzyka nieodłącznego. Poniżej znajdują się ogólne terminy, które będą przestrzegane w przypadku ciągłego monitorowania: Krytyczne: co roku Wysokie: co roku / co dwa lata Średnie: co dwa/trzy lata Niskie: doraźnie

Co się stanie, jeśli zidentyfikowane zostaną potencjalne ryzyka lub problemy?

Jeśli zostaną zidentyfikowane jakiekolwiek kwestie bezpieczeństwa, właściciel Zoom jest odpowiedzialny za zapewnienie, że dostawca dostarczy plan reagowania na ryzyko dla danej kwestii i może włączyć plan do umów prawnych w razie potrzeby. Plany reagowania na ryzyko mogą obejmować działania naprawcze lub akceptację problemów.

Co powinna zrobić moja firma, jeśli dojdzie do incydentu związanego z prywatnością lub bezpieczeństwem?

Incydent można zgłosić, kontaktując się bezpośrednio ze swoim menedżerem dostawców Zoom lub wysyłając wiadomość e-mail na adres TPRM ( tprm@zoom.us). Pamiętaj, aby uwzględnić następujące informacje: Data incydentu Nazwa dostawcy Nazwa produktu/aplikacji (jeśli dotyczy) Powiadomiono osobę lub osoby wyznaczone do kontaktu z Zoom Powiązane PO (jeśli dotyczy/dostępne) Podsumowanie incydentu

Relacje z dostawcami zewnętrznymi

Onboarding dostawców

Firma Zoom współpracuje z zewnętrznymi dostawcami w celu zaspokojenia potrzeb klientów i biznesu. Tego typu firmy zewnętrzne mogą być określane jako dostawcy, sprzedawcy lub sprzedawcy zewnętrzni. Program zarządzania ryzykiem osób trzecich (TPRM) zapewnia działania doradcze i oceniające dla wielu z takich zewnętrznych dostawców. W ramach TPRM podejmowana jest współpraca z działami prawnymi, zaopatrzenia, zgodności technologicznej, prywatności, IT i jednostkami biznesowymi, aby zapewnić kompleksowe zarządzanie dostawcami Zoom.

Program TPRM został ustanowiony w celu upewnienia się, że dostawcy dostarczający technologię lub usługi dla Zoom i uzyskujący dostęp do wrażliwych danych Zoom przestrzegają kluczowych zasad bezpieczeństwa, spełniają wymogi dotyczące zgodności i regulacyjne. W ramach programu TPRM przeprowadzane będą oceny ryzyka.

TPRM zapewnia zgodność z wymaganiami poprzez cykl przeglądu oparty na ryzyku. W przypadku nowych dostawców współpraca nie może zostać rozpoczęta przed zakończeniem tego procesu.

Często zadawane pytania

Vendor Risk Management Portal

Musisz zmienić swoje hasło przy pierwszym logowaniu.
Będziesz mieć możliwość zmiany nazwy użytkownika po pierwszym zalogowaniu.
Uwaga: Twoja nazwa użytkownika jest początkowo generowana automatycznie i nie jest domyślne przypisana do Twojego adres e-mail. Wpisz nazwę użytkownika i/lub hasło zamiast kopiować i wklejać, aby uniknąć skopiowania spacji na końcu, co spowoduje nieudane logowanie.
Uwaga: wymagane będzie uwierzytelnianie wieloskładnikowe (MFA).

Możesz zresetować swoje hasło, korzystając z funkcji „nie pamiętam hasła” w portalu lub pisząc prośbę o nowe hasło tymczasowe na adres TPRM@zoom.us lub TPRM_Assessments@zoom.us.

W razie potrzeby główna osoba ds. kontaktów ze strony Twojej firmy może dodać dodatkowe kontakty w portalu dostawców.

Adres e-mail
Powiadomienia z portalu dla dostawców

Program Scope

Wszyscy dostawcy są objęci kwestionariuszem ryzyka nieodłącznego (IRQ). Na podstawie wyników IRQ niektórzy dostawcy mogą wymagać dodatkowych ocen ryzyka. Niektóre usługi zidentyfikowane jako obarczone niskim ryzykiem mogą nie wymagać szczegółowej oceny.

Zespół TPRM zaplanuje spotkanie inauguracyjne na początku nowej współpracy. W tym czasie zostaną Ci przedstawione działania związane z oceną i ich terminy. Naszym celem jest, by nie przekraczać okresu 90 dni kalendarzowych.

Przygotowanie
Rozpoczęcie
Ocena
Spotkania i analizy
Zamknięcie zaangażowania
Ciągłe monitorowanie

Dane zawartości klienta
Dane klienta
Dane pracowników
Dane kandydatów do pracy
Dzienniki zdarzeń
Dane konfiguracyjne
Metadane spotkania

Risk Assessments

Oceny ryzyka to usługi doradcze i oceniające związane ze zgodnością z przepisami lub bezpieczeństwem informacji. Celem jest dostarczenie wskazówek zespołom projektowym i kierownictwu, aby zarządzać ryzykiem technologicznym wprowadzanym przez nowe rozwiązania.

Kwestionariusz ryzyka nieodłącznego (IRQ)
Oceny należytej staranności mają być przeprowadzane przez zespoły ekspertów (SME), które mogą obejmować zarządzanie ryzykiem osób trzecich, prywatność, zgodność, IT, architekturę bezpieczeństwa, bezpieczeństwo ofensywne lub bezpieczeństwo open source.

IRQ składa się z pytań dotyczących usługi dostawcy, które są używane do określenia potencjalnego ryzyka dla Zoom i poziomu ryzyka nieodłącznego.

Poziom ryzyka nieodłącznego odnosi się do potencjalnego ryzyka, jakie współpraca stanowi dla Zoom, zanim zostaną zastosowane lub uwzględnione jakiekolwiek środki kontroli. Poziom ryzyka jest mierzony w skali „niski”, „średni” i „wysoki”. Poziom ryzyka nieodłącznego jest czynnikiem decydującym o tym, jakie prace związane z oceną ryzyka są wymagane.

IRQ są wymagane w przypadku każdej nowej współpracy z dostawcą.
Wymagania dotyczące oceny ryzyka opierają się na poziomie ryzyka nieodłącznego.
Poniżej znajdują się ogólne terminy, które będą przestrzegane w przypadku ciągłego monitorowania:
- Krytyczne: co roku
- Wysokie: co roku / co dwa lata
- Średnie: co dwa/trzy lata
- Niskie: doraźnie

Jeśli zostaną zidentyfikowane jakiekolwiek kwestie bezpieczeństwa, właściciel Zoom jest odpowiedzialny za zapewnienie, że dostawca dostarczy plan reagowania na ryzyko dla danej kwestii i może włączyć plan do umów prawnych w razie potrzeby.
Plany reagowania na ryzyko mogą obejmować działania naprawcze lub akceptację problemów.

Incident Management

Incydent można zgłosić, kontaktując się bezpośrednio ze swoim menedżerem dostawców Zoom lub wysyłając wiadomość e-mail na adres TPRM (tprm@zoom.us).
Pamiętaj, aby uwzględnić następujące informacje:
- Data incydentu
- Nazwa dostawcy
- Nazwa produktu/aplikacji (jeśli dotyczy)
- Powiadomiono osobę lub osoby wyznaczone do kontaktu z Zoom
- Powiązane PO (jeśli dotyczy/dostępne)
- Podsumowanie incydentu