Mối quan hệ với nhà cung cấp bên thứ ba

• Bạn phải thay đổi mật khẩu trong lần đăng nhập đầu tiên
• Bạn sẽ có tùy chọn thay đổi tên người dùng sau lần đăng nhập đầu tiên
• Lưu ý: Tên người dùng ban đầu được tạo tự động và không mặc định theo địa chỉ email của bạn. Hãy nhập tên người dùng và/hoặc mật khẩu thay vì sao chép/dán để tránh sao chép khoảng trắng ở cuối, dẫn đến đăng nhập không thành công.
• Lưu ý: Sẽ có yêu cầu xác thực đa yếu tố (MFA).

Bạn có thể tự đặt lại bằng cách sử dụng tính năng “quên mật khẩu” trên cổng thông tin, hãy liên hệ với TPRM@zoom.us hoặc TPRM_Assessments@zoom.us; sau đó, chúng tôi có thể gửi lại liên kết chứa mật khẩu tạm thời mới.

Người liên hệ nhà cung cấp chính từ công ty của bạn có thể thêm người liên hệ bổ sung trong cổng thông tin nhà cung cấp khi cần.

• Email
• Thông báo trên cổng thông tin nhà cung cấp

Tất cả các nhà cung cấp đều là đối tượng thực hiện bảng câu hỏi về rủi ro vốn có (Inherent Risk Questionnaire - IRQ). Một số nhà cung cấp có thể phải đánh giá rủi ro bổ sung trên cơ sở kết quả của IRQ. Một số dịch vụ được xác định là có rủi ro thấp có thể không cần đánh giá chi tiết.

Đội ngũ TPRM sẽ lên lịch cho cuộc họp khởi động với bạn khi bắt đầu một cam kết mới. Trong thời gian này, bạn sẽ được thông báo về các hoạt động và mốc thời gian đánh giá. Mục tiêu là không vượt quá 90 ngày theo lịch.

• Chuẩn bị
• Khởi động
• Công tác đánh giá
• Họp và phân tích
• Kết thúc cam kết
• Giám sát liên tục

• Dữ liệu về nội dung của khách hàng
• Dữ liệu khách hàng
• Dữ liệu nhân viên
• Dữ liệu nhân viên tiềm năng
• Nhật ký sự kiện
• Dữ liệu cấu hình
• Siêu dữ liệu cuộc họp

Đánh giá rủi ro là các dịch vụ tư vấn và đánh giá liên quan đến việc tuân thủ quy định hoặc bảo mật thông tin. Mục tiêu là để đưa ra hướng dẫn cho các đội ngũ dự án và ban lãnh đạo nhằm quản lý rủi ro công nghệ phát sinh từ các giải pháp mới.

• Bảng câu hỏi rủi ro vốn có (Inherent Risk Questionnaire - IRQ)
• Đánh giá rủi ro thẩm định được thực hiện bởi các Nhóm chuyên gia trong một lĩnh vực (Subject Matter Expert - SME) có thể bao gồm Quản lý Rủi ro Bên thứ ba, Quyền riêng tư, Tuân thủ, CNTT, Kiến trúc Bảo mật, Bảo mật Tấn công hoặc Bảo mật Nguồn mở.

IRQ bao gồm các câu hỏi về dịch vụ của nhà cung cấp nhằm xác định rủi ro tiềm ẩn gây ra cho Zoom và mức rủi ro vốn có.

Mức rủi ro vốn có đề cập đến rủi ro tiềm ẩn mà một cam kết gây ra cho Zoom trước khi áp dụng hay tính đến bất kỳ biện pháp kiểm soát nào. Mức rủi ro được đo lường theo thang điểm thấp, trung bình và cao. Mức rủi ro vốn có là yếu tố thúc đẩy trong việc xác định công tác đánh giá rủi ro nào là cần thiết.

• IRQ là bắt buộc đối với mọi cam kết mới của nhà cung cấp.
• Yêu cầu đánh giá rủi ro dựa trên mức rủi ro vốn có.
• Dưới đây là các mốc thời gian chung sẽ được tuân thủ để đảm bảo giám sát liên tục:
  • Nghiêm trọng: Hàng năm
  • Cao: Hàng năm đến hai năm một lần
  • Trung bình: Hai năm một lần đến ba năm một lần
  • Thấp: Trường hợp bột phát  

• Nếu xác định có bất kỳ vấn đề nào về bảo mật, chủ sở hữu doanh nghiệp Zoom có trách nhiệm đảm bảo nhà cung cấp đưa ra kế hoạch ứng phó rủi ro cho vấn đề bảo mật đó và có thể đưa kế hoạch đó vào các thỏa thuận pháp lý nếu cần.
• Kế hoạch ứng phó rủi ro có thể bao gồm việc khắc phục hoặc chấp nhận các vấn đề này.

• Bạn có thể báo cáo sự cố bằng cách liên hệ trực tiếp với Người quản lý Nhà cung cấp Zoom của bạn hoặc gửi email cho TPRM (tprm@zoom.us).
• Hãy đảm bảo bạn cung cấp các thông tin sau:
  • Ngày xảy ra sự cố
  • Tên nhà cung cấp
  • Tên sản phẩm/ứng dụng (nếu có)
  • (Những) người liên hệ của Zoom được thông báo
  • PO có liên quan (nếu có/thích hợp)
  • Tóm tắt sự cố