Vue d’ensemble de la gestion du personnel
Comment Microsoft filtre-t-il les employés potentiels ?
Microsoft suit les exigences rigoureuses de sélection du personnel pour tous les candidats, y compris les employés à temps plein, à temps partiel et les stagiaires. Tous les candidats sont examinés avant de commencer à travailler chez Microsoft.
Les vérifications d’antécédents sur les candidats à l’emploi comprennent généralement l’examen des éléments suivants, dans la mesure où la loi le permet :
- Case activée d’identité
- Vérification de l’éducation
- Vérification de l’emploi
- Examen du casier judiciaire
- Examen du registre des délinquants sexuels
- Révision de la liste de sanctions globale
Quelles vérifications supplémentaires sont effectuées pour les employés qui gèrent les services cloud ?
En plus du filtrage préalable à l’emploi, les employés Microsoft qui maintiennent microsoft services en ligne dans le États-Unis doivent faire l’objet d’une vérification des antécédents microsoft cloud comme condition préalable pour accéder aux systèmes services en ligne. Les exigences des case activée en arrière-plan varient pour se conformer aux lois applicables et aux modèles de prestation de services. La preuve de la vérification des antécédents microsoft cloud est stockée dans notre base de données des employés et doit être renouvelée tous les deux ans au minimum. Si la vérification d’arrière-plan Microsoft Cloud expire et que l’employé ne la renouvelle pas, les éligibilités d’accès sont révoquées jusqu’à ce que la vérification en arrière-plan Microsoft Cloud soit terminée. De même, lorsque la relation d’emploi avec Microsoft prend fin, tout accès est immédiatement révoqué.
Comment Microsoft s’assure-t-il que les employés conservent les compétences et les connaissances suffisantes pour s’acquitter de leurs responsabilités et suivre les stratégies Microsoft ?
Tous les employés de Microsoft doivent suivre une formation fondamentale de sensibilisation à la sécurité et à la confidentialité. Une formation initiale se produit lorsqu’un nouvel employé commence à travailler chez Microsoft, et une session annuelle de remise à niveau s’effectue tous les ans par la suite. La formation est conçue pour fournir à l’employé une compréhension de l’approche fondamentale de Microsoft en matière de sécurité et de confidentialité. Une formation basée sur les rôles applicable est également requise avant d’accorder tout accès spécifique nécessaire aux responsabilités professionnelles d’une personne. La formation sur la sécurité des employés Microsoft est actualisée chaque année, et lorsque des changements de système ou de stratégie justifient une nouvelle formation.
En plus des formations de sensibilisation à la sécurité et à la confidentialité, les employés de Microsoft doivent suivre une formation sur les normes de conduite commerciale. Cette formation inclut l’éthique de l’entreprise, la sécurité des employés, la lutte contre le harcèlement et la tolérance zéro pour les comportements non éthiques. À la fin du cours, les employés doivent attester qu’ils respectent le code de conduite de Microsoft, qui est suivi au niveau organization. La formation sur les normes de conduite des affaires est actualisée sur une base annuelle.
Comment Microsoft révoque-t-il l’accès aux employés qui quittent Microsoft ?
Microsoft utilise des stratégies et des procédures clairement définies pour révoquer rapidement l’accès physique et logique aux systèmes et ressources Microsoft lorsqu’un employé quitte Microsoft ou est licencié. Le processus de résiliation de Microsoft garantit que les anciens employés de Microsoft ne peuvent pas accéder aux données ou aux systèmes après la fin de leur emploi.
Lorsque l’emploi d’un membre de l’équipe de service est marqué comme terminé, ces informations se propagent à l’outil de gestion des comptes Microsoft, qui supprime automatiquement le compte de domaine de l’employé licencié. Tous les badges d’accès ou autres authentificateurs physiques émis à l’employé licencié sont recueillis au moment de l’entrevue de sortie ou de la résiliation.
Comment Microsoft s’assure-t-il que les fournisseurs tiers répondent aux mêmes exigences en matière de personnel que les employés de Microsoft ?
Microsoft services en ligne demander aux fournisseurs tiers de disposer d’un Contrat principal de services aux fournisseurs (MSSA) signé. Ce contrat exige que le fournisseur se conforme aux stratégies et procédures de Microsoft, y compris les stratégies et procédures de sécurité du personnel. Microsoft surveille la conformité aux exigences de filtrage pour le personnel tiers en effectuant le suivi direct du résultat du filtrage. Microsoft exige que les fournisseurs effectuent des écrans d’arrière-plan pour toutes les personnes qui ont besoin d’accéder aux installations et/ou au réseau de Microsoft. Pour des rôles spécifiques, un fournisseur peut être tenu de fournir une attestation comme preuve que la personne a rempli les exigences de l’écran d’arrière-plan cloud.
Pour plus d’informations sur les fournisseurs, consultez Vue d’ensemble de la gestion des fournisseurs
Réglementations externes connexes & certifications
Les services en ligne de Microsoft sont régulièrement auditées pour vérifier la conformité aux réglementations et certifications externes. Reportez-vous au tableau suivant pour la validation des contrôles liés aux ressources humaines.
Azure et Dynamics 365
| Audits externes | Section | Date du dernier rapport |
|---|---|---|
|
ISO 27001 Déclaration d’applicabilité Certificat |
A.7 : Sécurité des ressources humaines | 8 avril 2024 |
|
ISO 27017 Déclaration d’applicabilité Certificat |
A.7 : Sécurité des ressources humaines | 8 avril 2024 |
| SOC 1 | IS-4 : Formation à la sécurité OA-3 : Révocation de compte |
16 août 2024 |
|
SOC 2 SOC 3 |
C5-2 : Évaluation des risques des fournisseurs ELC-6 : Code de conduite des fournisseurs IS-4 : Formation à la sécurité OA-3 : Révocation de compte SOC2-1 : Mesures disciplinaires SOC2-12 : Vérifications en arrière-plan SOC2-13 : Contrats de travail SOC2-14 : Accords de confidentialité et de non-divulgation |
20 mai 2024 |
Microsoft 365
| Audits externes | Section | Date du dernier rapport |
|---|---|---|
| FedRAMP | AT-2 : Sensibilisation à la sécurité AT-3 : Formation sur la sécurité basée sur les rôles AT-4 : Enregistrements de formation à la sécurité PS-3 : Filtrage du personnel PS-4 : Licenciement du personnel PS-5 : Transfert de personnel PS-7 : Sécurité du personnel tiers |
21 août 2024 |
|
ISO 27001/27017 Déclaration d’applicabilité Certification (27001) Certification (27017) |
A.7 : Sécurité des ressources humaines | Mars 2024 |
| SOC 1 | CA-08 : Vérifications en arrière-plan CA-43 : Révocation de compte |
1er août 2024 |
| SOC 2 | CA-07 : Normes de conduite des entreprises (SBC) CA-08 : Vérifications en arrière-plan CA-43 : Révocation de compte ELC-08/13/14 : Contrats de travail |
23 janvier 2024 |