Kriterie 2:
Awareness og sikker adfærd
Alle der benytter it-systemer eller enheder samt brugere der arbejder med personoplysninger og forretningskritiske data, skal have en grundlæggende viden om it-sikkerhed og ansvarlig dataanvendelse.
Formålet er, at virksomheden skal sikre, at bestyrelsen og den øverste ledelse modtager træning i it-sikkerhed og ansvarlig dataanvendelse. Virksomheden skal yderligere sikre, at ansatte, konsulenter og leverandører løbende og med jævne mellemrum bliver trænet i awareness og handlingskompetencer i relation til it-sikkerhed og ansvarlig dataanvendelse.
2.1 Træn bestyrelsen og den øverste ledelse i sikkerhed, databeskyttelse og dataetik
Virksomheden skal sørge for, at bestyrelsen og den øverste ledelse stiller skarpt og er klædt på i forhold til it-sikkerhed, databeskyttelse og dataetik ved at de modtager særlig træning én gang årligt.
2.1.1 Træn bestyrelsen og den øverste ledelse i sikkerhed, databeskyttelse og dataetik
2.2 Awareness om og træning i it-sikkerhed
Virksomheden skal sørge for, at ansatte og brugere som arbejder med it får træning i it-sikkerhed. Træningsprogrammet inkluderer, at de trænes i at kunne varetage deres it-relaterede ansvar og opgaver i overensstemmelse med relevante politikker, procedurer og aftaler.
2.2.1 Træn alle ansattes og brugeres viden om it-sikkerhed kontinuerligt
2.3 Awareness om og træning i ansvarlig dataanvendelse
Virksomheden skal sørge for, at ansatte og brugere, der arbejder med personoplysninger og dataetik, får træning i ansvarlig dataanvendelse. Programmet inkluderer, at de trænes i at udføre deres ansvar og opgaver i overensstemmelse med relevante politikker, procedurer og aftaler.
2.3.1 Træn alle ansatte og brugeres viden om ansvarlig behandling af personoplysninger kontinuerligt
2.3.2 Træn alle ansatte og brugeres viden om dataetik kontinuerligt