Relacje z dostawcami

Onboarding dostawców

Firma Zoom współpracuje z zewnętrznymi dostawcami w celu zaspokojenia potrzeb klientów i biznesu. Tego typu firmy zewnętrzne mogą być określane jako dostawcy, sprzedawcy lub sprzedawcy zewnętrzni. Program zarządzania ryzykiem osób trzecich (TPRM) zapewnia działania doradcze i oceniające dla wielu z takich zewnętrznych dostawców. W ramach TPRM podejmowana jest współpraca z działami prawnymi, zaopatrzenia, zgodności technologicznej, prywatności, IT i jednostkami biznesowymi, aby zapewnić kompleksowe zarządzanie dostawcami Zoom.

Program TPRM został ustanowiony w celu upewnienia się, że dostawcy dostarczający technologię lub usługi dla Zoom i uzyskujący dostęp do wrażliwych danych Zoom przestrzegają kluczowych zasad bezpieczeństwa, spełniają wymogi dotyczące zgodności i regulacyjne. W ramach programu TPRM przeprowadzane będą oceny ryzyka.

TPRM zapewnia zgodność z wymaganiami poprzez cykl przeglądu oparty na ryzyku. W przypadku nowych dostawców współpraca nie może zostać rozpoczęta przed zakończeniem tego procesu.

Często zadawane pytania

Portal zarządzania ryzykiem dostawców
- Portal zarządzania ryzykiem dostawców Zoom
  - Aby zalogować się po raz pierwszy, użyj nazwy użytkownika i hasła otrzymanych z portalu zarządzania ryzykiem dostawców Zoom:
    - Po pierwszym logowaniu musisz zmienić hasło.
    - Wówczas będzie też możliwa zmiana nazwy użytkownika.
    - Uwaga: Twoja nazwa użytkownika jest początkowo generowana automatycznie i nie jest domyślnie przypisana do Twojego adresu e-mail. Wpisz nazwę użytkownika i/lub hasło zamiast je kopiować i wklejać, aby uniknąć skopiowania spacji znajdującej się na końcu, co spowoduje niepowodzenie logowania.
    - Uwaga: wymagane będzie uwierzytelnianie wieloskładnikowe (MFA).
- Nie pamiętasz nazwy użytkownika lub hasła i chcesz je zresetować?
  - Możesz zresetować swoje hasło, korzystając z funkcji „nie pamiętam hasła” w portalu lub pisząc prośbę o nowe hasło tymczasowe na adres TPRM@zoom.us lub TPRM_Assessments@zoom.us.
- Jak mogę udzielić dostępu do portalu zarządzania ryzykiem dostawców innej osobie w mojej firmie?
  - Główna osoba ds. kontaktów ze strony firmy może w razie potrzeby dodać dodatkowe osoby w portalu dla dostawców.
- W jaki sposób TPRM będzie wysyłać do mojej firmy komunikaty dotyczące wymaganych działań?
  - Adres e-mail
  - Powiadomienia z portalu dla dostawców

Zakres programu
- Którzy dostawcy są objęci?
  - Wszyscy sprzedawcy są objęci kwestionariuszem ryzyka nieodłącznego (IRQ). Na podstawie wyników IRQ niektórzy dostawcy mogą wymagać dodatkowych ocen ryzyka. Niektóre usługi zidentyfikowane jako obarczone niskim ryzykiem mogą nie wymagać szczegółowej oceny.
- Ile czasu to zajmie?
  - Zespół TPRM zaplanuje spotkanie inauguracyjne na początku nowej współpracy. W tym czasie zostaną Ci przedstawione działania związane z oceną i ich terminy. Naszym celem jest, by nie przekraczać okresu 90 dni kalendarzowych.
- Jakie są etapy współpracy w ramach TPRM?
  - Przygotowanie
  - Inauguracja
  - Ocena
  - Spotkania i analizy
  - Zakończenie współpracy
  - Ciągłe monitorowanie
- Co jest uważane za dane wrażliwe?
  - Dane dotyczące treści klienta
  - Dane klienta
  - Dane pracowników
  - Dane kandydatów do pracy
  - Dzienniki zdarzeń
  - Dane konfiguracyjne
  - Metadane spotkania

Oceny ryzyka
- Co to jest?
  - Oceny ryzyka to usługi doradcze i oceniające związane ze zgodnością z przepisami lub bezpieczeństwem informacji. Celem jest dostarczenie wskazówek zespołom projektowym i kierownictwu, aby zarządzać ryzykiem technologicznym wprowadzanym przez nowe rozwiązania.
- Jakie oceny ryzyka mogą wchodzić w zakres?
  - Kwestionariusz ryzyka nieodłącznego (IRQ)
  - Oceny due diligence ryzyka
  - Prowadzone przez zespoły ekspertów (SME), które mogą obejmować zarządzanie ryzykiem osób trzecich, prywatność, zgodność, IT, architekturę bezpieczeństwa, bezpieczeństwo ofensywne lub bezpieczeństwo open source.
- Czym jest IRQ?
  - IRQ składa się z pytań dotyczących usługi dostawcy, które są wykorzystywane do określenia potencjalnego ryzyka stwarzanego dla Zoom i poziomu ryzyka nieodłącznego.
- Co to jest poziom ryzyka nieodłącznego?
  - Poziom ryzyka nieodłącznego odnosi się do potencjalnego ryzyka, jakie współpraca stanowi dla Zoom, zanim zostaną zastosowane lub uwzględnione jakiekolwiek środki kontroli. Poziom ryzyka jest mierzony w skali „niskie”, „średnie” i „wysokie”. Poziom ryzyka nieodłącznego jest czynnikiem decydującym o tym, jakie prace związane z oceną ryzyka są wymagane.
- Jak często wymagane są oceny ryzyka?
  - IRQ są wymagane w przypadku każdej nowej współpracy z dostawcą.
  - Wymagania dotyczące oceny ryzyka opierają się na poziomie ryzyka nieodłącznego.
  - Poniżej znajdują się ogólne terminy, które będą przestrzegane w przypadku ciągłego monitorowania:
    - Krytyczne: co roku
    - Wysokie: co roku / co dwa lata
    - Średnie: co dwa/trzy lata
    - Niskie: doraźnie
- Co się stanie, jeśli zidentyfikowane zostaną potencjalne ryzyka lub nieprawidłowości?
  - W przypadku zidentyfikowania jakichkolwiek nieprawidłowości w zakresie bezpieczeństwa właściciel firmy będącej dostawcą odpowiada za upewnienie się, że dostarczy ona plan reagowania na ryzyko w odniesieniu do tych nieprawidłowości i w razie potrzeby włączy go do umów prawnych.
  - Plany reagowania na ryzyko mogą obejmować działania naprawcze lub akceptację ustaleń.

Zarządzanie incydentami
- Co powinna zrobić moja firma, jeśli dojdzie do incydentu związanego z prywatnością lub bezpieczeństwem?
  - Incydent można zgłosić, kontaktując się bezpośrednio ze swoim menedżerem dostawców Zoom lub wysyłając wiadomość e-mail na adres TPRM (tprm@zoom.us).
  - Pamiętaj, aby zawrzeć w niej:
    - datę incydentu,
    - nazwę dostawcy,
    - nazwę produktu/aplikacji (jeśli jej dotyczy problem),
    - powiadomione osoby ds. kontaktów Zoom,
    - powiązane zamówienie (jeśli jego dotyczy problem i jest ono dostępne),
    - podsumowanie incydentu.

Zasoby

Dodatek dotyczący bezpieczeństwa

Umowa POC

Lista wymaganych dowodów