Panoramica della gestione del personale
In che modo Microsoft controlla i potenziali dipendenti?
Microsoft segue rigorosi requisiti di screening del personale per tutti i candidati, che includono dipendenti a tempo pieno, part-time e stag. Tutti i candidati vengono sottoposti a screening prima di iniziare l'impiego in Microsoft.
I controlli dei precedenti sui candidati all'occupazione includono in genere la revisione dei seguenti componenti, nella misura consentita dalla legge:
- Controllo dell'identità
- Verifica dell'istruzione
- Verifica dell'impiego
- Revisione dei precedenti penali
- Revisione del registro dei trasgressori sessuali
- Revisione dell'elenco delle sanzioni globali
Quali controlli aggiuntivi vengono eseguiti per i dipendenti che gestiscono i servizi cloud?
Oltre allo screening preliminare all'impiego, i dipendenti Microsoft che gestiscono microsoft Servizi online nel Stati Uniti devono sottoporsi a un controllo in background di Microsoft Cloud come prerequisito per l'accesso ai sistemi Servizi online. I requisiti del controllo in background variano in base alle leggi e ai modelli di distribuzione dei servizi applicabili. La prova del controllo in background di Microsoft Cloud viene archiviata nel database dei dipendenti e deve essere rinnovata almeno ogni due anni. Se Microsoft Cloud Background Check scade e il dipendente non lo rinnova, le autorizzazioni di accesso vengono revocate fino al completamento di Microsoft Cloud Background Check.If the Microsoft Cloud Background Check expires and the employee doesn't renew it, access eligibilities are revoked until the Microsoft Cloud Background Check is completed. Allo stesso modo, al termine del rapporto di lavoro con Microsoft, tutti gli accessi vengono immediatamente revocati.
In che modo Microsoft garantisce che i dipendenti mantengano competenze e conoscenze sufficienti per svolgere le proprie responsabilità e seguire i criteri Microsoft?
Tutti i dipendenti Microsoft sono tenuti a completare la formazione di base sulla sicurezza e sulla privacy. La formazione iniziale è prevista all'assunzione di un nuovo dipendente presso Microsoft mentre il corso di aggiornamento ha luogo ogni anno. La formazione è progettata per fornire al dipendente una comprensione dell'approccio fondamentale di Microsoft alla sicurezza e alla privacy. È inoltre necessaria una formazione basata sui ruoli applicabile prima di concedere qualsiasi accesso specifico necessario per le responsabilità professionali di un individuo. La formazione sulla sicurezza dei dipendenti Microsoft viene aggiornata su base annuale e quando le modifiche del sistema o dei criteri richiedono una nuova formazione.
Oltre alla formazione sulla sicurezza e sulla privacy, i dipendenti Microsoft devono completare la formazione sugli standard di condotta aziendale. Questa formazione include etica aziendale, sicurezza dei dipendenti, anti-molestie e tolleranza zero per comportamenti non etici. Alla fine del corso, i dipendenti devono attestare di rispettare il codice di condotta aziendale Microsoft, monitorato a livello di organizzazione. La formazione sugli standard di comportamento aziendale viene aggiornata su base annuale.
In che modo Microsoft revoca l'accesso ai dipendenti che lasciano Microsoft?
Microsoft usa criteri e procedure chiaramente definiti per revocare tempestivamente l'accesso fisico e logico ai sistemi e alle risorse Microsoft quando un dipendente lascia Microsoft o viene terminato. Il processo di terminazione di Microsoft garantisce che gli ex dipendenti Microsoft non possano accedere ai dati o ai sistemi al termine dell'impiego.
Quando l'occupazione di un membro del team di servizio viene contrassegnata come terminata, queste informazioni vengono propagate allo strumento di gestione degli account Microsoft, che rimuove automaticamente l'account di dominio del dipendente terminato. Eventuali badge di accesso o altri autenticatori fisici rilasciati al dipendente terminato vengono raccolti al momento del colloquio di uscita o della chiusura.
In che modo Microsoft garantisce che i fornitori di terze parti soddisfino gli stessi requisiti del personale dei dipendenti Microsoft?
Microsoft Servizi online richiedere ai fornitori di terze parti di avere firmato un Contratto Master Supplier Services (MSSA). Questo contratto richiede al fornitore di rispettare i criteri e le procedure Microsoft, inclusi i criteri e le procedure di sicurezza del personale. Microsoft monitora la conformità ai requisiti di screening per il personale di terze parti monitorando direttamente l'esito dello screening. Microsoft richiede ai fornitori di condurre schermate in background per tutte le persone che hanno bisogno di accedere alle strutture e/o alla rete Di Microsoft. Per ruoli specifici, un fornitore potrebbe essere tenuto a fornire l'attestazione come prova che la persona ha completato i requisiti dello schermo in background del cloud.
Per altre informazioni specifiche sui fornitori, vedere Panoramica della gestione dei fornitori
Normative esterne correlate & certificazioni
I Servizi online Microsoft vengono controllati regolarmente per verificare la conformità alle normative e alle certificazioni esterne. Per la convalida dei controlli correlati alle risorse umane, vedere la tabella seguente.
Azure e Dynamics 365
Controlli esterni | Sezione | Data report più recente |
---|---|---|
ISO 27001 Dichiarazione di applicabilità Certificato |
A.7: Sicurezza delle risorse umane | 8 aprile 2024 |
ISO 27017 Dichiarazione di applicabilità Certificato |
A.7: Sicurezza delle risorse umane | 8 aprile 2024 |
SOC 1 | IS-4: Formazione sulla sicurezza OA-3: Revoca dell'account |
16 agosto 2024 |
SOC 2 SOC 3 |
C5-2: Valutazione dei rischi dei fornitori ELC-6: Codice di condotta dei fornitori IS-4: Formazione sulla sicurezza OA-3: Revoca dell'account SOC2-1: Azioni disciplinari SOC2-12: controlli in background SOC2-13: Contratti di lavoro SOC2-14: accordi di riservatezza e non divulgazione |
20 maggio 2024 |
Microsoft 365
Controlli esterni | Sezione | Data report più recente |
---|---|---|
FedRAMP | AT-2: Consapevolezza della sicurezza AT-3: Formazione sulla sicurezza basata sui ruoli AT-4: Record di training della sicurezza PS-3: Screening del personale PS-4: Terminazione del personale PS-5: Trasferimento del personale PS-7: Sicurezza del personale di terze parti |
21 agosto 2024 |
ISO 27001/27017 Dichiarazione di applicabilità Certificazione (27001) Certificazione (27017) |
A.7: Sicurezza delle risorse umane | Marzo 2024 |
SOC 1 | CA-08: Controlli in background CA-43: Revoca dell'account |
1 agosto 2024 |
SOC 2 | CA-07: Standard di comportamento aziendale (SBC) CA-08: Controlli in background CA-43: Revoca dell'account ELC-13/08/14: Contratti di lavoro |
23 gennaio 2024 |