ベンダー関連情報

ベンダー オンボーディング

サードパーティ ベンダーと提携により、Zoom は顧客ニーズやビジネスニーズにお応えしています。 これらのサードパーティ企業はサプライヤー、ベンダー、サードパーティ ベンダーと呼ばれることもあります。 サードパーティ リスク管理(TPRM)プログラムでは、このような多数のサードパーティ ベンダー向けに助言やアセスメントを実施しています。 TPRM では、法務、調達、テクノロジー コンプライアンス、プライバシー、IT、ビジネスの各部門と提携して Zoom ベンダー グループの包括的なガバナンスと管理を提供しています。

TPRM プログラムは、Zoom にテクノロジーやサービスを提供し、Zoom の機密データにアクセスするベンダーが、主なセキュリティ原則、ミーティング コンプライアンス、規制上の要件を遵守していることを保証するために制定されました。 TPRM プログラムの一環として、リスク アセスメントが実施されます。

TPRM により、リスクベースのレビュー サイクルを通じてこれらの要件に対するコンプライアンスが促進されます。 どの新規ベンダーも本プロセスを完了するまでは業務を開始できません。

FAQ(よくある質問)

  • ベンダーリスク管理ポータル
    • Zoom ベンダーリスク管理ポータル
      • 以下のように、Zoom ベンダーリスク管理ポータルから送信されたユーザー名とパスワードを使用して、初回のサインインを行います。
        • 初回サインイン時にパスワードを変更する必要があります。
        • ユーザー名を変更するオプションは初回サインイン後に利用できます。
        • : ユーザー名は初回に自動生成され、お使いのメールアドレスがデフォルトとはなりません。 ユーザー名とパスワードについては、サインイン エラーの原因となる末尾のスペースをコピーしないよう、コピー / ペーストではなく入力を行ってください。
        • : 多要素認証(MFA)を求められます。
    • ユーザー名 / パスワードを忘れてしまい、リセットする必要がある場合はどうすればよいですか?
      • 本ポータルで [パスワードを忘れた場合] 機能を使用することで、ご自身によるリセットが可能です。TPRM@zoom.us または TPRM_Assessments@zoom.us にご連絡いただければ、Zoom より新しい一時パスワード付きリンクを再送信します。
    • ベンダーリスク管理ポータルへのアクセス権を別の社内従業員に付与する方法はありますか?
      • 貴社の主なベンダー連絡先である担当者が、必要に応じてベンダー ポータルから別の連絡先を追加できます。
    • TPRM が必須アクションのお知らせを自社に送信する方法には何がありますか?
      • メールアドレス
      • ベンダー ポータル上の通知
  • プログラムの対象範囲
    • どのベンダーが対象ですか?
      • 全ベンダーが固有リスク アンケート(IRQ)の対象となります。 IRQ の結果に応じ、一部ベンダーには追加のリスク アセスメントが必要になる場合があります。 低リスクとして認識された一部サービスには、詳細なアセスメントを求められないケースもあります。
    • 本プログラムにかかる期間はどのくらいですか?
      • TPRM チームにより、新しいエンゲージメントの開始時に皆様とのキックオフ ミーティングがスケジュールされます。 この期間中、アセスメントのアクティビティとタイムラインについて皆様に通知します。 プログラムの完了目標として 90 暦日以下を設定しています。
    • TPRM エンゲージメント ステップには何がありますか?
      • 準備
      • キックオフ
      • アセスメント ワーク
      • ミーティングと分析
      • エンゲージメントの終了
      • 継続的なモニタリング
    • 機密データに該当するものは何ですか?
      • お客様のコンテンツ データ
      • お客様のデータ
      • 従業員のデータ
      • 従業員候補のデータ
      • イベントログ
      • 設定データ
      • ミーティングのメタデータ
  • リスク アセスメント
    • 詳細表示
      • リスク アセスメントは、規制上のコンプライアンスや情報セキュリティに関連した助言およびアセスメント サービスを指します。 その目的は、プロジェクト チームやリーダーシップにガイドを提供し、新しいソリューションによるテクノロジー リスクを管理することにあります。
    • リスク アセスメントの対象となりうるものは何ですか?
      • 固有リスク アンケート(IRQ)
      • デュー デリジェンス リスク アセスメント
      • サードパーティ リスク管理、プライバシー、コンプライアンス、IT、セキュリティ アーキテクチャ、オフェンシブ セキュリティ、オープンソース セキュリティなどの内容領域専門家(SME)チームによって実施されます。
    • IRQ とは何ですか?
      • IRQ は、Zoom および固有リスク階層に課せられる潜在リスクの判断に使用される、ベンダー サービスについての質問で構成されています。
    • 固有リスク階層とは何ですか?
      • 固有リスク階層は、あらゆる管理を適用または検討する前に、1 件のベンダー エンゲージメントが Zoom に示す潜在リスクを意味します。 このリスク階層は「低」、「中」、「高」の範囲で測定されます。 固有リスク階層は、求められるリスク アセスメント ワークを判断する推進要素となります。
    • リスク アセスメントが求められる頻度はどの程度ですか?
      • IRQ はあらゆる新規ベンダー エンゲージメントの際に求められます。
      • リスク アセスメント要件は、固有リスク階層に基づきます。
      • 以下は、継続的なモニタリングを実施するうえでの一般的なタイムラインです。
        • 重大: 年 1 回
        • 高: 年 1 回~隔年
        • 中: 隔年~3 年に 1 回
        • 低: 臨時
    • 潜在的なリスクやセキュリティの検出結果が特定されるとどうなりますか?
      • セキュリティの検出結果が特定されると、ビジネス オーナーはベンダーが検出結果へのリスク対応プランを用意し、必要に応じてそのプランを法的契約に組み込むことに責任を負います。
      • リスク対応プランには、検出結果の修正または承諾が含まれることがあります。
  • インシデント管理
    • プライバシーまたはセキュリティ上のインシデントが発生した場合、自社は何をすべきですか?
      • インシデントは、Zoom ベンダー マネージャーへの直接連絡か、TPRM(tprm@zoom.us)へのメール送信により報告をお願いいたします
      • 以下の内容を記載してください。
        • インシデントが発生した日付
        • ベンダー名
        • プロダクト / アプリケーション名(該当する場合)
        • 担当の Zoom 連絡先
        • 関連する PO(該当する場合 / 利用可能な場合)
        • インシデントの要約

リソース