7.2 Kompetencje

Organizacja powinna:

a) określić niezbędne kompetencje osób wykonujących pracę pod jej nadzorem, która wpływa na wyniki w zakresie bezpieczeństwa informacji;

b) zapewnić, że osoby te posiadają odpowiednie kompetencje, bazujące na odpowiednim wykształceniu, szkoleniu lub doświadczeniu;

c) w stosownych przypadkach podjąć działania w celu nabycia niezbędnych kompetencji oraz ocenić skuteczność podjętych działań;

d) przechowywać odpowiednie udokumentowane informacje jako dowód posiadanych kompetencji.

UWAGA: Możliwe działania obejmują na przykład: organizację szkoleń, mentoring, zmianę przydziału obowiązków pracowników lub zatrudnienie lub zakontraktowanie kompetentnych osób.