第三方廠商關係

廠商上線

廠商上線

Zoom 會與第三方廠商成為合作夥伴,以滿足客戶和業務需求。這些第三方公司可以是供應商、廠商或第三方廠商。第三方風險管理 (TPRM) 計畫針對眾多第三方廠商提供建議及評估服務。TPRM 透過與法務、採購、技術法規遵循、隱私權、IT 和業務等負責單位合作,全方位治理與管理 Zoom 的廠商群。

TPRM 計畫旨在確保提供 Zoom 技術或服務並可存取 Zoom 敏感性資料的廠商遵守關鍵安全性原則、符合法規與監管要求。在 TPRM 計畫的過程中,將會執行風險評估。

TPRM 透過定期風險審核以達成法規遵循要求。 新廠商都必須完成此一審核才能正式啟動工作。

常見問答集

Vendor Risk Management Portal

  • 首次登入後,您須立即變更密碼
  • 首次登入後,您可選擇變更使用者名稱
  • 注意:您最初的使用者名稱為自動產生,並非預設為您的電子郵件地址。請以鍵盤輸入使用者名稱和/或密碼,切勿複製/貼上,以避免複製到末尾的空白,導致登入失敗。
  • 注意:必須執行多重要素驗證 (MFA)。

您可使用入口網站的「忘記密碼」功能重設密碼,或聯絡 TPRM@zoom.usTPRM_Assessments@zoom.us,我們即會重新寄送連結與新的臨時密碼。

貴公司的主要廠商聯絡人可依需求,於廠商入口網站新增額外聯絡人。

  • Email
  • 廠商入口網站通知

Program Scope

所有廠商皆適用固有風險問卷 (IRQ)。根據 IRQ 結果,部分廠商可能需要進行額外風險評估。部分服務判定為低風險,無須詳細評估。

展開新合作事宜時,TPRM 團隊將會與您安排啟始會議。在此期間,我們將會與您溝通評估活動與時間表。目標是不超過 90 個日曆天。

  • 準備
  • 啟始
  • 評估工作
  • 會議與分析
  • 會期結束
  • 持續監控
  • 客戶內容資料
  • 客戶資料
  • 員工資料
  • 潛在員工資料
  • 事件記錄
  • 組態資料
  • 會議中繼資料

Risk Assessments

風險評估是與監管合規或資訊安全相關的諮詢與評估服務。目標是為專案團隊與領導階層提供指引,以管理新解決方案帶來的科技風險。

  • 固有風險問卷 (IRQ)
  • 由主題專家 (SME) 團隊執行詳盡風險評估,內容可能包括:第三方風險管理、隱私權、法規遵循、IT、安全性架構、攻擊性安全或開源安全性。

IRQ 包括廠商服務相關問題,用於判定可能危害 Zoom 的潛在風險及固有風險層級。

固有風險層級指的是尚未施加或考慮任何控制項的會程可能為 Zoom 帶來的潛在風險。風險層級是依低、中、高分級衡量。固有風險層級是判定必要風險評估作業為何的驅動因素。

  • 所有新廠商合作皆須執行 IRQ。
  • 風險評估要求是根據固有風險層級而定。
  • 以下為持續監控的後續一般時間表:
    • 重大:每年
    • 高:每年至二年一次
    • 中:二至三年一次
    • 低:有需要時 
  • 若發現任何安全問題,Zoom 業主須負責確保廠商就該問題提供風險因應計畫,並視需要將計畫納入法律協議中。
  • 風險因應計畫可包括問題的修復或接受。

Incident Management

  • 若要提出事件報告,您可直接聯絡您的 Zoom 廠商經理,或寄信至 TPRM ( tprm@zoom.us)。
  • 來信請務必詳列:
    • 事件日期
    • 廠商名稱
    • 產品/應用程式名稱(若適用)
    • 已獲通知的 Zoom 聯絡人
    • 相關 PO(如適用/可用)
    • 事件摘要

資源

安全性附錄

深入瞭解

POC 合約

深入瞭解

證據需求清單

深入瞭解