ＩＳＭＳでリスク分析する場合に、やっぱり、残る、いや最初から話題になるのは、人間です。

ステップ1：直接の安全対策（アクセス権限の設定、入退室管理、、）
ステップ2：間接の安全対策（操作手順書、職務の分割、媒体の処分、、、）
ステップ3：犯行/うっかりがやりにくい監視体制（監視カメラ、ログの監視、、、）
ステップ4：個別教育

ＩＳＭＳの管理策では、Ａ8.2.2「情報セキュリティの意識向上、教育及び訓練」が受け持つ幅を、少し広げて考えてはじめるのが、いいきっかけになるかもしれません。
品質マネジメントシステムでは、5.5.3「内部コミュニケーション」のひとつとして、位置づけをしてあげるといいかもしれません。
また、このプロセスで得られた情報も、8.4「データの分析」で分析して、継続的改善につなげるといいでしょうね。