Tilbage til oversigt Kriterie 1

Styring og forankring i ledelsen

Virksomhedens øverste ledelse tager aktivt ansvar for arbejdet med it-sikkerhed og ansvarlig dataanvendelse. Det er dog ikke nødvendigvis den øverste ledelse, som er udførende på de definerede krav.

1.1 Roller og ansvar i forhold til it-sikkerhed og ansvarlig dataanvendelse

Virksomheden skal sikre, at mindst én navngiven person påtager sig ansvaret for virksomhedens it-sikkerhed og ansvarlige dataanvendelse.

1.1.1 Udpegning af ansvarlig person for it-sikkerhed og ansvarlig dataanvendelse

1.2 Overblik over data og systemer

Virksomheden skal have et opdateret og nedskrevet overblik over data og udvalgte aktiver, der gør det muligt for virksomheden at drive sin forretning og sikre styring i overensstemmelse med:
– den relative betydning for virksomheden
– virksomhedens registrerede
– virksomhedens risikoniveau

1.2.1 Overblik over personoplysninger
1.2.2 Overblik over forretningskritiske data
1.2.3 Overblik over it-systemer, tjenester, netværkskomponenter, enheder, software og aktivitetsbaserede algoritme/AI ”use cases”

1.3 Risikostyring

Virksomheden skal udarbejde risikovurderinger og sikre, at risici bliver håndteret og rapporteret som nødvendigt.

1.3.1 Risikovurdering- og håndtering

1.4 Politik for it-sikkerhed

Virksomheden skal have en ledelsesgodkendt politik for it-sikkerhed, der er kommunikeret internt, som revideres minimum årligt og opdateres i forbindelse med væsentlige ændringer af virksomhedens aktiviteter.

1.4.1 Politik for it-sikkerhed

1.5 It-beredskabsplan

Virksomheden skal have en it-beredskabsplan til at håndtere hændelser.

1.5.1 It-beredskabsplan

1.6 Politikker for ansvarlig dataanvendelse

Virksomheden skal have en ledelsesgodkendt politik for behandling af personoplysninger og politik for dataetik. Politikkerne skal kommunikeres internt, revideres minimum årligt og opdateres i forbindelse med væsentlige ændringer af virksomhedens aktiviteter.

1.6.1 Politik for behandling af personoplysninger
1.6.2 Politik for dataetik

1.7 Udviklingsproces

Virksomheden skal have en udviklingsproces, så det sikres at funktionelle og ikke funktionelle krav (herunder krav fra D-mærket) stilles og implementeres. Det skal efterfølgende testes, at disse er blevet implementeret effektivt samt at de løbende vedligeholdes. D-mærket stiller en række krav som skal indarbejdes i udviklingsprocessen i henholdsvis kriterie 6 (Privacy & Security by design & default) og 7 (Pålidelige algoritmer & AI).

1.7.1 Krav til udviklingsproces


Skip to content