Aperçu sur les ressources humaines
Comment Microsoft affiche-t-il les employés potentiels ?
Microsoft suit des exigences rigoureuses en matière de filtrage du personnel pour tous les employés, les internes et le personnel subordonné. Tous les candidats sont préalablement présentés à l’écran avant de commencer à travailler chez Microsoft.
Les vérifications des antécédents des candidats au contrat de travail incluent généralement la révision des composants suivants, dans la mesure où la loi le permet :
- Vérification de l’identité
- Vérification de l’éducation
- Vérification de l’emploi
- Révision du dossier judiciaire
- Révision du Registre de la liberté de l’état
- Révision de la liste des sanctions globales
Quelles vérifications supplémentaires sont effectuées pour les employés qui gèrent les services cloud ?
Outre le filtrage préalable à l’emploi, les employés de Microsoft qui maintiennent des services en ligne Microsoft aux États-Unis doivent faire l’objet d’une vérification des antécédents dans le Cloud Microsoft comme condition préalable à l’accès aux systèmes de services en ligne. Les exigences de vérification des antécédents varient pour se conformer aux lois et aux modèles de prestation de services applicables. Les résultats de la vérification en arrière-plan de Microsoft Cloud sont stockés dans la base de données des employés et doivent être renouvelés tous les deux ans au minimum. Si la vérification en arrière-plan microsoft Cloud expire et que l’employé ne la renouvelle pas, l’accès aux services en ligne est révoqué et n’est plus disponible tant que la vérification en arrière-plan de Microsoft Cloud n’est pas terminée. De même, lorsque la relation d’emploi avec Microsoft se termine, tout accès est immédiatement révoqué.
Comment Microsoft garantit-il que les employés conservent des compétences et des connaissances suffisantes pour assumer leurs responsabilités et suivre les stratégies de Microsoft ?
Tous les employés de Microsoft sont tenus d’effectuer une formation de sensibilisation de base à la sécurité. Une formation initiale se produit lorsqu’un nouvel employé commence à travailler chez Microsoft, et une session annuelle de remise à niveau s’effectue tous les ans par la suite. La formation est conçue pour fournir à l’employé une compréhension de l’approche fondamentale de Microsoft en matière de sécurité. Une formation sur la sécurité basée sur les rôles applicable est également requise avant d’accorder tout accès spécifique nécessaire aux responsabilités d’un individu. La formation sur la sécurité des employés de Microsoft est actualisée sur une base annuelle, et lorsque des modifications de système ou de stratégie justifient une nouvelle formation.
En plus de la formation de sensibilisation à la sécurité, les employés de Microsoft doivent effectuer une formation sur les normes de conduite professionnelle. Cette formation inclut l’engagement commercial, la sécurité des employés, la confidentialité, la protection contre le harcèlement et la tolérance zéro pour les comportements non éthiques. À la fin du cours, les employés doivent attester qu'ils respecteront le code de conduite professionnelle de Microsoft, qui est suivi au niveau de l'organisation. La formation sur les normes de conduite professionnelle est actualisée sur une base annuelle.
Comment Microsoft révoque-t-il l’accès pour les employés qui quittent Microsoft ?
Microsoft utilise des stratégies et procédures clairement définies pour révoquer rapidement l’accès physique et logique aux systèmes et ressources Microsoft lorsqu’un employé quitte Microsoft ou est licencié. Le processus de résiliation de Microsoft garantit que les anciens employés de Microsoft ne peuvent pas accéder aux données ou aux systèmes une fois leur emploi terminé.
Lorsque l’emploi d’un utilisateur d’équipe de service est marqué comme terminé, ces informations sont propagées à l’outil de gestion des comptes Microsoft, qui supprime automatiquement le compte de domaine de l’employé licencié. Tous les badges d’accès ou autres authentifiés physiques délivrés à l’employé licencié sont collectés au moment de l’entretien ou de l’arrêt.
Comment Microsoft s’assure-t-il que les fournisseurs tiers répondent aux mêmes exigences en matière de personnel que les employés de Microsoft ?
Les services en ligne Microsoft exigent que les fournisseurs tiers ont signé un contrat MSSA (Master Supplier Services Agreement). Ce contrat exige que le fournisseur se conforme aux stratégies et procédures de Microsoft, notamment aux stratégies et procédures de sécurité du personnel. Microsoft surveille la conformité aux exigences de filtrage pour le personnel tiers en suivant directement le résultat du filtrage. Microsoft exige que les fournisseurs soumettent les résultats du filtrage pour le personnel tiers directement à Microsoft.
Réglementations externes associées & certifications
Les services en ligne de Microsoft sont régulièrement audités pour assurer la conformité avec les réglementations et certifications externes. Reportez-vous au tableau suivant pour la validation des contrôles liés aux ressources humaines.
Azure et Dynamics 365
| Audits externes | Section | Date de rapport la plus récente |
|---|---|---|
| ISO 27001/27002 Déclaration d’applicabilité Certification |
A.7 : Sécurité des ressources humaines | 2 décembre 2020 |
| ISO 27017 Déclaration d’applicabilité Certification |
A.7 : Sécurité des ressources humaines | 2 décembre 2020 |
| SOC 1 | IS-4 : Formation sur la sécurité OA-3 : révocation de compte |
31 mars 2021 |
| SOC 2 SOC 3 |
C5-2 : Évaluation des risques pour les fournisseurs ELC-6 : Code de conduite du fournisseur IS-4 : Formation sur la sécurité OA-3 : révocation de compte SOC2-1 : Actions de sanction SOC2-12 : Vérifications en arrière-plan SOC2-13 : Contrats de travail SOC2-14 : Accords de confidentialité et de non-divulgation |
31 mars 2021 |
Office 365
| Audits externes | Section | Date de rapport la plus récente |
|---|---|---|
| FedRAMP | AT-2 : Sensibilisation à la sécurité AT-3 : formation sur la sécurité basée sur les rôles AT-4 : Enregistrements de formation sur la sécurité PS-3 : filtrage du personnel PS-4 : résiliation du personnel PS-5 : transfert de personnel PS-7 : sécurité du personnel tiers |
24 septembre 2020 |
| ISO 27001/27002/27017 Déclaration d’applicabilité Certification |
A.7 : Sécurité des ressources humaines | 20 avril 2021 |
| SOC 1 | CA-08 : Vérifications des antécédents CA-43 : Révocation de compte |
24 décembre 2020 |
| SOC 2 | CA-07 : Normes de conduite commerciale (SBC) CA-08 : Vérifications des antécédents CA-43 : Révocation de compte ELC-13/08/14 : Contrats de travail |
24 décembre 2020 |