Na norma NBR ISO/IEC 27001:2013, no item que trata do estabelecimento de um sistema de gestão da segurança da informação (SGSI), há a indicação da necessidade da fase de identificação dos riscos. Uma das atividades contempladas nessa fase é:
Uma empresa verificou que a norma NBR ISO/IEC 27002:2013 define como se deve proceder na questão da segurança ligada a recursos humanos. A norma estabelece, em um de seus capítulos, que os recursos humanos devem ter um acompanhamento