Virksomheden skal sikre, at mindst én navngiven person påtager sig ansvaret for virksomhedens it-sikkerhed og ansvarlige dataanvendelse.

1.1.1 Udpegning af ansvarlig person for it-sikkerhed og ansvarlig dataanvendelse

Virksomheden skal have et opdateret og nedskrevet overblik over data og udvalgte aktiver, der gør det muligt for virksomheden at drive sin forretning og sikre styring i overensstemmelse med:
– den relative betydning for virksomheden
– virksomhedens registrerede
– virksomhedens risikoniveau

1.2.1 Overblik over personoplysninger
1.2.2 Overblik over forretningskritiske data
1.2.3 Overblik over it-systemer, tjenester, netværkskomponenter, enheder, software og aktivitetsbaserede algoritme/AI ”use cases”

Virksomheden skal udarbejde risikovurderinger og sikre, at risici bliver håndteret og rapporteret som nødvendigt.

1.3.1 Risikovurdering- og håndtering

Virksomheden skal have en ledelsesgodkendt politik for it-sikkerhed, der er kommunikeret internt, som revideres minimum årligt og opdateres i forbindelse med væsentlige ændringer af virksomhedens aktiviteter.

1.4.1 Politik for it-sikkerhed

Virksomheden skal have en it-beredskabsplan til at håndtere hændelser.

1.5.1 It-beredskabsplan

Virksomheden skal have en ledelsesgodkendt politik for behandling af personoplysninger og politik for dataetik. Politikkerne skal kommunikeres internt, revideres minimum årligt og opdateres i forbindelse med væsentlige ændringer af virksomhedens aktiviteter.

1.6.1 Politik for behandling af personoplysninger
1.6.2 Politik for dataetik

Virksomheden skal have en udviklingsproces, så det sikres at funktionelle og ikke funktionelle krav (herunder krav fra D-mærket) stilles og implementeres. Det skal efterfølgende testes, at disse er blevet implementeret effektivt samt at de løbende vedligeholdes. D-mærket stiller en række krav som skal indarbejdes i udviklingsprocessen i henholdsvis kriterie 6 (Privacy & Security by design & default) og 7 (Pålidelige algoritmer & AI).

1.7.1 Krav til udviklingsproces