Tehnoloģijas attīstās ļoti strauji – tas nosaka nepieciešamību aizvien biežāk veikt darbinieku apmācības. Valsts un pašvaldību institūcijām atbilstoši IT drošības likumam darbinieku apmācība jāveic vismaz reizi gadā. Apmācības nodrošina un organizē atbildīgais par IT drošību.

Ikgadējās apmācībās būtu jāpiedalās visiem organizācijas darbiniekiem, lai panāktu vienotu izpratni par to, kas būtu darāms katrā konkrētā situācijā, saskaroties ar apdraudējumiem.

Drošības metrikas (kontrole): ieteicams veikt mērījumus darbinieku apmācību efektivitātei, lai noteiktu, cik labi darbojas lietotāju pārvaldība, incidentu pārvaldība un citi ar IT drošību saistīti procesi, kā arī nodrošinātu sistēmu atbilstību vismaz minimālajām drošības prasībām. Kopumā drošības metrikas atspoguļo izmaiņas IT drošības vidē.