Для первого входа в систему используйте имя пользователя и пароль, полученный на портале управления рисками поставщиков Zoom.

При первом входе в систему необходимо изменить пароль. После первого входа у вас будет возможность изменить имя пользователя. Примечание. Изначально имя пользователя генерируется автоматически, при этом для его создания адрес электронной почты не используется по умолчанию. Рекомендуем вводить имя пользователя и пароль вручную, чтобы случайно не скопировать пробел в конце, из-за чего вы не сможете выполнить вход в систему. Примечание. Необходимо будет пройти многофакторную аутентификацию (MFA).

Как TPRM будет уведомлять мою компанию, если от нее требуются какие-либо действия?

По электронной почте. С помощью уведомлений на портале поставщиков.

Какие этапы включает привлечение поставщиков в программу TPRM?

Подготовка. Введение в курс дела. Оценка. Конференции и анализ. Завершение процесса привлечения. Непрерывный мониторинг.

Какие данные считаются конфиденциальными?

Содержимое клиентов. Данные клиентов. Данные сотрудников. Данные потенциальных сотрудников. Журналы мероприятий. Данные конфигурации. Метаданные конференций.

Какие оценки рисков могут применяться?

Опросник для оценки типичных рисков (IRQ). Комплексные оценки рисков, которые проводятся командами специалистов в конкретной области (SME) и могут включать оценку управления рисками третьих сторон, обеспечения конфиденциальности, соблюдения нормативно-правовых требований, оценку ИТ, архитектуры системы безопасности, наступательной безопасности или систем безопасности с открытым исходным кодом.

Как часто требуется проведение оценки рисков?

Опросники IRQ требуются для каждого нового привлекаемого поставщика. Требования к оценке рисков зависят от уровня типичных рисков. Далее приведены общие сроки, которым мы будем следовать при выполнении непрерывного мониторинга. Критический: ежегодно. Высокий: ежегодно — раз в два года. Средний: раз в два года — раз в три года. Низкий: ситуативно.

Что происходит при обнаружении потенциальных рисков или проблем?

При обнаружении проблем с безопасностью владелец бизнеса Zoom должен позаботиться о том, чтобы поставщик предоставил план реагирования на риски в соответствии с обнаруженными проблемами и при необходимости мог внести этот план в юридические соглашения. Планы реагирования на риски могут включать исправление или принятие обнаруженных проблем.

Что моей компании следует делать в случае возникновения инцидента, связанного с конфиденциальностью или безопасностью?

Об инциденте можно сообщить непосредственно своему менеджеру по работе с поставщиками Zoom или команде TPRM (по адресу электронной почты tprm@zoom.us ). Обязательно укажите: дату инцидента; имя поставщика; название продукта или приложения (если применимо); имена уведомленных контактных лиц Zoom; связанный заказ на покупку (если применимо и доступно); краткие сведения об инциденте.

Отношения со сторонними поставщиками

Адаптация поставщиков

Zoom сотрудничает со сторонними поставщиками для удовлетворения потребностей клиентов и компаний. Эти сторонние компании могут называться подрядчиками, поставщиками или сторонними поставщиками. В рамках программы управления рисками третьих лиц (TPRM) проводятся консультативные и оценочные мероприятия для множества этих сторонних поставщиков. Программа TPRM применяется юридическим отделом, отделом закупок, отделом соблюдения нормативно-правовых требований в сфере технологий, отделом обеспечения конфиденциальности, ИТ-отделом и бизнес-подразделениями для полного администрирования группы поставщиков Zoom и управления ими.

Цель программы TPRM — контроль соблюдения поставщиками, которые предоставляют технологии или услуги для Zoom и получают доступ к конфиденциальным данным Zoom, ключевых принципов обеспечения безопасности, соблюдения нормативно-правовых требований и требований регуляторных органов. В рамках программы TPRM проводятся оценки рисков.

TPRM обеспечивает соблюдение этих требований посредством цикла проверки на основе рисков. Перед началом работы с любым новым поставщиком обязательно осуществляется такой процесс.

Часто задаваемые вопросы

Vendor Risk Management Portal

При первом входе в систему необходимо изменить пароль.
После первого входа у вас будет возможность изменить имя пользователя.
Примечание. Изначально имя пользователя генерируется автоматически, при этом для его создания адрес электронной почты не используется по умолчанию. Рекомендуем вводить имя пользователя и пароль вручную, чтобы случайно не скопировать пробел в конце, из-за чего вы не сможете выполнить вход в систему.
Примечание. Необходимо будет пройти многофакторную аутентификацию (MFA).

Можно сбросить свои данные для входа самостоятельно, используя функцию «Забыли пароль?» на портале, а также обратиться к нам по адресу TPRM@zoom.us или TPRM_Assessments@zoom.us, и мы повторно пришлем вам ссылку на новый временный пароль.

Основное контактное лицо поставщика вашей компании при необходимости может добавлять дополнительные контакты на портале поставщиков.

По электронной почте.
С помощью уведомлений на портале поставщиков.

Program Scope

Опросник для оценки типичных рисков (IRQ) применим для всех поставщиков. По результатам IRQ некоторым поставщикам может потребоваться пройти дополнительные оценки рисков. Для некоторых услуг, определяемых как услуги с низким уровнем риска, может не потребоваться проведение подробной оценки.

Команда TPRM запланирует вводную конференцию с вами на начальном этапе привлечения нового поставщика. На этой конференции мы сообщим о мероприятиях и сроках проведения оценки. Мы стремимся выполнять ее не более чем за 90 календарных дней.

Подготовка.
Введение в курс дела.
Оценка.
Конференции и анализ.
Завершение процесса привлечения.
Непрерывный мониторинг.

Содержимое клиентов.
Данные клиентов.
Данные сотрудников.
Данные потенциальных сотрудников.
Журналы мероприятий.
Данные конфигурации.
Метаданные конференций.

Risk Assessments

Оценка рисков представляет собой консультативные и оценочные услуги, связанные с соблюдением нормативно-правовых требований или информационной безопасностью. Цель — предоставить командам, работающим над проектами, и руководству инструкции по управлению технологическими рисками, которые появляются с внедрением новых решений.

Опросник для оценки типичных рисков (IRQ).
Комплексные оценки рисков, которые проводятся командами специалистов в конкретной области (SME) и могут включать оценку управления рисками третьих сторон, обеспечения конфиденциальности, соблюдения нормативно-правовых требований, оценку ИТ, архитектуры системы безопасности, наступательной безопасности или систем безопасности с открытым исходным кодом.

IRQ состоит из вопросов об услуге поставщика, которые помогают определить потенциальный риск для Zoom и уровень типичных рисков.

Под уровнем типичных рисков подразумевается потенциальный риск для Zoom, который несет в себе привлечение поставщика до того, как будут приняты или учтены какие-либо меры контроля. Уровень рисков оценивается по шкале: низкий, средний или высокий. Уровень типичных рисков — это движущий фактор в определении требуемых оценочных мероприятий.

Опросники IRQ требуются для каждого нового привлекаемого поставщика.
Требования к оценке рисков зависят от уровня типичных рисков.
Далее приведены общие сроки, которым мы будем следовать при выполнении непрерывного мониторинга.
- Критический: ежегодно.
- Высокий: ежегодно — раз в два года.
- Средний: раз в два года — раз в три года.
- Низкий: ситуативно.

При обнаружении проблем с безопасностью владелец бизнеса Zoom должен позаботиться о том, чтобы поставщик предоставил план реагирования на риски в соответствии с обнаруженными проблемами и при необходимости мог внести этот план в юридические соглашения.
Планы реагирования на риски могут включать исправление или принятие обнаруженных проблем.

Incident Management

Об инциденте можно сообщить непосредственно своему менеджеру по работе с поставщиками Zoom или команде TPRM (по адресу электронной почты tprm@zoom.us).
Обязательно укажите:
- дату инцидента;
- имя поставщика;
- название продукта или приложения (если применимо);
- имена уведомленных контактных лиц Zoom;
- связанный заказ на покупку (если применимо и доступно);
- краткие сведения об инциденте.