Aby zalogować się po raz pierwszy, użyj nazwy użytkownika i hasła otrzymanych z portalu zarządzania ryzykiem dostawców Zoom:

Po pierwszym logowaniu musisz zmienić hasło. Wówczas będzie też możliwa zmiana nazwy użytkownika. Uwaga: Twoja nazwa użytkownika jest początkowo generowana automatycznie i nie jest domyślnie przypisana do Twojego adresu e-mail. Wpisz nazwę użytkownika i/lub hasło zamiast je kopiować i wklejać, aby uniknąć skopiowania spacji znajdującej się na końcu, co spowoduje niepowodzenie logowania. Uwaga: wymagane będzie uwierzytelnianie wieloskładnikowe (MFA).

W jaki sposób TPRM będzie wysyłać do mojej firmy komunikaty dotyczące wymaganych działań?

E-mail Powiadomienia z portalu dla sprzedawców

Jakie są etapy współpracy w ramach TPRM?

Przygotowanie Inauguracja Ocena Spotkania i analiza Zakończenie współpracy Ciągłe monitorowanie

Co jest uważane za dane wrażliwe?

Dane dotyczące treści klienta Dane klienta Dane pracowników Dane kandydatów do pracy Dzienniki zdarzeń Dane konfiguracyjne Metadane spotkania

Jakie oceny ryzyka mogą wchodzić w zakres?

Kwestionariusz ryzyka nieodłącznego (IRQ) Oceny due diligence ryzyka prowadzone przez zespoły ekspertów (SME), które mogą obejmować zarządzanie ryzykiem osób trzecich, prywatność, zgodność, IT, architekturę bezpieczeństwa, bezpieczeństwo ofensywne lub bezpieczeństwo open source.

Jak często wymagane są oceny ryzyka?

IRQ są wymagane w przypadku każdej nowej współpracy z dostawcą. Wymagania dotyczące oceny ryzyka opierają się na poziomie ryzyka nieodłącznego. Poniżej znajdują się ogólne terminy, które będą przestrzegane w przypadku ciągłego monitorowania: Krytyczne: co roku Wysokie: co roku / co dwa lata Średnie: co dwa/trzy lata Niskie: doraźnie

Co się stanie, jeśli zidentyfikowane zostaną potencjalne ryzyka lub problemy?

W przypadku zidentyfikowania jakichkolwiek problemów w zakresie bezpieczeństwa właściciel firmy będącej dostawcą odpowiada za upewnienie się, że dostarczy ona plan reagowania na ryzyko w odniesieniu do tych problemów i w razie potrzeby włączy go do umów prawnych. Plany reagowania na ryzyko mogą obejmować działania naprawcze lub akceptację ustaleń.

Co powinna zrobić moja firma, jeśli dojdzie do incydentu związanego z prywatnością lub bezpieczeństwem?

Incydent można zgłosić, kontaktując się bezpośrednio ze swoim menedżerem dostawców Zoom lub wysyłając wiadomość e-mail na adres ( tprm@zoom.us ). Pamiętaj, aby zawrzeć: datę incydentu, nazwę dostawcy, nazwę produktu/aplikacji (jeśli tego dotyczy problem), powiadomione osoby ds. kontaktów Zoom, powiązane zamówienie (jeśli jego dotyczy problem i jest ono dostępne), podsumowanie incydentu.

Relacje z dostawcami zewnętrznymi

Onboarding dostawców

Firma Zoom współpracuje z zewnętrznymi dostawcami w celu zaspokojenia potrzeb klientów i biznesu. Tego typu firmy zewnętrzne mogą być określane jako dostawcy, sprzedawcy lub sprzedawcy zewnętrzni. Program zarządzania ryzykiem osób trzecich (TPRM) zapewnia działania doradcze i oceniające dla wielu z takich zewnętrznych dostawców. W ramach TPRM podejmowana jest współpraca z działami prawnymi, zaopatrzenia, zgodności technologicznej, prywatności, IT i jednostkami biznesowymi, aby zapewnić kompleksowe zarządzanie dostawcami Zoom.

Program TPRM został ustanowiony w celu upewnienia się, że dostawcy dostarczający technologię lub usługi dla Zoom i uzyskujący dostęp do wrażliwych danych Zoom przestrzegają kluczowych zasad bezpieczeństwa, spełniają wymogi dotyczące zgodności i regulacyjne. W ramach programu TPRM przeprowadzane będą oceny ryzyka.

TPRM zapewnia zgodność z wymaganiami poprzez cykl przeglądu oparty na ryzyku. W przypadku nowych dostawców współpraca nie może zostać rozpoczęta przed zakończeniem tego procesu.

Często zadawane pytania

Vendor Risk Management Portal

Po pierwszym logowaniu musisz zmienić hasło.
Wówczas będzie też możliwa zmiana nazwy użytkownika.
Uwaga: Twoja nazwa użytkownika jest początkowo generowana automatycznie i nie jest domyślnie przypisana do Twojego adresu e-mail. Wpisz nazwę użytkownika i/lub hasło zamiast je kopiować i wklejać, aby uniknąć skopiowania spacji znajdującej się na końcu, co spowoduje niepowodzenie logowania.
Uwaga: wymagane będzie uwierzytelnianie wieloskładnikowe (MFA).

Możesz zresetować swoje hasło, korzystając z funkcji „nie pamiętam hasła” w portalu lub pisząc prośbę o nowe hasło tymczasowe na adres TPRM@zoom.us lub TPRM_Assessments@zoom.us.

Główna osoba ds. kontaktów ze strony firmy może w razie potrzeby dodać dodatkowe osoby w portalu dla dostawców.

E-mail
Powiadomienia z portalu dla sprzedawców

Program Scope

Wszyscy sprzedawcy są objęci kwestionariuszem ryzyka nieodłącznego (IRQ). Na podstawie wyników IRQ niektórzy dostawcy mogą wymagać dodatkowych ocen ryzyka. Niektóre usługi zidentyfikowane jako obarczone niskim ryzykiem mogą nie wymagać szczegółowej oceny.

Zespół TPRM zaplanuje spotkanie inauguracyjne na początku nowej współpracy. W tym czasie zostaną Ci przedstawione działania związane z oceną i ich terminy. Naszym celem jest nieprzekroczenie okresu 90 dni kalendarzowych.

Przygotowanie
Inauguracja
Ocena
Spotkania i analiza
Zakończenie współpracy
Ciągłe monitorowanie

Dane dotyczące treści klienta
Dane klienta
Dane pracowników
Dane kandydatów do pracy
Dzienniki zdarzeń
Dane konfiguracyjne
Metadane spotkania

Risk Assessments

Oceny ryzyka to usługi doradcze i oceniające związane ze zgodnością z przepisami lub bezpieczeństwem informacji. Celem jest dostarczenie wskazówek zespołom projektowym i kierownictwu, aby zarządzać ryzykiem technologicznym wprowadzanym przez nowe rozwiązania.

Kwestionariusz ryzyka nieodłącznego (IRQ)
Oceny due diligence ryzyka prowadzone przez zespoły ekspertów (SME), które mogą obejmować zarządzanie ryzykiem osób trzecich, prywatność, zgodność, IT, architekturę bezpieczeństwa, bezpieczeństwo ofensywne lub bezpieczeństwo open source.

IRQ składa się z pytań dotyczących usługi dostawcy, które są wykorzystywane do określenia potencjalnego ryzyka stwarzanego dla Zoom i poziomu ryzyka nieodłącznego.

Poziom ryzyka nieodłącznego odnosi się do potencjalnego ryzyka, jakie współpraca stanowi dla Zoom, zanim zostaną zastosowane lub uwzględnione jakiekolwiek środki kontroli. Poziom ryzyka jest mierzony w skali „niskie”, „średnie” i „wysokie”. Poziom ryzyka nieodłącznego jest czynnikiem decydującym o tym, jakie prace związane z oceną ryzyka są wymagane.

IRQ są wymagane w przypadku każdej nowej współpracy z dostawcą.
Wymagania dotyczące oceny ryzyka opierają się na poziomie ryzyka nieodłącznego.
Poniżej znajdują się ogólne terminy, które będą przestrzegane w przypadku ciągłego monitorowania:
- Krytyczne: co roku
- Wysokie: co roku / co dwa lata
- Średnie: co dwa/trzy lata
- Niskie: doraźnie

W przypadku zidentyfikowania jakichkolwiek problemów w zakresie bezpieczeństwa właściciel firmy będącej dostawcą odpowiada za upewnienie się, że dostarczy ona plan reagowania na ryzyko w odniesieniu do tych problemów i w razie potrzeby włączy go do umów prawnych.
Plany reagowania na ryzyko mogą obejmować działania naprawcze lub akceptację ustaleń.

Incident Management

Incydent można zgłosić, kontaktując się bezpośrednio ze swoim menedżerem dostawców Zoom lub wysyłając wiadomość e-mail na adres (tprm@zoom.us).
Pamiętaj, aby zawrzeć:
- datę incydentu,
- nazwę dostawcy,
- nazwę produktu/aplikacji (jeśli tego dotyczy problem),
- powiadomione osoby ds. kontaktów Zoom,
- powiązane zamówienie (jeśli jego dotyczy problem i jest ono dostępne),
- podsumowanie incydentu.