Sécurité RH
Introduction
Le Groupe Altus a la responsabilité de garantir que chaque employé embauché, quel que soit le département ou le rôle, représente une faible menace pour la posture de sécurité des informations du Groupe Altus. Cela comprend la réalisation de contrôles de diligence raisonnable, le cas échéant, et la fourniture aux employés d'une formation en matière de sécurité lors de l'intégration.
Nos principes directeurs
Pour maintenir la confidentialité des informations accessibles par les employés ou les parties externes
Protéger les intérêts du Groupe Altus dans le cadre du processus de changement ou de cessation d’emploi ou de contrat.
Exiger que tous les employés embauchés soient éligibles et aptes aux postes pour lesquels ils sont considérés et restent éligibles et aptes pendant leur emploi.
Fournir aux employés des éclaircissements concernant leurs responsabilités en matière de sécurité de l'information afin de leur permettre de s'acquitter de leurs responsabilités en matière de sécurité de l'information.
Fournir aux employés et aux autres parties intéressées concernées une compréhension claire des conséquences d'une violation de la politique de sécurité de l'information, afin de dissuader et de traiter de manière appropriée les employés et autres parties intéressées concernées qui commettent la violation.
Pour prendre en charge le reporting rapide, cohérent et efficace des événements de sécurité des informations qui peuvent être identifiés par les employés.
Pour permettre le respect des lois et réglementations applicables (telles que RGPD, CCPA, etc.).
Contexte du dépistage
Des contrôles de vérification de tous les candidats pertinents pour devenir employés sont effectués avant de rejoindre le Groupe Altus et sur une base continue, pour garantir que tous les employés sont éligibles et adaptés aux postes pour lesquels ils sont considérés et restent éligibles et adaptés pendant leur emploi.*$ *
Tous les candidats concernés pour un emploi sont sélectionnés pendant le processus de recrutement conformément à la législation en vigueur et aux exigences commerciales, y compris ceux qui accèdent à un système qui stocke, transmet ou traite des informations nécessitant une protection spéciale.
Le processus de sélection répond aux exigences pertinentes par zone géographique, unité commerciale et rôle, et définit les exigences pour les sous-traitants en plus des employés.
Des contrôles de vérification sont répétés périodiquement pour confirmer l’aptitude continue des employés, en fonction du caractère critique du rôle d’une personne.
Conditions d'emploi
Les accords contractuels de travail doivent indiquer les responsabilités des employés et du Groupe Altus en matière de sécurité de l'information afin de garantir que les employés comprennent leurs responsabilités en matière de sécurité de l'information pour les postes pour lesquels ils sont considérés.
Des clauses de confidentialité ou de non-divulgation sont requises dans tous les contrats de travail signés par les employés, avant le début de l'emploi ou l'accès aux informations et systèmes sensibles de l'entreprise.
Les employés présentant un profil de risque de sécurité avancé (admin/ops/infosec) doivent bénéficier de conditions d'emploi de sécurité spécifiques.
Les obligations de confidentialité des entrepreneurs doivent être contenues dans les accords de non-divulgation et/ou dans l'accord d'entrepreneur indépendant conclu entre le Groupe Altus et l'entrepreneur.
Responsabilités de gestion
Il existe un mécanisme permettant aux employés de signaler de manière anonyme les violations liées à la politique, aux normes et aux procédures de sécurité de l'information, dans le cadre d'une politique de dénonciation de l'entreprise.
Une politique de bureau claire est établie.
Le Groupe Altus dispose d'un code de conduite et de normes éthiques documentés qui sont examinés et mis à jour régulièrement.
Sensibilisation, éducation et formation à la sécurité de l’information
Un programme de sensibilisation à la sécurité de l'information existe et propose une formation aux employés pour comprendre et respecter les aspects pertinents de la politique et des normes de sécurité de l'information, ainsi que les directives générales pour un comportement sécurisé. Le programme de sensibilisation à la sécurité de l'information t :
est complété par les nouveaux employés avant de pouvoir accéder à des systèmes ou des données sensibles.
informe les employés de leurs responsabilités et de leur formation en matière de cybersécurité avant d'accéder aux appareils ou aux réseaux du groupe Altus.
Est répété à des délais appropriés
Cessation d'emploi et changement de responsabilités professionnelles
Les responsabilités et devoirs en matière de sécurité de l'information qui restent valables après la cessation ou le changement d'emploi sont définis, appliqués et communiqués aux employés concernés et aux autres parties intéressées afin de protéger les intérêts de l'organisation dans le cadre du processus de changement ou de cessation d'emploi ou de contrats.
Les employés licenciés sont informés de toutes les obligations contractuelles continues, telles que les obligations de confidentialité et de non-divulgation, qui restent en vigueur après la date de licenciement.
Le processus de licenciement renforce les responsabilités et les devoirs en matière de sécurité de l'information qui restent valables après la cessation d'emploi ou le changement d'emploi.
Les changements de responsabilité ou d'emploi sont gérés comme la cessation de la responsabilité ou de l'emploi actuel combinée au début de la nouvelle responsabilité ou de l'emploi.
Gestion des informations et données RH
Une gestion efficace des données RH est essentielle pour protéger la vie privée des employés, garantir l'exactitude des données et soutenir la prise de décision stratégique.
Les processus RH garantissent que l'acquisition, le stockage, le traitement et l'élimination des données sont conformes aux exigences en matière de protection des données et de gouvernance, y compris les données des sortants et des candidats non retenus.