| 6.1 | Weryfikacja przeszłości | Weryfikacja przeszłości wszystkich kandydatów na stanowiska powinna być przeprowadzana przed dołączeniem do organizacji oraz w sposób ciągły, z uwzględnieniem obowiązujących przepisów prawa, regulacji i etyki oraz proporcjonalnie do wymagań biznesowych, klasyfikacji informacji i postrzeganego ryzyka. |
| 6.2 | Warunki zatrudnienia | Umowy o pracę powinny określać odpowiedzialność personelu oraz organizacji w zakresie bezpieczeństwa informacji. |
| 6.3 | Świadomość, edukacja i szkolenia w zakresie bezpieczeństwa informacji | Pracownicy organizacji oraz inne zainteresowane strony powinny otrzymywać odpowiednie szkolenia oraz aktualizacje dotyczące polityki bezpieczeństwa informacji, polityk szczegółowych i procedur, zgodnie z wymaganiami ich stanowisk. |
| 6.4 | Proces dyscyplinarny | Należy sformalizować i zakomunikować proces dyscyplinarny, który pozwala podejmować działania wobec personelu oraz innych stron, które naruszyły politykę bezpieczeństwa informacji. |
| 6.5 | Obowiązki po zakończeniu zatrudnienia lub zmianie stanowiska | Obowiązki i zobowiązania w zakresie bezpieczeństwa informacji, które pozostają w mocy po zakończeniu zatrudnienia lub zmianie stanowiska, powinny być określone, egzekwowane i komunikowane odpowiednim osobom i zainteresowanym stronom. |
| 6.6 | Umowy o zachowaniu poufności (NDA) | Umowy o zachowaniu poufności odzwierciedlające potrzeby organizacji w zakresie ochrony informacji powinny być identyfikowane, dokumentowane, regularnie przeglądane i podpisywane przez personel oraz inne odpowiednie strony. |
| 6.7 | Praca zdalna | Powinny zostać wdrożone środki bezpieczeństwa chroniące informacje uzyskiwane, przetwarzane lub przechowywane poza siedzibą organizacji przez pracowników pracujących zdalnie. |
| 6.8 | Zgłaszanie incydentów bezpieczeństwa informacji | Organizacja powinna zapewnić mechanizm umożliwiający personelowi zgłaszanie zaobserwowanych lub podejrzewanych incydentów bezpieczeństwa informacji w odpowiedni sposób i w odpowiednim czasie. |