Leverantörsrelationer

Leverantörsintroduktion 

Zoom samarbetar med tredjepartsleverantörer för att uppfylla kunders och företags behov. Dessa tredjepartsföretag kan omnämnas som leverantörer eller tredjepartsleverantörer. TPRM-programmet (Third Party Risk Management) ger rådgivning om och bedömning av många av dessa tredjepartsleverantörer. TPRM samarbetar med avdelningarna för juridik, anskaffning, teknikefterlevnad, integritet, IT och affärer för att ge heltäckande styrning och hantering av Zooms leverantörsbas.

TPRM-programmet har tagits fram för att säkerställa att leverantörer som tillhandahåller teknik eller tjänster till Zoom, och som har åtkomst till känsliga data som tillhör Zoom, följer viktiga säkerhetsprinciper samt uppfyller krav på efterlevnad och lagstadgade krav. Som del av TPRM-programmet kommer riskbedömningar att utföras.

TPRM upprätthåller efterlevnad av dessa krav genom en riskbaserad granskningscykel. För nya leverantörer kan arbeten inte påbörjas förrän denna process har slutförts.

Vanliga frågor

  • Portal för riskbedömning av leverantörer
    • Zoom-portalen för riskbedömning av leverantörer
      • Använd användarnamnet och lösenordet som du fick från Zoom-portalen för riskbedömning av leverantörer för att logga in för första gången:
        • Du måste ändra ditt lösenord när du loggar in för första gången.
        • Du har möjlighet att ändra ditt användarnamn efter den första inloggningen.
        • Obs: Ditt användarnamn genereras automatiskt till en början och återspeglar inte din e-postadress som standard. Skriv hellre in användarnamn och/eller lösenord snarare än att kopiera och klistra in för att undvika att kopiera ett mellanslag i slutet, vilket leder till att inloggningen misslyckas.
        • Obs: Multifaktorautentisering (MFA) krävs.
    • Har du glömt ditt användarnamn eller lösenord och behöver återställa det?
      • Du kan återställa det själv genom att använda funktionen för ”glömt lösenord” på portalen. Skriv till TPRM@zoom.us eller TPRM_Assessments@zoom.us så kan vi skicka en länk med ett nytt tillfälligt lösenord.
    • Hur ger jag åtkomst till portalen för riskbedömning av leverantörer till någon annan på mitt företag?
      • Den huvudsakliga leverantörskontakten på ditt företag kan lägga till ytterligare kontakter i leverantörsportalen efter behov.
    • Hur meddelar TPRM mitt företag gällande nödvändiga åtgärder?
      • e-post
      • aviseringar från leverantörsportalen.
  • Programmets omfattning
    • Vilka leverantörer omfattas?
      • Alla leverantörer omfattas av ett formulär för inneboende risk. Baserat på resultaten i detta formulär kan vissa leverantörer behöva ytterligare riskbedömningar. Vissa tjänster som identifieras som låg risk kanske inte behöver en detaljerad bedömning.
    • Hur lång tid tar detta?
      • TPRM-teamet schemalägger ett kickoff-möte med dig när ett nytt åtagande inleds. Under tiden meddelas du om aktiviteter och tidsramar för bedömningen. Målet är att inte överskrida 90 kalenderdagar. 
    • Vilka är stegen i TPRM-arbetet?
      • förberedelse
      • kickoff
      • bedömning
      • möten och analys
      • avslutande av åtagande
      • kontinuerlig övervakning.
    • Vad anses som känslig data?
      • kundinnehållsdata
      • kunddata
      • medarbetardata
      • data om medarbetarkandidater
      • händelseloggar
      • konfigurationsdata
      • metadata för möten.
  • Riskbedömningar
    • Vad är det?
      • Riskbedömningar är rådgivnings- och bedömningstjänster som är kopplade till regelefterlevnad eller informationssäkerhet. Målet är att ge vägledning åt projektteam och -ledare för att hantera teknikrisker som införs av nya lösningar.
    • Vilka riskbedömningar kan omfattas?
      • formulär för inneboende risk
      • due diligence-riskbedömningar
      • ska utföras av ämnesexpertteam som kan inkludera avdelningarna för riskbedömning av tredje part, integritet, efterlevnad, IT, säkerhetsarkitektur, offensiv säkerhet eller säkerhet med öppen källkod.
    • Vad är ett formulär för inneboende risk?
      • Formuläret för inneboende risk består av frågor kring leverantörens tjänst som används för att avgöra den potentiella risken för Zoom samt den inneboende risknivån.
    • Vad är en inneboende risknivå?
      • Inneboende risknivå avser den möjliga risken ett samarbete innebär för Zoom innan några kontroller utförs eller tas med i beräkningarna. Risknivån mäts på skalan låg, medelhög och hög. Den inneboende risknivån är den drivande faktorn i att avgöra vilket riskbedömningsarbete som krävs.
    • Hur ofta behöver riskbedömningar göras?
      • Formulär för inneboende risk krävs för alla nya leverantörer. 
      • Bedömningskraven baseras på den inneboende risknivån.
      • Nedan står de allmänna tidsramarna för kontinuerlig övervakning:
        • kritisk: varje år
        • hög: varje år till vartannat år
        • medelhög: vartannat år till vart tredje år
        • låg: ad-hoc.
    • Vad händer om potentiella risker eller fynd identifieras?
      • Om säkerhetsrelaterade fynd identifieras ansvarar företagsägaren för att säkerställa att leverantören tillhandahåller en riskåtgärdsplan för fyndet och införlivar planerna i de juridiska avtalen efter behov.
      • Riskåtgärdsplaner kan omfatta sanering eller acceptans av fynden.
  • Incidenthantering
    • Vad bör mitt företag göra om en integritets- eller säkerhetsincident inträffar?
      • Du kan rapportera incidenten genom att kontakta din Zoom-leverantörsansvariga direkt eller genom att e-posta TPRM (tprm@zoom.us).
      • Se till att inkludera:
        • datum för incidenten
        • leverantörens namn
        • produkt-/appnamn (om tillämpligt)
        • Zoom-kontakt(er) som meddelats
        • associerad IO (om tillämpligt/tillgänglig)
        • sammanfattning av incidenten.

Resurser