管理者應該表現對信息安全政策，程序和控制措施的支持，并以身作則。管理職責要確保雇員和承包商委派人員都了解其應遵守的信息安全政策、程序和控制措施，并遵守相應的條款和條件。

組織委托人力資源管理部門或信息安全管理部門建立信息安全意識教育培訓計劃，并定期組織信息安全宣傳、教育和培訓。信息安全教育和培訓應涵蓋以下方面：

1)說明管理層對整個組織的信息安全的承諾；

2)各類信息安全方針、標準、法律法規、合同和協議中定義的要求和遵守適用的信息安全規則和義務的需要；

3)對個人作為和不作為的問責制度，以及保護組織和外部各方信息安全的一般責任；

4)基本信息安全規程（如信息安全事件報告）和底線控制措施（如密鑰安全性、惡意代碼控制和清除桌面等）；

5)外部辦公地點和其他信息資源的信息安全問題的建議，包括信息安全的進一步教育和培訓的素材。

組織要建立正式的信息安全違規紀律處理制度和處置流程，確保正確和公平的對待被懷疑安全違規的雇員。紀律處理過程要規定分級的響應處置規程，根據違規的性質、重要性及對于業務的影響等因素決定處罰的方式和程度，嚴重的可能需要追究其相關法律責任、終止業務合同等。

在雇員離職或調崗、承包商委派人員完成工作離場時，應由組織安全管理人員與其就在任用終止或變化后一定的信息安全職責和義務取得一致并留存正式文件，例如《離職信息安全保密協議》，其中應包括組織的安全要求和法律職責。適當時，還包括保密協議規定的職責。在雇員、承包方人員的合同中也應該有相應條款，并且確保在職責或任用變更后仍然受到必要的信息管理。