Het management MOET actief de uitvoering van het informatieveiligheidsbeleid en de gerelateerde procedures faciliteren, waarbij gewaarborgd wordt dat medewerkers:
Adequaat geïnformeerd worden over hun rollen en verantwoordelijkheden op het gebied van informatieveiligheid voordat ze toegang krijgen tot bedrijfsinformatie en andere relevante middelen.
Duidelijke instructies ontvangen die de verwachtingen omtrent hun rol in informatiebeveiliging binnen de organisatie uiteenzetten.
Verplicht zijn om het informatieveiligheidsbeleid van de organisatie na te leven.
Een bewustzijnsniveau ontwikkelen dat past bij hun functie en verantwoordelijkheden.
Zich houden aan de arbeidsvoorwaarden of contractuele afspraken, inclusief het informatieveiligheidsbeleid en vastgelegde werkmethodes.
Hun competenties en kwalificaties op het vlak van informatiebeveiliging up-to-date houden door regelmatige training en ontwikkeling.
Waar mogelijk, een vertrouwelijk kanaal krijgen om overtredingen van het informatieveiligheidsbeleid, bijhorend beleidsdomeinen, processen of procedures te melden (‘klokkenluiden’). Dit kan anonieme meldingen mogelijk maken, of bepalingen bevatten die ervoor zorgen dat de identiteit van de melder alleen bekend is bij degenen die dergelijke meldingen moeten behandelen;
Voldoende middelen en tijd ter beschikking krijgen om de beveiligingsprocessen en -maatregelen effectief te implementeren binnen de organisatie.
Een cultuur van openheid en vertrouwen DIENT te worden aangemoedigd, waarin medewerkers zich onbevreesd kunnen uitspreken over veiligheidskwesties en potentiële fouten zonder angst voor repercussies, en waar verantwoordelijkheid wordt genomen voor de oplossing ervan.
