人事管理の概要
Microsoft は見込み従業員をどのように選別しますか?
Microsoft は、フルタイム、パートタイムの従業員、インターンを含むすべての候補者に対する厳格な人事審査要件に従います。 すべての候補者は、Microsoft での雇用を開始する前にスクリーニングされます。
採用候補者のバックグラウンド チェックには、一般に、法律で許可されている範囲で、次のコンポーネントのレビューが含まれます。
- ID チェック
- 教育の検証
- 雇用の検証
- 犯罪記録のレビュー
- 性犯罪者レジストリレビュー
- グローバルな承認一覧のレビュー
クラウド サービスを管理する従業員に対して実行される追加のチェックは何ですか?
雇用前のスクリーニングに加えて、米国で Microsoft オンライン サービスを維持する Microsoft 従業員は、オンライン サービス システムへのアクセスの前提条件として Microsoft Cloud Background Check を受ける必要があります。 バックグラウンド チェックの要件は、適用される法律とサービス配信モデルに準拠するために異なります。 Microsoft Cloud Background Check の結果は従業員データベースに保存され、少なくとも 2 年ごとに更新する必要があります。 Microsoft Cloud Background Check の有効期限が切れ、従業員が更新しない場合、オンライン サービスへのアクセスは取り消され、Microsoft Cloud Background Check が完了するまで使用できなくなります。 同様に、Microsoft との雇用関係が終了すると、すべてのアクセスはすぐに取り消されます。
Microsoft では、従業員が責任を果たして Microsoft ポリシーに従うために十分なスキルと知識を維持する方法を説明します。
Microsoft のすべての従業員は、基本的なセキュリティ意識のトレーニングを完了する必要があります。 初任者研修は、新しい従業員が Microsoft で仕事を開始したときに実施され、その後毎年更新研修が行われます。 この研修は、従業員が Microsoft の基本的なセキュリティ アプローチを理解できるように設計されています。 また、個人の職務に必要な特定のアクセス権を付与する前に、該当するロールベースのセキュリティ トレーニングも必要です。 Microsoft 従業員のセキュリティ トレーニングは、年単位で更新され、システムまたはポリシーの変更によって新しいトレーニングが必要な場合に更新されます。
Microsoft の従業員は、セキュリティ意識のトレーニングに加えて、ビジネス行動基準のトレーニングを完了する必要があります。 このトレーニングには、企業倫理、従業員の安全、プライバシー、ハラスメント防止、非倫理的行動に対するゼロ トレランスが含まれます。 コースの最後に、従業員は、organization レベルで追跡される Microsoft のビジネス行動規範に従うことを証明する必要があります。 ビジネス行動規範のトレーニングは、年単位で更新されます。
Microsoft から退職した従業員に対して、Microsoft がアクセスを取り消す方法
Microsoft では、明確に定義されたポリシーと手順を使用して、従業員が Microsoft を退職したとき、または終了したときに、Microsoft のシステムとリソースへの物理的および論理的なアクセスを迅速に取り消します。 Microsoft の終了プロセスにより、元 Microsoft の従業員は、雇用終了後にデータやシステムにアクセスできなくなります。
サービス チーム ユーザーの雇用が終了としてマークされると、この情報は Microsoft アカウント管理ツールに伝達され、終了した従業員のドメイン アカウントが自動的に削除されます。 終了した従業員に対して発行されたアクセス バッジまたはその他の物理的な認証子は、終了面接または終了時に収集されます。
Microsoft では、サード パーティのサプライヤーが Microsoft 従業員と同じ人事要件をどのように満たしているか。
Microsoft オンライン サービスは、サード パーティのサプライヤーに対して、マスター サプライヤー サービス契約 (MSSA) を締結する必要があります。 本契約により、サプライヤーは Microsoft のポリシーと手順 (人事セキュリティ ポリシーと手順を含む) に従う必要があります。 Microsoft は、スクリーニングの結果を直接追跡することで、サード パーティの担当者のスクリーニング要件への準拠を監視します。 Microsoft では、Microsoft の施設やネットワークにアクセスする必要があるすべてのユーザーに対してバックグラウンド 画面を実行するようサプライヤーに求めています。 特定のロールの場合、サプライヤーは、ユーザーがクラウドのバックグラウンド画面の要件を完了したことを示す証拠として構成証明を提供する必要がある場合があります。
関連する外部規制 & 認定
Microsoft のオンライン サービスは、外部の規制と認定に準拠するために定期的に監査されます。 人事に関連するコントロールの検証については、次の表を参照してください。
Azure と Dynamics 365
| 外部監査 | Section | 最新のレポート日 |
|---|---|---|
| ISO 27001/27002 適用性に関する声明 証明書 |
A.7: 人事セキュリティ | 2023 年 11 月 6 日 |
| ISO 27017 適用性に関する声明 証明書 |
A.7: 人事セキュリティ | 2023 年 11 月 6 日 |
| SOC 1 | IS-4: セキュリティ トレーニング OA-3: アカウント失効 |
2023 年 11 月 17 日 |
| SOC 2 SOC 3 |
C5-2: サプライヤーリスク評価 ELC-6: サプライヤー行動規範 IS-4: セキュリティ トレーニング OA-3: アカウント失効 SOC2-1: 懲戒措置 SOC2-12: バックグラウンド チェック SOC2-13: 雇用契約 SOC2-14: 機密性と秘密保持契約 |
2023 年 11 月 17 日 |
Microsoft 365
| 外部監査 | Section | 最新のレポート日 |
|---|---|---|
| FedRAMP (Office 365) | AT-2: セキュリティの認識 AT-3: ロールベースのセキュリティ トレーニング AT-4: セキュリティ トレーニング レコード PS-3: 人事審査 PS-4: 人員の解雇 PS-5: 人事異動 PS-7: サード パーティの担当者のセキュリティ |
2023 年 7 月 31 日 |
| ISO 27001/27002/27017 適用性に関する声明 認定 (27001/27002) 認定 (27017) |
A.7: 人事セキュリティ | 2024 年 3 月 |
| SOC 1 | CA-08: バックグラウンド チェック CA-43: アカウント失効 |
2024 年 1 月 23 日 |
| SOC 2 | CA-07: ビジネス行動基準 (SBC) CA-08: バックグラウンド チェック CA-43: アカウント失効 ELC-08/13/14: 雇用契約 |
2024 年 1 月 23 日 |
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示