Werknemers zijn alle gebruikers en beheerders van de ICT/OT-systemen, en zij moeten onmiddellijk bij indiensttreding en daarna regelmatig worden getraind in het informatieveiligheidsbeleid van de organisatie en in wat er van hen wordt verwacht om de bedrijfsinformatie en -technologie te beschermen.
De training moet voortdurend worden geüpdatet en versterkt door bewustwordingscampagnes.