第三方供应商关系

• 首次登录后必须更改密码
• 首次登录后，可以选择更改用户名
• 注意：您的用户名最初是自动生成的，不会默认设置为您的电子邮件地址。请键入用户名和/或密码，而不要采用复制/粘贴的方式，以免因复制末尾空格而导致登录失败。
• 注意：需要进行多重身份验证 (MFA)。

您可以利用门户中的“忘记密码”功能进行重置，也可以联系 TPRM@zoom.us 或 TPRM_Assessments@zoom.us，我们会重新发送一个链接以及新的临时密码。

贵司的主要供应商联系人可根据需要在供应商门户中添加其他联系人。

• 电子邮件
• 供应商门户通知

所有供应商均已纳入固有风险问卷 (IRQ) 的调查范围内。根据 IRQ 的调查结果，部分供应商可能还需要进行其他风险评估。一些被标识为低风险的服务可能不需要进行详细评估。

在新一轮签约的开始阶段，TPRM 团队将安排与您进行一次启动会议。在此期间，我们将向您传达评估活动和时间表信息。目标是不超过 90 个日历日。

• 准备
• 启动会议
• 评估工作
• 会议和分析
• 签约结束
• 持续监控

• 客户内容数据
• 客户数据
• 员工数据
• 潜在员工数据
• 活动日志
• 配置数据
• 会议元数据

风险评估是与监管合规性或信息安全相关的咨询和评估服务。其目标是为项目团队和领导层提供指导，应对新的解决方案所带来的技术风险。

• 固有风险问卷 (IRQ)
• 尽职调查风险评估由主题专家 (SME) 团队执行，可能包括第三方风险管理、隐私、合规、IT、安全架构、攻击性安全或开源安全等团队。

IRQ 包括有关供应商服务的问题，用于确定对 Zoom 构成的潜在风险和固有风险等级。

固有风险等级是指在采取或考虑任何控制措施之前，签约对 Zoom 构成的潜在风险。风险等级按低、中、高三个等级划分。固有风险等级是确定需要开展哪些风险评估工作的驱动因素。

• 任何新签约的供应商都需要提供 IRQ。
• 风险评估要求以固有风险等级为基础。
• 以下是持续监控所遵循的常规时间表信息：
  • 关键：一年一次
  • 高：每年至两年一次
  • 中：两年至三年一次
  • 低：临时安排

• 如果发现任何安全问题，Zoom 业务所有者有责任确保供应商给出该问题的风险应对计划，并根据需要将计划纳入法律协议。
• 风险应对计划可包括补救问题或接纳问题。

• 可直接联系您的 Zoom 供应商经理或发送电子邮件至 TPRM (tprm@zoom.us) 上报事件。
• 请务必包括以下内容：
  • 事件日期
  • 供应商名称
  • 产品/应用程序名称（如适用）
  • 已通知的 Zoom 联系人
  • 相关采购订单（如适用/可用）
  • 事件概述