1.组织应确保在其控制范围内开展工作的人员知晓信息安全方针、相关的信息安全目标、对ISMS信息安全管理体系有效性的贡献以及不符合信息安全管理体系要求可能引发的后果。

2.在组织控制范围内工作的人员可能包括现有的员工、临时工、外部供方(如承包方和外包服务)。

3.在组织控制范围内开展工作的人员需证实其对于信息安全方针和相关信息安全目标以及如何为实现这些目标作出贡献方面的知识和意识。

4.可通过多种形式来养成这方面的意识,例如准备“可接受”和“不可接受”的结果或场景的图片,并提供相应培训,对产品和服务提供过程中的信息安全提出明确要求,设计只交付在保障信息安全环境下提供符合顾客要求的产品和服务的过程。