No que se refere à segurança em recursos humanos, de acordo com a referida norma, papéis e responsabilidades na segurança da informação, por meio de controles limitados aos funcionários da organização, não podem abranger fornecedores e terceiros.