Uma organização deve determinar e prover recursos necessários para o estabelecimento, implementação, manutenção e melhoria
contínua da gestão da segurança da informação. Dentre esses recursos estão as pessoas que realizam o trabalho sob o
controle da organização. Segundo a norma ABNT NBR ISO/IEC 27001:2013, todas estas pessoas devem estar cientes