Organisaation ylimmän johdon ja riskienhallintajärjestelmästä vastaavien henkilöiden on osallistuttava asianmukaiseen tietoturvakoulutukseen. Koulutuksella varmistetaan, että heidän taitonsa ja tietonsa riittävät riskien määrittämiseen, kyberturvallisuuden hallintakäytäntöjen arviointiin sekä prosessin yleiseen hallintaan ja johtamiseen.

Johtoelimen olisi osallistuttava koulutukseen vähintään kahden vuoden välein, jotta heidän tietonsa ja taitonsa pysyvät ajan tasalla ja ajan tasalla. Koulutuksen olisi vastattava organisaation tarpeita ja oltava organisaation kyberturvallisuuspolitiikkojen mukaista.

Tietoturvan hallintajärjestelmän tulisi valvoa sinne kirjattujen tehtävien ja ohjeistusten toteuttamista.

Tehtävän omistajan tulisi tarkastalle tietoturvan hallintajärjestelmän toteutustilannetta kokonaisuutena säännöllisesti.

Organisaation henkilöstölleen järjestämistä digiturvakoulutuksista pidetään lokia. Lokin avulla voidaan osoittaa, millaisia täsmäpanostuksia organisaatio on tehnyt henkilöstön digiturvaosaamisen eteen.

Jokaisesta koulutuksesta voidaan kirjata ylös esimerkiksi:

• ajankohta
• koulutuksen aihepiirit ja kesto
• koulutuksen toteutustapa ja kouluttaja
• koulutukseen osallistuneet henkilöt

Koko organisaation ohjauksessa toimivan henkilöstön on oltava tietoisia:

• miten he voivat osaltaan lisätä tietoturvallisuuden hallintajärjestelmän vaikuttavuutta ja millaista hyötyä tietoturvallisuuden tason parantamisesta on
• seurauksista, joita tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten noudattamatta jättämisellä voi ollaminkä osan henkilöstöstä työ vaikuttaa tietoturvan tasoon

Lisäksi johto on määrittänyt tavat, joilla henkilöstö pidetään tietoisina omaan työrooliinsa liittyvistä tietoturvaohjeista.