管理者應(yīng)該表現(xiàn)對(duì)信息安全政策，程序和控制措施的支持，并以身作則。管理職責(zé)要確保雇員和承包商委派人員都了解其應(yīng)遵守的信息安全政策、程序和控制措施，并遵守相應(yīng)的條款和條件。

組織委托人力資源管理部門或信息安全管理部門建立信息安全意識(shí)教育培訓(xùn)計(jì)劃，并定期組織信息安全宣傳、教育和培訓(xùn)。信息安全教育和培訓(xùn)應(yīng)涵蓋以下方面：

1)說(shuō)明管理層對(duì)整個(gè)組織的信息安全的承諾；

2)各類信息安全方針、標(biāo)準(zhǔn)、法律法規(guī)、合同和協(xié)議中定義的要求和遵守適用的信息安全規(guī)則和義務(wù)的需要；

3)對(duì)個(gè)人作為和不作為的問(wèn)責(zé)制度，以及保護(hù)組織和外部各方信息安全的一般責(zé)任；

4)基本信息安全規(guī)程（如信息安全事件報(bào)告）和底線控制措施（如密鑰安全性、惡意代碼控制和清除桌面等）；

5)外部辦公地點(diǎn)和其他信息資源的信息安全問(wèn)題的建議，包括信息安全的進(jìn)一步教育和培訓(xùn)的素材。

組織要建立正式的信息安全違規(guī)紀(jì)律處理制度和處置流程，確保正確和公平的對(duì)待被懷疑安全違規(guī)的雇員。紀(jì)律處理過(guò)程要規(guī)定分級(jí)的響應(yīng)處置規(guī)程，根據(jù)違規(guī)的性質(zhì)、重要性及對(duì)于業(yè)務(wù)的影響等因素決定處罰的方式和程度，嚴(yán)重的可能需要追究其相關(guān)法律責(zé)任、終止業(yè)務(wù)合同等。

在雇員離職或調(diào)崗、承包商委派人員完成工作離場(chǎng)時(shí)，應(yīng)由組織安全管理人員與其就在任用終止或變化后一定的信息安全職責(zé)和義務(wù)取得一致并留存正式文件，例如《離職信息安全保密協(xié)議》，其中應(yīng)包括組織的安全要求和法律職責(zé)。適當(dāng)時(shí)，還包括保密協(xié)議規(guī)定的職責(zé)。在雇員、承包方人員的合同中也應(yīng)該有相應(yīng)條款，并且確保在職責(zé)或任用變更后仍然受到必要的信息管理。