Virksomhedens systemer og enheder skal være sikret. D-mærket definerer et niveau af teknisk it-sikkerhed med udgangspunkt i anerkendte nationale og internationale rammeværker.
Formålet er, at virksomhedens systemer og enheder skal være sikret, så virksomheden reducerer sandsynligheden for sikkerhedshændelser baseret på de mest udbredte trusler. Målet er både at nedbringe risikoen for angreb og databrud og sætte virksomheden i stand til hurtigt og effektivt at opdage, inddæmme og afbøde konsekvenserne samt genoprette vigtige data og systemer, når sikkerhedsbruddet eller angrebet sker.
3.1 Netværkssikkerhed og kryptering
Virksomhedens netværk skal være beskyttet. Ekstern adgang til virksomhedens systemer skal kun være mulig gennem en krypteret forbindelse. Ansatte kan kun opnå adgang hjemme eller udefra til virksomhedens systemer via en sikker forbindelse over internettet.
3.1.1 Beskyttelse af administrative grænseflader, netværk og enheder
3.1.2 Kryptering af ekstern netværksadgang
3.2 Korrekt konfiguration
Virksomheden skal sørge for, at it-systemer, tjenester, netværkskomponenter, enheder og software er konfigureret. Iboende sikkerhedsmæssige sårbarheder skal reduceres mest muligt og alene levere de tjenester, der er nødvendige i forhold til deres specifikke formål.
3.2.1 Opsætning og vedligeholdelse af korrekt konfiguration
3.3 Beskyttelse af administrative brugerkonti
Virksomheden skal sørge for, at administrative brugerkonti kun tildeles autoriserede personer. Administrative brugerkonti bør kun tildeles i mindst muligt omfang, da misbrug af en administrativ brugerkonto kan have væsentlige konsekvenser.
3.3.1 Beskyttelse af administrative brugerkonti
3.4 Beskyttelse mod malware
Virksomheden skal forhindre malware- eller virusinfektion af virksomhedens enheder og it-systemer, så uautoriserede individer forhindres i at tilegne sig uretmæssig adgang til disse enheder, fx med henblik på at udføre kriminelle handlinger.
3.4.1 Implementering af beskyttelsesmekanismer mod malware
3.4.2 Beskyttelse mod uønskede e-mails
3.5 Kontinuerlig opdatering af software og styresystemer
Virksomheden skal sørge for at it-systemer, netværkskomponenter, enheder og software ikke er sårbare over for kendte sikkerhedshuller, som kan lappes ved hjælp af tilgængelige opdateringer.
3.5.1 Kontinuerlig opdatering af software og styresystemer
3.6 Beskyttelse mod tab af vigtige og fortrolige data
Virksomheden skal sørge for at foretage backup af de data, der er fortrolige og vigtige for driften. Virksomheden skal desuden sikre, at der kan ske hurtig og effektiv genopretning af disse data i produktion, med en procedure, der testes og tilrettes løbende.
3.6.1 Procedure for automatisk og jævnlig backup
3.7 Overvågning af systemaktivitet gennem logning
Virksomheden skal sørge for overvågning af forretningskritiske systemer og sikkerhedskontroller. Herunder stilles der krav til loggennemgang og -opbevaring af logdata.
3.7.1 Overvågning af systemaktivitet gennem logning