Vue d’ensemble de la gestion du personnel
Comment Microsoft filtre-t-il les employés potentiels ?
Microsoft suit les exigences rigoureuses de sélection du personnel pour tous les candidats, y compris les employés à temps plein, à temps partiel et les stagiaires. Tous les candidats sont examinés avant de commencer à travailler chez Microsoft.
Les vérifications d’antécédents sur les candidats à l’emploi comprennent généralement l’examen des éléments suivants, dans la mesure où la loi le permet :
- Case activée d’identité
- Vérification de l’éducation
- Vérification de l’emploi
- Examen du casier judiciaire
- Examen du registre des délinquants sexuels
- Révision de la liste de sanctions globale
Quelles vérifications supplémentaires sont effectuées pour les employés qui gèrent les services cloud ?
En plus du filtrage préalable à l’emploi, les employés Microsoft qui maintiennent microsoft services en ligne dans le États-Unis doivent faire l’objet d’une vérification des antécédents microsoft cloud comme condition préalable pour accéder aux systèmes services en ligne. Les exigences des case activée en arrière-plan varient pour se conformer aux lois applicables et aux modèles de prestation de services. Les résultats de microsoft Cloud Background Check sont stockés dans notre base de données des employés et doivent être renouvelés au minimum tous les deux ans. Si la vérification d’arrière-plan Microsoft Cloud expire et que l’employé ne la renouvelle pas, l’accès à services en ligne est révoqué et n’est plus disponible tant que la vérification en arrière-plan Microsoft Cloud n’est pas terminée. De même, lorsque la relation d’emploi avec Microsoft prend fin, tout accès est immédiatement révoqué.
Comment Microsoft s’assure-t-il que les employés conservent les compétences et les connaissances suffisantes pour s’acquitter de leurs responsabilités et suivre les stratégies Microsoft ?
Tous les employés de Microsoft doivent suivre une formation de base sur la sensibilisation à la sécurité. Une formation initiale se produit lorsqu’un nouvel employé commence à travailler chez Microsoft, et une session annuelle de remise à niveau s’effectue tous les ans par la suite. La formation est conçue pour fournir à l’employé une compréhension de l’approche fondamentale de Microsoft en matière de sécurité. Une formation sur la sécurité basée sur les rôles applicable est également requise avant d’accorder tout accès spécifique nécessaire aux responsabilités professionnelles d’une personne. La formation sur la sécurité des employés Microsoft est actualisée chaque année, et lorsque des changements de système ou de stratégie justifient une nouvelle formation.
En plus d’une formation de sensibilisation à la sécurité, les employés de Microsoft doivent suivre une formation sur les normes de conduite commerciale. Cette formation inclut l’éthique commerciale, la sécurité des employés, la confidentialité, la lutte contre le harcèlement et la tolérance zéro pour les comportements non éthiques. À la fin du cours, les employés doivent attester qu’ils respectent le code de conduite de Microsoft, qui est suivi au niveau organization. La formation sur les normes de conduite des affaires est actualisée sur une base annuelle.
Comment Microsoft révoque-t-il l’accès aux employés qui quittent Microsoft ?
Microsoft utilise des stratégies et des procédures clairement définies pour révoquer rapidement l’accès physique et logique aux systèmes et ressources Microsoft lorsqu’un employé quitte Microsoft ou est licencié. Le processus de résiliation de Microsoft garantit que les anciens employés de Microsoft ne peuvent pas accéder aux données ou aux systèmes après la fin de leur emploi.
Lorsque l’emploi d’un utilisateur d’équipe de service est marqué comme terminé, ces informations se propagent à l’outil de gestion des comptes Microsoft, qui supprime automatiquement le compte de domaine de l’employé licencié. Tous les badges d’accès ou autres authentificateurs physiques émis à l’employé licencié sont recueillis au moment de l’entrevue de sortie ou de la résiliation.
Comment Microsoft s’assure-t-il que les fournisseurs tiers répondent aux mêmes exigences en matière de personnel que les employés de Microsoft ?
Microsoft services en ligne demander aux fournisseurs tiers de disposer d’un Contrat principal de services aux fournisseurs (MSSA) signé. Ce contrat exige que le fournisseur se conforme aux stratégies et procédures de Microsoft, y compris les stratégies et procédures de sécurité du personnel. Microsoft surveille la conformité aux exigences de filtrage pour le personnel tiers en effectuant le suivi direct du résultat du filtrage. Microsoft exige que les fournisseurs effectuent des écrans d’arrière-plan pour toutes les personnes qui ont besoin d’accéder aux installations et/ou au réseau de Microsoft. Pour des rôles spécifiques, un fournisseur peut être tenu de fournir une attestation comme preuve que la personne a rempli les exigences de l’écran d’arrière-plan cloud.
Réglementations externes connexes & certifications
Les services en ligne de Microsoft sont régulièrement auditées pour vérifier la conformité aux réglementations et certifications externes. Reportez-vous au tableau suivant pour la validation des contrôles liés aux ressources humaines.
Azure et Dynamics 365
| Audits externes | Section | Date du dernier rapport |
|---|---|---|
| ISO 27001/27002 Déclaration d’applicabilité Certificat |
A.7 : Sécurité des ressources humaines | 6 novembre 2023 |
| ISO 27017 Déclaration d’applicabilité Certificat |
A.7 : Sécurité des ressources humaines | 6 novembre 2023 |
| SOC 1 | IS-4 : Formation à la sécurité OA-3 : Révocation de compte |
17 novembre 2023 |
| SOC 2 SOC 3 |
C5-2 : Évaluation des risques des fournisseurs ELC-6 : Code de conduite des fournisseurs IS-4 : Formation à la sécurité OA-3 : Révocation de compte SOC2-1 : Mesures disciplinaires SOC2-12 : Vérifications en arrière-plan SOC2-13 : Contrats de travail SOC2-14 : Accords de confidentialité et de non-divulgation |
17 novembre 2023 |
Microsoft 365
| Audits externes | Section | Date du dernier rapport |
|---|---|---|
| FedRAMP (Office 365) | AT-2 : Sensibilisation à la sécurité AT-3 : Formation sur la sécurité basée sur les rôles AT-4 : Enregistrements de formation à la sécurité PS-3 : Filtrage du personnel PS-4 : Licenciement du personnel PS-5 : Transfert de personnel PS-7 : Sécurité du personnel tiers |
31 juillet 2023 |
| ISO 27001/27002/27017 Déclaration d’applicabilité Certification (27001/27002) Certification (27017) |
A.7 : Sécurité des ressources humaines | Mars 2024 |
| SOC 1 | CA-08 : Vérifications en arrière-plan CA-43 : Révocation de compte |
23 janvier 2024 |
| SOC 2 | CA-07 : Normes de conduite des entreprises (SBC) CA-08 : Vérifications en arrière-plan CA-43 : Révocation de compte ELC-08/13/14 : Contrats de travail |
23 janvier 2024 |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour