Ledelsen skal tage ansvar for virksomhedens it-sikkerhed, og at data behandles og anvendes på en sikker og ansvarlig måde. Virksomheden skal selv definere sin øverste ledelse.
Formålet er, at virksomhedens øverste ledelse tager aktivt ansvar for arbejdet med it-sikkerhed og ansvarlig dataanvendelse. Det er dog ikke nødvendigvis den øverste ledelse, som er udførende på de definerede krav.
1.1 Roller og ansvar i forhold til it-sikkerhed og ansvarlig dataanvendelse
Virksomheden skal sikre, at mindst én navngiven person påtager sig ansvaret for virksomhedens it-sikkerhed og ansvarlige dataanvendelse.
1.1.1 Udpegning af ansvarlig person for it-sikkerhed og ansvarlig dataanvendelse
1.2 Overblik over data og systemer
Virksomheden skal have et opdateret og nedskrevet overblik over data og udvalgte aktiver, der gør det muligt for virksomheden at drive sin forretning og sikre styring i overensstemmelse med:
– den relative betydning for virksomheden
– virksomhedens registrerede
– virksomhedens risikoniveau
1.2.1 Overblik over personoplysninger
1.2.2 Overblik over forretningskritiske data
1.2.3 Overblik over it-systemer, tjenester, netværkskomponenter, enheder, software og aktivitetsbaserede algoritme/AI ”use cases”
1.3 Risikostyring
Virksomheden skal udarbejde risikovurderinger og sikre, at risici bliver håndteret og rapporteret som nødvendigt.
1.3.1 Risikovurdering- og håndtering
1.4 Politik for it-sikkerhed
Virksomheden skal have en ledelsesgodkendt politik for it-sikkerhed, der er kommunikeret internt, som revideres minimum årligt og opdateres i forbindelse med væsentlige ændringer af virksomhedens aktiviteter.
1.4.1 Politik for it-sikkerhed
1.5 It-beredskabsplan
Virksomheden skal have en it-beredskabsplan til at håndtere hændelser.
1.5.1 It-beredskabsplan
1.6 Politikker for ansvarlig dataanvendelse
Virksomheden skal have en ledelsesgodkendt politik for behandling af personoplysninger og politik for dataetik. Politikkerne skal kommunikeres internt, revideres minimum årligt og opdateres i forbindelse med væsentlige ændringer af virksomhedens aktiviteter.
1.6.1 Politik for behandling af personoplysninger
1.6.2 Politik for dataetik
1.7 Udviklingsproces
Virksomheden skal have en udviklingsproces, så det sikres at funktionelle og ikke funktionelle krav (herunder krav fra D-mærket) stilles og implementeres. Det skal efterfølgende testes, at disse er blevet implementeret effektivt samt at de løbende vedligeholdes. D-mærket stiller en række krav som skal indarbejdes i udviklingsprocessen i henholdsvis kriterie 6 (Privacy & Security by design & default) og 7 (Pålidelige algoritmer & AI).
1.7.1 Krav til udviklingsproces