Quan hệ nhà cung cấp

Hướng dẫn nhập môn cho nhà cung cấp 

Zoom hợp tác với các nhà cung cấp bên thứ ba nhằm đáp ứng nhu cầu của khách hàng và doanh nghiệp. Các công ty bên thứ ba này có thể được gọi là nhà cung ứng, nhà cung cấp hoặc nhà cung cấp bên thứ ba. Chương trình Quản lý Rủi ro Bên thứ ba (TPRM) cung cấp hoạt động tư vấn và đánh giá cho nhiều nhà cung cấp bên thứ ba này. TPRM hợp tác với các Đơn vị Pháp lý, Mua sắm, Tuân thủ Công nghệ, Quyền riêng tư, CNTT và Kinh doanh để cung cấp khả năng quản lý ở cấp chính sách và cấp vận hành toàn diện đối với các nhà cung cấp của Zoom.

Chương trình TPRM được thiết lập nhằm đảm bảo rằng các nhà cung cấp công nghệ hoặc dịch vụ cho Zoom và truy cập dữ liệu nhạy cảm của Zoom đều tuân thủ các nguyên tắc bảo mật chính, đáp ứng các yêu cầu tuân thủ và quy định. Việc đánh giá rủi ro sẽ được tiến hành vì đây là một phần của Chương trình TPRM.

TPRM thúc đẩy việc tuân thủ các yêu cầu này thông qua chu trình đánh giá dựa trên rủi ro. Mọi nhà cung cấp mới đều phải hoàn tất quy trình này trước khi bắt đầu công việc.

Câu hỏi thường gặp

  • Cổng quản lý Rủi ro Nhà cung cấp
    • Cổng quản lý Rủi ro Nhà cung cấp của Zoom
      • Sử dụng tên người dùng và mật khẩu bạn nhận được từ cổng Quản lý Rủi ro Nhà cung cấp của Zoom để đăng nhập lần đầu tiên:
        • Bạn phải thay đổi mật khẩu trong lần đăng nhập đầu tiên
        • Bạn sẽ có tùy chọn thay đổi tên người dùng sau lần đăng nhập đầu tiên
        • Ghi chú: Tên người dùng ban đầu được tạo tự động và không mặc định là địa chỉ email của bạn. Hãy nhập tên người dùng và/hoặc mật khẩu thay vì sao chép/dán để tránh sao chép khoảng trắng ở cuối, dẫn đến đăng nhập không thành công.
        • Ghi chú: Xác thực đa yếu tố (MFA) sẽ được yêu cầu.
    • Bạn quên tên người dùng/mật khẩu và cần thiết lập lại?
      • Bạn có thể tự thiết lập lại các thông tin trên bằng cách sử dụng tính năng ‘quên mật khẩu’ trên cổng thông tin, hãy liên hệ với TPRM@zoom.us hoặc TPRM_Assessments@zoom.us; sau đó, chúng tôi có thể gửi lại liên kết với mật khẩu tạm thời mới.
    • Tôi phải làm gì để có thể cấp quyền truy cập vào cổng Quản lý Rủi ro Nhà cung cấp cho người khác trong công ty của mình?
      • Người liên hệ nhà cung cấp chính từ công ty của bạn có thể thêm người liên hệ bổ sung vào cổng thông tin nhà cung cấp khi cần.
    • TPRM sẽ gửi thông tin liên lạc đến công ty của tôi về các hành động cần thiết bằng cách nào?
      • Email
      • Thông báo trên cổng thông tin nhà cung cấp
  • Phạm vi chương trình
    • Nhà cung cấp nào nằm trong phạm vi?
      • Tất cả các nhà cung cấp đều nằm trong phạm vi của bảng câu hỏi về rủi ro vốn có (IRQ). Một số nhà cung cấp có thể phải đánh giá rủi ro bổ sung dựa trên kết quả của IRQ. Một số dịch vụ được xác định là có rủi ro thấp có thể không cần đánh giá chi tiết.
    • Cần bao nhiêu thời gian cho quy trình này?
      • Đội ngũ TPRM sẽ lên lịch cho cuộc họp khởi động với bạn khi bắt đầu một hoạt động tham gia mới. Trong thời gian này, bạn sẽ được thông báo về các hoạt động và mốc thời gian đánh giá. Mục tiêu là không vượt quá 90 ngày theo lịch. 
    • Các bước tham gia TPRM là gì?
      • Chuẩn bị
      • Khởi động
      • Công tác đánh giá
      • Họp và phân tích
      • Kết thúc tham gia
      • Giám sát liên tục
    • Dữ liệu nào được coi là dữ liệu nhạy cảm?
      • Dữ liệu về nội dung của khách hàng
      • Dữ liệu khách hàng
      • Dữ liệu nhân viên
      • Dữ liệu nhân viên tiềm năng
      • Nhật ký sự kiện
      • Dữ liệu cấu hình
      • Siêu dữ liệu cuộc họp
  • Đánh giá rủi ro
    • Đó là gì?
      • Đánh giá rủi ro là các dịch vụ tư vấn và đánh giá liên quan đến việc tuân thủ quy định hoặc bảo mật thông tin. Mục tiêu là cung cấp hướng dẫn cho các đội ngũ dự án và lãnh đạo nhằm quản lý rủi ro công nghệ do các giải pháp mới đem lại.
    • Những đánh giá rủi ro nào có thể có trong phạm vi?
      • Bảng câu hỏi rủi ro vốn có (IRQ)
      • Đánh giá rủi ro thẩm định
      • Được thực hiện bởi các nhóm Chuyên gia trong một lĩnh vực, có thể bao gồm Quản lý Rủi ro Bên thứ ba, Quyền riêng tư, Tuân thủ, CNTT, Kiến trúc Bảo mật, Bảo mật Tấn công hoặc Bảo mật Nguồn mở.
    • Bảng câu hỏi rủi ro vốn có (IRQ) là gì?
      • IRQ bao gồm các câu hỏi về dịch vụ của nhà cung cấp nhằm xác định rủi ro tiềm ẩn gây ra cho Zoom và mức rủi ro vốn có.
    • Mức rủi ro vốn có là gì?
      • Mức rủi ro vốn có đề cập đến rủi ro tiềm ẩn mà một hoạt động tham gia mang lại cho Zoom trước khi áp dụng hay tính đến bất kỳ biện pháp kiểm soát nào. Mức rủi ro được đo lường theo thang điểm thấp, trung bình và cao. Mức rủi ro vốn có là yếu tố thúc đẩy trong việc xác định công tác đánh giá rủi ro nào là cần thiết.
    • Tần suất yêu cầu đối với đánh giá rủi ro như thế nào?
      • IRQ là bắt buộc đối với mọi nhà cung cấp mới khi tham gia hợp tác. 
      • Yêu cầu đánh giá rủi ro dựa trên mức rủi ro vốn có.
      • Dưới đây là các mốc thời gian chung sẽ được tuân theo để giám sát liên tục:
        • Quan trọng: Hàng năm
        • Cao: Hàng năm đến hai năm một lần
        • Trung bình: Hai năm một lần đến ba năm một lần
        • Thấp: Tùy theo nhu cầu
    • Điều gì xảy ra khi xác định được những rủi ro tiềm ẩn hoặc có phát hiện mới?
      • Nếu có bất kỳ phát hiện về bảo mật nào, chủ doanh nghiệp có trách nhiệm đảm bảo rằng nhà cung cấp đưa ra kế hoạch ứng phó rủi ro cho phát hiện đó và kết hợp các kế hoạch đó vào các thỏa thuận pháp lý nếu cần.
      • Kế hoạch ứng phó rủi ro có thể bao gồm việc khắc phục hoặc chấp nhận các phát hiện.
  • Quản lý sự cố
    • Công ty của tôi nên làm gì nếu xảy ra sự cố về quyền riêng tư hoặc bảo mật?
      • Bạn có thể báo cáo sự cố bằng cách liên hệ trực tiếp với Người quản lý Nhà cung cấp Zoom của bạn hoặc gửi email cho TPRM (tprm@zoom.us). 
      • Hãy đảm bảo bao gồm các thông tin:
        • Ngày xảy ra sự cố
        • Tên nhà cung cấp
        • Tên sản phẩm/ứng dụng (nếu có)
        • (Các) liên hệ Zoom được thông báo
        • PO liên quan (nếu có/có sẵn)
        • Tóm tắt sự cố

Tài liệu