Henkilöstöllä on oltava tietoturvaohjeet, joissa on käsiteltävä mm. seuraavia aiheita:
Ohjeiden noudattamista voidaan valvoa joko teknisesti tai suoraan kysymällä / testaamalla työntekijöiltä.
Tietoturvaohjeistusta tarkennetaan työntekijän työtehtävään liittyen. Organisaatio on määritellyt yksiköt ja roolit, jotka vaativat erillistä ohjeistusta, ja muodostaa näille omia tarkennettuja tietoturvaohjeitaan.
Esimerkkejä omaa ohjeistusta vaativista yksiköistä ovat mm. asiakaspalvelu, IT ja HR. Esimerkkejä omaa ohjeistusta vaativista työrooleista puolestaan järjestelmän pääkäyttäjä sekä etätyön tekijä.
Tietoa käsitteleville henkilöille selvitetään tietojen suojaamista ja asiakirjojen käsittelyä koskevat tietoturvaohjeet ja -periaatteet ennen pääsyä tietoihin tai organisaation tarkasti määrittelemien aikamääreiden sisällä.
Organisaation johdon on huolehdittava siitä, että organisaatiossa on ajantasaiset ohjeet tietojen käsittelystä, tietojärjestelmien käytöstä, tietojenkäsittelyoikeuksista, tiedonhallinnan vastuiden toteuttamisesta, tiedonsaantioikeuksien toteuttamisesta sekä tietoturvallisuustoimenpiteistä.
Käytännössä johto määrittelee, miten ohjeiden ajantasaisuus varmistetaan ja mille toimijoille ohjeiden ajantasaisuudesta huolehtiminen kuuluu.
Ohjeiden ajan tasalla pitäminen on suositeltavaa vastuuttaa niille toimijoille, jotka ovat kokonaisvastuussa tietoturvallisuudesta, tietojärjestelmistä, tietovarannoista, rekisterinpidosta, asiakirjapyyntöihin liittyvästä päätöksenteosta, asianhallinnasta ja arkistotoimesta.
The organization should remind the employees that it is their responsibility to keep password and secrets safe. They should never share them with anyone, including colleagues and superiors.
They should also always lock they devices when leaving them.
Personnel must have guidelines that deal with the following topics:
Ohjeista on ilmoitettava henkilöstölle, kun uusi ohje otetaan käyttöön tai nykyisiä ohjeita muutetaan.
Mikäli henkilöstöllä on ristiriitaisia tavoitteita tietoturvaohjeiden kanssa, he eivät todennäköisesti noudata ohjeita.
Organisaatio pyrkii aktiivisesti löytämään huonosti toimivat ohjeet ja muokkaamaan joko ohjetta, työkaluja tai henkilöstön prioriteetteja, jotta ohjeita noudatetaan.