Wednesday d. 16. nov. 2022
Hvordan arbejder virksomheder og organisationer sig bedst gennem processen henimod D-mærket? Og hvordan har andre gjort? På baggrund af erfaringer fra en række virksomheder og organisationer, har D-mærket lavet anbefalinger til, hvordan arbejdet med D-mærket kan organiseres.
Processen i sig selv skaber værdi
Processen henimod tildeling af D-mærket inddeles i seks steps: registrering; indplacering og kriterier; selvevaluering; anmodning og betaling; tilsyn og kontrol samt tildeling af D-mærket. Værdien starter i den indledende del af selvevalueringen (registrering; indplacering og kriterier samt selvevaluering), idet virksomheden allerede her sikrer ledelsesfokus, får overblik over nødvendige indsatsområder og styrker interne processer. Dermed skabes forretningsværdien, allerede inden der anmodes om at gå i tilsyn hos D-mærket.
D-mærket er ikke et ”quickfix”
Arbejdet i D-mærkets selvevaluering er en proces, hvor virksomheden gradvist øger sin digitale bevidsthed. Det sker ved at identificere eventuelle mangler i efterlevelsen af D-mærkets kriterier og krav samt ved at afdække, om der skal igangsættes initiativer. Processen er ikke nødvendigvis nem, men den kræver heller ikke, at virksomheden er ekspert i it-sikkerhed eller ansvarlig dataanvendelse.
Anbefalinger til organisering
Når virksomheden skal arbejde med selvevalueringen, er det vigtigt, at virksomheden:
- Sikrer styring og forankring i ledelsen
- Udpeger en projektansvarlig – dette kan være en intern projektansvarlig eller en ekstern rådgiver
- Besvarer spørgsmålene i D-mærkets selvevaluering
- Er opmærksom på, at der kan findes hjælp igennem hele forløbet
Anbefalingerne er beskrevet i de følgende afsnit.
Sørg for styring og forankring i ledelsen
Styring og forankring i ledelsen er afgørende for, at en virksomhed kommer igennem selvevalueringen og i tilsyn hos D-mærket. Det er vigtigt, at den øverste ledelse, herunder direktion og bestyrelse, tager aktivt ansvar for arbejdet med it-sikkerhed og ansvarlig dataanvendelse og afsætter ressourcer til arbejdet. Det er dog ikke nødvendigvis den øverste ledelse, som er udførende på de definerede krav. D-mærket kan, i denne forbindelse, bruges til at skabe et fælles sprog om it-sikkerhed og ansvarlig dataanvendelse, der går på tværs af virksomheden, og i sin kommunikation med eksterne samarbejdspartnere.
Udpeg en projektansvarlig
De fleste virksomheder vil have gavn af at udpege enprojektansvarlig, der sørger for at drive selvevalueringen og sikrer dokumentationen. Det er en fordel, at personen har indsigt i ét eller flere af D-mærkets kriterier, fx it-sikkerhed eller persondata, men det vigtigste er, at der er tale om en medarbejder med direkte adgang til ledelsen og de øvrige relevante personer i virksomheden.
Gennemgå kravene og besvar spørgsmålene i D-mærkets selvevaluering
D-mærkets selvevaluering er en ramme, der giver virksomheden mulighed for at vurdere sin egen tilstrækkelighed og tilgang til it-sikkerhed og ansvarlig dataanvendelse, idet D-mærkets kriterier tilpasses den enkelte virksomhed. I nogle tilfælde vil det medføre yderligere tiltag, og i andre kan det medvirke til at konsolidere overblikket.
Virksomheden bør gennemgå kravene i selvevalueringen og besvare de tildelte spørgsmål. På den måde kan selvevalueringen bruges som en gap-analyse, der skaber overblik og identificerer mangler i efterlevelsen af D-mærkets kriterier og krav. Ved gennemgangen får virksomheden det fulde overblik over, hvad den allerede har styr på, og hvor der er brug for at igangsætte tiltag.
Få vejledning i processen
D-mærket kan hjælpe med vejledning i processen og med forståelse af krav. Der findes vejledninger og materialer til processen, men D-mærket kan også altid kontaktes på e-mail og telefon eller bookes til gratis sparringsmøder.
Hvis virksomheden har behov for rådgivning til udbedring af de mangler, der identificeres i selvevalueringen, findes der flere uafhængige rådgivere, der kender til både D-mærkets proces og kriterier. På siden ’D-mærkede virksomheder’ fremgår det, hvilke rådgivere, der selv har D-mærket.
Læs også: Virksomheder kan også søge tilskud til rådgivning i D-mærket gennem SMV:Digital.
Processen kan tage tid og tilgangen være forskellig
Selvevalueringen varierer i tid og kan tage alt fra et par dage til flere måneder, alt efter hvilken tilgang virksomheden har til processen. Tilgangene kan opdeles i enten ’overblik’ eller ’proces’, men kan også være en kombination af begge.
Overblik
Selvevalueringen bruges til at få et hurtigt overblik. Virksomheden kan med fordel løbe alle spørgsmål igennem kronologisk på få timer og besvare efter bedste evne. Resultatet giver et overblik over, hvor virksomheden lever op til D-mærkets krav, hvor der mangler viden eller indsigt og hvor der eventuelt er mangel på efterlevelse. Dette giver et overblik og et fælles sprog, der kan bruges som ramme til afrapportering til ledelsen, som efterfølgende kan vurdere, hvilke initiativer, der skal igangsættes.
Proces
Selvevalueringen bruges til at drive en proces, hvor virksomheden afdækker indsatsområder for et eller flere kriterier ad gangen og løbende igangsætter initiativer, for at leve op til dem. Her vil selvevalueringen fungere som et procesværktøj, der skaber et fælles sprog og definerer områder, som ledelsen skal adressere trinvist. Her vil initiativerne ofte ikke implementeres kronologisk, men i stedet ud fra en vurdering af vigtigheden af de enkelte kriterier.
Tidsforbruget afhænger derudover af både antallet af kriterier og krav samt virksomhedens modenhedsniveau og allerede eksisterende dokumentation på området.
