Visão geral do gerenciamento de pessoal
Como a Microsoft exibe possíveis funcionários?
A Microsoft segue requisitos rigorosos de triagem de pessoal para todos os candidatos, o que inclui funcionários e estagiários em tempo integral, em tempo parcial. Todos os candidatos são exibidos antes do início do emprego na Microsoft.
As verificações de antecedentes sobre candidatos ao emprego geralmente incluem a revisão dos seguintes componentes, na medida permitida por lei:
- Marcar de identidade
- Verificação de educação
- Verificação de emprego
- Revisão de antecedentes criminais
- Revisão do registro de agressor sexual
- Revisão da lista de sanções globais
Quais verificações adicionais são executadas para funcionários que gerenciam serviços de nuvem?
Além da triagem de pré-emprego, os funcionários da Microsoft que mantêm a Microsoft serviços online no Estados Unidos devem passar por uma Verificação de Antecedentes da Nuvem da Microsoft como um pré-requisito para acesso a sistemas de serviços online. Os requisitos de marcar em segundo plano variam para atender às leis aplicáveis e aos modelos de entrega de serviços. Os resultados do Microsoft Cloud Background Check são armazenados em nosso banco de dados de funcionários e devem ser renovados a cada dois anos no mínimo. Se a Verificação de Antecedentes da Nuvem da Microsoft expirar e o funcionário não renová-la, o acesso ao serviços online será revogado e não estará mais disponível até que a Verificação de Antecedentes da Nuvem da Microsoft seja concluída. Da mesma forma, quando a relação de emprego com a Microsoft termina, todo o acesso é imediatamente revogado.
Como a Microsoft garante que os funcionários mantenham habilidades e conhecimentos suficientes para executar suas responsabilidades e seguir as políticas da Microsoft?
Todos os funcionários da Microsoft são necessários para concluir o treinamento básico de conscientização de segurança. O treinamento inicial ocorre quando um novo funcionário começa a trabalhar na Microsoft e o treinamento de atualização anual ocorre todos os anos depois disso. O treinamento foi projetado para fornecer ao funcionário uma compreensão da abordagem fundamental da Microsoft para a segurança. O treinamento de segurança baseado em função aplicável também é necessário antes de conceder qualquer acesso específico necessário para as responsabilidades de trabalho de um indivíduo. O treinamento de segurança dos funcionários da Microsoft é atualizado anualmente e quando alterações de sistema ou política garantem novo treinamento.
Além do treinamento de conscientização de segurança, os funcionários da Microsoft devem concluir o treinamento Padrões de Conduta Empresarial. Esse treinamento inclui ética empresarial, segurança dos funcionários, privacidade, anti-assédio e tolerância zero para comportamentos não éticos. Ao final do curso, os funcionários devem atestar que respeitarão o código de conduta comercial da Microsoft, que é rastreado no nível da organização. O treinamento Standards of Business Conduct é atualizado anualmente.
Como a Microsoft revoga o acesso para funcionários que saem da Microsoft?
A Microsoft usa políticas e procedimentos claramente definidos para revogar prontamente o acesso físico e lógico aos sistemas e recursos da Microsoft quando um funcionário deixa a Microsoft ou é encerrado. O processo de término da Microsoft garante que ex-funcionários da Microsoft não possam acessar dados ou sistemas após o término do emprego.
Quando o emprego de um usuário da equipe de serviço é marcado como encerrado, essas informações se propagam para a ferramenta de gerenciamento de conta da Microsoft, que remove automaticamente a conta de domínio do funcionário encerrado. Quaisquer selos de acesso ou outros autenticadores físicos emitidos para o funcionário encerrado são coletados no momento da entrevista de saída ou término.
Como a Microsoft garante que fornecedores de terceiros atendam aos mesmos requisitos de pessoal que os funcionários da Microsoft?
A Microsoft serviços online exigir que fornecedores de terceiros tenham um MSSA (Contrato mestre de serviços de fornecedores) assinado. Esse contrato exige que o fornecedor cumpra as políticas e procedimentos da Microsoft, incluindo políticas e procedimentos de segurança pessoal. A Microsoft monitora a conformidade com os requisitos de triagem para pessoal de terceiros acompanhando diretamente o resultado da triagem. A Microsoft exige que os fornecedores realizem telas em segundo plano para todas as pessoas que precisam de acesso às instalações e/ou rede da Microsoft. Para funções específicas, um Fornecedor pode ser necessário para fornecer atestado como evidência de que a pessoa concluiu os requisitos da tela de fundo da nuvem.
Regulamentos externos relacionados & certificações
Os serviços online da Microsoft são auditados regularmente para conformidade com regulamentos e certificações externas. Consulte a tabela a seguir para validação de controles relacionados aos recursos humanos.
Azure e Dynamics 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| ISO 27001/27002 Instrução de Aplicabilidade Certificado |
A.7: Segurança de recursos humanos | 6 de novembro de 2023 |
| ISO 27017 Instrução de Aplicabilidade Certificado |
A.7: Segurança de recursos humanos | 6 de novembro de 2023 |
| SOC 1 | IS-4: Treinamento de segurança OA-3: revogação da conta |
17 de novembro de 2023 |
| SOC 2 SOC 3 |
C5-2: Avaliação de risco do fornecedor ELC-6: Código de conduta do fornecedor IS-4: Treinamento de segurança OA-3: revogação da conta SOC2-1: ações disciplinares SOC2-12: verificações em segundo plano SOC2-13: Contratos de trabalho SOC2-14: Contratos de confidencialidade e não divulgação |
17 de novembro de 2023 |
Microsoft 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| FedRAMP (Office 365) | AT-2: Conscientização de segurança AT-3: Treinamento de segurança baseado em função AT-4: Registros de treinamento de segurança PS-3: Triagem de pessoal PS-4: Término de pessoal PS-5: Transferência de pessoal PS-7: segurança de pessoal de terceiros |
31 de julho de 2023 |
| ISO 27001/27002/27017 Instrução de Aplicabilidade Certificação (27001/27002) Certificação (27017) |
A.7: Segurança de recursos humanos | março de 2024 |
| SOC 1 | CA-08: verificações em segundo plano CA-43: revogação da conta |
23 de janeiro de 2024 |
| SOC 2 | CA-07: Padrões de Conduta Comercial (SBC) CA-08: verificações em segundo plano CA-43: revogação da conta ELC-08/13/14: Contratos de trabalho |
23 de janeiro de 2024 |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de