Situação: *A sua organização contratou um novo funcionário e no momento do início das atividades identificou que não existe o manual do sistema que será utilizado pelo novo funcionário.

Resposta:
Segundo a NORMA BRASILEIRA ABNT NBR ISO/IEC 17799:2005 a organização não implementou os seguintes requisitos e controles perante a ISO,visando evitar/reduzir os riscos/impactos.
8 - Segurança em recursos humanos
...” 8.2.2 Conscientização, educação e treinamento em segurança da informação
Controle
Convém que todos os funcionários da organização e, onde pertinente, fornecedores e terceiros recebam treinamento apropriados em conscientização, e atualizações regulares nas políticas e procedimentos organizacionais, relevantes para as suas funções.
Diretrizes para implementação
Convém que o treinamento em conscientização comece com um processo formal de indução concebido para introduzir as políticas e expectativas de segurança da informação da organização, antes que seja dado o acesso às informações ou serviços.
Convém que os treinamentos em curso incluam requisitos de segurança da informação, responsabilidades legais e controles do negócio, bem como o treinamento do uso correto dos recursos de processamento da informação, como, por exemplo, procedimentos de log-on, o uso de pacotes de software e informações sobre o processo disciplinar (ver 8.2.3).
Informações adicionais
Convém que a conscientização, educação e treinamento nas atividades de segurança da informação sejam adequados e relevantes para os papéis, responsabilidades e habilidades da pessoa, e que incluam informações sobre conhecimento de ameaças, quem deve ser contatado para orientações sobre segurança da informação e os canais adequados para relatar os incidentes de segurança da informação (ver 13.1).
O treinamento para aumentar a conscientização visa permitir que as pessoas reconheçam os problemas e incidentes de segurança da informação, e respondam de acordo com as necessidades do seu trabalho.”...