ISMSの適用範囲内にある人に対して、その組織は必要な技量について教育訓練しなくてはならない、というのも、規格書に定められている項目の一つだ。
　勉強なんか、自分でやんなさいよというのではなくて、「ISMSで定義された責任」を仰せつかった人は全て、その責任を全うするために要求される力量を、
ちゃんと持っています、と組織が言い切れる状態にすることが規格要求事項に挙がっているのだ。
　

　ちゃんと持っています、と言い切るためにはそのために必要な技量レベルとはどれぐらいなのか「必要な力量を決定」しなければならないらしい。
そのうえで、それが備わるように教育・訓練するか、その力を持っている人を新たに雇用しなくてはならないそうだ。


　ISMSはなにかとすぐに「エビデンス」を求めてくる。ISMSの基本として、適用範囲内のどんな人がみても、業務でもなんでもその内容がわかるようにマニュアルや「エビデンス」を作らなければならない。
ねえ、それってぷりぷりしてておいしいの？とか言ってはならない。evidenceとは「証拠・根拠・証明」のこと。
つまりは審査の時に、証拠として審査員の目に明らかであればいいのだ。
そのためにここでも、「エビデンス」（規格書では記録）を残すことが要求事項の一つだ。
また、ちゃんとISMSの重要性を理解し、自分に何ができるのか、意識を高く持っていることも大切らしい。


センターでは毎年、ISMSを具体的に、身の回りの状況に当てはめるとどうなるのかなど、演習問題を解いたりするISMSの研修会を行っている。
参加者は、最初は適用範囲内の人々だけだったけれど、いまではそうじゃない人が参加することも増えてきた。
必要な技能、といっても、業務で必要な技能、例えば担当者一人だけが知っているその業務の内容ややり方などは、解りやすいマニュアルにまとめることにした。