Alla medarbetare ska veta vilka som har de olika rollerna och vad det egna ansvaret omfattar. I standarden definieras vissa roller som företagsledning, verksamhetschefer, informationssäkerhetschef m.fl. kan ha.

Alla situationer kan inte förutses och behandlas i rutiner. Därför måste man också satsa på utbildning, information och diskussion inom organisationen. Om alla har en hög medvetenhet om säkerhetsarbetet och tycker det är viktigt kan alla vara delaktiga och ta sitt ansvar. Målet är att få igång en process som innebär att alla medverkar till en ständig förbättring av arbetet.