Organisaatiomme on määritellyt toimintatavat henkilöstön digiturvaosaamisen ylläpitämiseen. Näihin voi liittyä mm. seuraavia asioita:

• henkilöstölle on olemassa ohjeet, joilla kuvataan työrooliin liittyvät digiturvan yleiset säännöt
• henkilöstöä koulutetaan, jotta he pystyvät toimimaan turvallisesti, tietävät ohjeet ja kykenevät noudattamaan niitä
• henkilöstö osoittaa testien tai muun vastaavan avulla omaavansa turvallisen toiminnan vaatimat digiturvataidot ja -tiedot

Koulutus keskittyy kullekin työroolille oleellisimpiin digiturvateemoihin, mutta sisältää tarpeeksi usein myös kaikkia työntekijöitä koskevat "perusasiat":

• työntekijän henkilökohtainen vastuu (mm. päätelaitteista ja käsittelemästään tiedosta)
• kaikkia koskevat käytännöt (mm. tietoturvahäiriöiden raportointi)
• kaikkia koskevat säännöt (mm. puhdas työpöytä)
• organisaation tietoturvaroolit (keneen yhteyttä ongelmatilanteissa)

Organisaation ylimmän johdon ja riskienhallintajärjestelmästä vastaavien henkilöiden on osallistuttava asianmukaiseen tietoturvakoulutukseen. Koulutuksella varmistetaan, että heidän taitonsa ja tietonsa riittävät riskien määrittämiseen, kyberturvallisuuden hallintakäytäntöjen arviointiin sekä prosessin yleiseen hallintaan ja johtamiseen.

Johtoelimen olisi osallistuttava koulutukseen vähintään kahden vuoden välein, jotta heidän tietonsa ja taitonsa pysyvät ajan tasalla ja ajan tasalla. Koulutuksen olisi vastattava organisaation tarpeita ja oltava organisaation kyberturvallisuuspolitiikkojen mukaista.

Koko organisaation ohjauksessa toimivan henkilöstön on oltava tietoisia:

• miten he voivat osaltaan lisätä tietoturvallisuuden hallintajärjestelmän vaikuttavuutta ja millaista hyötyä tietoturvallisuuden tason parantamisesta on
• seurauksista, joita tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten noudattamatta jättämisellä voi ollaminkä osan henkilöstöstä työ vaikuttaa tietoturvan tasoon

Lisäksi johto on määrittänyt tavat, joilla henkilöstö pidetään tietoisina omaan työrooliinsa liittyvistä tietoturvaohjeista.

Organisaation täytyy muistuttaa työntekijöitä rooleistaan ja tietoturvavastuistaan. Muistuttamalla vahvistetaan henkilöstön tietoturvatietoisuutta, turvallisia toimintatapoja sekä heidän työrooliinsa liittyvien ohjeistusten sekä lakisääteisten vaatimusten noudattamista.

Tiedottamalla yksiköitä heille tärkeimmistä digiturva-asioista ja heidän ymmärtämällään kielellä voidaan saavuttaa suuria edistysaskelia digiturvatasossa, kun henkilöstö ymmärtää paremmin miksi erilaisia käytäntöjä ja sääntöjä sovelletaan. Tiedotus voi olla sääntöjen jakelua pienissä paloissa, erilaisia kampanjoita (esim. ”tietoturvapäivä”), ohjelehtisiä, uutiskirjeitä, kilpailuja tai mitä tahansa.

Tietoturvatiedotuksesta voidaan myös käyttää nimitystä "tietoisuusohjelma".