Panoramica della gestione del personale
In che modo Microsoft controlla i potenziali dipendenti?
Microsoft segue rigorosi requisiti di screening del personale per tutti i candidati, che includono dipendenti a tempo pieno, part-time e stag. Tutti i candidati vengono sottoposti a screening prima di iniziare l'impiego in Microsoft.
I controlli dei precedenti sui candidati all'occupazione includono in genere la revisione dei seguenti componenti, nella misura consentita dalla legge:
- Controllo dell'identità
- Verifica dell'istruzione
- Verifica dell'impiego
- Revisione dei precedenti penali
- Revisione del registro dei trasgressori sessuali
- Revisione dell'elenco delle sanzioni globali
Quali controlli aggiuntivi vengono eseguiti per i dipendenti che gestiscono i servizi cloud?
Oltre allo screening preliminare all'impiego, i dipendenti Microsoft che gestiscono microsoft Servizi online nel Stati Uniti devono sottoporsi a un controllo in background di Microsoft Cloud come prerequisito per l'accesso ai sistemi Servizi online. I requisiti del controllo in background variano in base alle leggi e ai modelli di distribuzione dei servizi applicabili. I risultati di Microsoft Cloud Background Check vengono archiviati nel database dei dipendenti e devono essere rinnovati almeno ogni due anni. Se Microsoft Cloud Background Check scade e il dipendente non lo rinnova, l'accesso a Servizi online viene revocato e non è più disponibile fino al completamento di Microsoft Cloud Background Check. Allo stesso modo, al termine del rapporto di lavoro con Microsoft, tutti gli accessi vengono immediatamente revocati.
In che modo Microsoft garantisce che i dipendenti mantengano competenze e conoscenze sufficienti per svolgere le proprie responsabilità e seguire i criteri Microsoft?
Tutti i dipendenti Microsoft sono tenuti a completare la formazione di base sulla sensibilizzazione sulla sicurezza. La formazione iniziale è prevista all'assunzione di un nuovo dipendente presso Microsoft mentre il corso di aggiornamento ha luogo ogni anno. Questa formazione è concepita per far comprendere ai dipendenti l'approccio fondamentale di Microsoft nei confronti della sicurezza. Prima di concedere l'accesso specifico necessario per le responsabilità professionali di un individuo, è necessario anche un training della sicurezza basato sul ruolo applicabile. La formazione sulla sicurezza dei dipendenti Microsoft viene aggiornata su base annuale e quando le modifiche del sistema o dei criteri richiedono una nuova formazione.
Oltre alla formazione sulla consapevolezza della sicurezza, i dipendenti Microsoft devono completare la formazione sugli standard di condotta aziendale. Questa formazione include etica aziendale, sicurezza dei dipendenti, privacy, anti-molestie e tolleranza zero per comportamenti non etici. Alla fine del corso, i dipendenti devono attestare di rispettare il codice di condotta aziendale Microsoft, monitorato a livello di organizzazione. La formazione sugli standard di comportamento aziendale viene aggiornata su base annuale.
In che modo Microsoft revoca l'accesso ai dipendenti che lasciano Microsoft?
Microsoft usa criteri e procedure chiaramente definiti per revocare tempestivamente l'accesso fisico e logico ai sistemi e alle risorse Microsoft quando un dipendente lascia Microsoft o viene terminato. Il processo di terminazione di Microsoft garantisce che gli ex dipendenti Microsoft non possano accedere ai dati o ai sistemi al termine dell'impiego.
Quando l'occupazione di un utente del team di servizio viene contrassegnata come terminata, queste informazioni vengono propagate allo strumento di gestione degli account Microsoft, che rimuove automaticamente l'account di dominio del dipendente terminato. Eventuali badge di accesso o altri autenticatori fisici rilasciati al dipendente terminato vengono raccolti al momento del colloquio di uscita o della chiusura.
In che modo Microsoft garantisce che i fornitori di terze parti soddisfino gli stessi requisiti del personale dei dipendenti Microsoft?
Microsoft Servizi online richiedere ai fornitori di terze parti di avere firmato un Contratto Master Supplier Services (MSSA). Questo contratto richiede al fornitore di rispettare i criteri e le procedure Microsoft, inclusi i criteri e le procedure di sicurezza del personale. Microsoft monitora la conformità ai requisiti di screening per il personale di terze parti monitorando direttamente l'esito dello screening. Microsoft richiede ai fornitori di condurre schermate in background per tutte le persone che hanno bisogno di accedere alle strutture e/o alla rete Di Microsoft. Per ruoli specifici, un fornitore potrebbe essere tenuto a fornire l'attestazione come prova che la persona ha completato i requisiti dello schermo in background del cloud.
Normative esterne correlate & certificazioni
I Servizi online Microsoft vengono controllati regolarmente per verificare la conformità alle normative e alle certificazioni esterne. Per la convalida dei controlli correlati alle risorse umane, vedere la tabella seguente.
Azure e Dynamics 365
| Controlli esterni | Sezione | Data report più recente |
|---|---|---|
| ISO 27001/27002 Dichiarazione di applicabilità Certificato |
A.7: Sicurezza delle risorse umane | 6 novembre 2023 |
| ISO 27017 Dichiarazione di applicabilità Certificato |
A.7: Sicurezza delle risorse umane | 6 novembre 2023 |
| SOC 1 | IS-4: Formazione sulla sicurezza OA-3: Revoca dell'account |
17 novembre 2023 |
| SOC 2 SOC 3 |
C5-2: Valutazione dei rischi dei fornitori ELC-6: Codice di condotta dei fornitori IS-4: Formazione sulla sicurezza OA-3: Revoca dell'account SOC2-1: Azioni disciplinari SOC2-12: controlli in background SOC2-13: Contratti di lavoro SOC2-14: accordi di riservatezza e non divulgazione |
17 novembre 2023 |
Microsoft 365
| Controlli esterni | Sezione | Data report più recente |
|---|---|---|
| FedRAMP (Office 365) | AT-2: Consapevolezza della sicurezza AT-3: Formazione sulla sicurezza basata sui ruoli AT-4: Record di training della sicurezza PS-3: Screening del personale PS-4: Terminazione del personale PS-5: Trasferimento del personale PS-7: Sicurezza del personale di terze parti |
31 luglio 2023 |
| ISO 27001/27002/27017 Dichiarazione di applicabilità Certificazione (27001/27002) Certificazione (27017) |
A.7: Sicurezza delle risorse umane | Marzo 2024 |
| SOC 1 | CA-08: Controlli in background CA-43: Revoca dell'account |
23 gennaio 2024 |
| SOC 2 | CA-07: Standard di comportamento aziendale (SBC) CA-08: Controlli in background CA-43: Revoca dell'account ELC-13/08/14: Contratti di lavoro |
23 gennaio 2024 |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per