인사 관리 개요
Microsoft는 잠재 직원을 어떻게 선별하나요?
Microsoft는 정규직, 파트타임 직원 및 인턴을 포함하여 모든 후보자에 대한 엄격한 인사 심사 요구 사항을 따릅니다. 모든 응시자는 Microsoft에서 취업을 시작하기 전에 심사됩니다.
고용 후보자에 대한 배경 조사에는 일반적으로 법률에서 허용하는 범위까지 다음 구성 요소에 대한 검토가 포함됩니다.
- ID 검사
- 교육 확인
- 고용 확인
- 범죄 기록 검토
- 성범죄자 레지스트리 검토
- 글로벌 제재 목록 검토
클라우드 서비스를 관리하는 직원에 대해 수행되는 추가 검사는 무엇인가요?
사전 고용 심사 외에도 미국 Microsoft 온라인 서비스 유지하는 Microsoft 직원은 온라인 서비스 시스템에 액세스하기 위한 필수 조건으로 Microsoft 클라우드 배경 검사를 받아야 합니다. 백그라운드 검사 요구 사항은 해당 법률 및 서비스 제공 모델을 준수하기 위해 달라집니다. Microsoft 클라우드 백그라운드 검사의 증거는 직원 데이터베이스에 저장되며 최소 2년마다 갱신해야 합니다. Microsoft 클라우드 백그라운드 검사가 만료되고 직원이 갱신하지 않으면 Microsoft 클라우드 백그라운드 검사가 완료될 때까지 액세스 자격이 취소됩니다. 마찬가지로 Microsoft와의 고용 관계가 종료되면 모든 액세스 권한이 즉시 취소됩니다.
직원이 책임을 수행하고 Microsoft 정책을 따르기에 충분한 기술과 지식을 유지하도록 Microsoft는 어떻게 해야 할까요?
모든 Microsoft 직원은 기본 보안 및 개인 정보 인식 교육을 완료해야 합니다. 초기 교육은 신입 사원이 일하기 시작할 때 이루어지며, 그 후 매년 갱신 교육이 시행됩니다. 이 교육은 직원에게 Microsoft의 보안 및 개인 정보 보호에 대한 기본적인 접근 방식을 이해할 수 있도록 설계되었습니다. 개인의 직무 책임에 필요한 특정 액세스 권한을 부여하기 전에 적용 가능한 역할 기반 교육도 필요합니다. Microsoft 직원의 보안 교육은 매년 새로 고쳐지고 시스템 또는 정책이 변경되면 새 교육이 보장됩니다.
Microsoft 직원은 보안 및 개인 정보 보호 인식 교육 외에도 비즈니스 행위 표준 교육을 완료해야 합니다. 이 교육에는 비즈니스 윤리, 직원 안전, 괴롭힘 방지 및 비윤리적 행동에 대한 무관용이 포함됩니다. 과정을 마치면 직원들은 organization 수준에서 추적되는 Microsoft 비즈니스 행동 강령을 준수할 것임을 확인해야 합니다. 비즈니스 행위 표준 교육은 매년 새로 고쳐집니다.
Microsoft는 Microsoft를 떠나는 직원에 대한 액세스를 어떻게 취소하나요?
Microsoft는 명확하게 정의된 정책 및 절차를 사용하여 직원이 Microsoft를 떠나거나 종료될 때 Microsoft 시스템 및 리소스에 대한 물리적 및 논리적 액세스를 즉시 취소합니다. Microsoft의 종료 프로세스는 이전 Microsoft 직원이 고용이 종료된 후 데이터 또는 시스템에 액세스할 수 없도록 합니다.
서비스 팀 구성원의 고용이 종료된 것으로 표시되면 이 정보가 Microsoft 계정 관리 도구로 전파되어 종료된 직원의 도메인 계정이 자동으로 제거됩니다. 종료된 직원에게 발급된 액세스 배지 또는 기타 물리적 인증자는 종료 면접 또는 종료 시 수집됩니다.
Microsoft는 타사 공급업체가 Microsoft 직원과 동일한 직원 요구 사항을 충족하도록 어떻게 보장하나요?
Microsoft 온라인 서비스 타사 공급업체에 서명된 MSSA(마스터 공급업체 서비스 계약)가 있어야 합니다. 이 계약을 통해 공급업체는 직원 보안 정책 및 절차를 포함하여 Microsoft 정책 및 절차를 준수해야 합니다. Microsoft는 심사 결과를 직접 추적하여 타사 담당자에 대한 심사 요구 사항 준수를 모니터링합니다. Microsoft는 공급자가 Microsoft의 시설 및/또는 네트워크에 액세스해야 하는 모든 사용자를 위해 배경 화면을 수행하도록 요구합니다. 특정 역할의 경우 공급자가 증명을 사용자가 클라우드 백그라운드 화면 요구 사항을 완료했다는 증거로 제공해야 할 수 있습니다.
공급업체에 대한 자세한 내용은 공급업체 관리 개요를 참조하세요.
관련 외부 규정 & 인증
Microsoft의 온라인 서비스 외부 규정 및 인증 준수에 대해 정기적으로 감사됩니다. 인적 자원과 관련된 컨트롤의 유효성 검사는 다음 표를 참조하세요.
Azure 및 Dynamics 365
| 외부 감사 | 섹션 | 최신 보고서 날짜 |
|---|---|---|
|
ISO 27001 적용 가능성 설명 인증서 |
A.7: 인적 자원 보안 | 2024년 4월 8일 |
|
ISO 27017 적용 가능성 설명 인증서 |
A.7: 인적 자원 보안 | 2024년 4월 8일 |
| SOC 1 | IS-4: 보안 교육 OA-3: 계정 해지 |
2024년 8월 16일 |
|
SOC 2 SOC 3 |
C5-2: 공급자 위험 평가 ELC-6: 공급업체 행동 강령 IS-4: 보안 교육 OA-3: 계정 해지 SOC2-1: 징계 조치 SOC2-12: 백그라운드 검사 SOC2-13: 고용 계약 SOC2-14: 기밀성 및 비밀 유지 계약 |
2024년 05월 20일 |
Microsoft 365
| 외부 감사 | 섹션 | 최신 보고서 날짜 |
|---|---|---|
| FedRAMP | AT-2: 보안 인식 AT-3: 역할 기반 보안 교육 AT-4: 보안 학습 레코드 PS-3: 직원 심사 PS-4: 직원 종료 PS-5: 직원 이전 PS-7: 타사 직원 보안 |
2024년 8월 21일 |
|
ISO 27001/27017 적용 가능성 설명 인증(27001) 인증(27017) |
A.7: 인적 자원 보안 | 2024년 3월 |
| SOC 1 | CA-08: 백그라운드 검사 CA-43: 계정 해지 |
2024년 8월 1일 |
| SOC 2 | CA-07: SBC(비즈니스 행위 표준) CA-08: 백그라운드 검사 CA-43: 계정 해지 ELC-08/13/14: 고용 계약 |
2024년 1월 23일 |