Organisaation on pidettävä yllä luetteloa tärkeimmistä prosesseista, jotka liittyvät QMS:ään, tuotteiden/palvelujen toimittamiseen ja toiminnan ylläpitoon. Kullekin prosessille nimetään omistaja, joka on vastuussa prosessiin liittyvän dokumentaation täydentämisestä ja mahdollisista muista prosessiin suoraan liittyvistä laatutoimista.

Prosessien dokumentoinnin on sisällettävä vähintään seuraavat tiedot:

• prosessin tarkoitus
• linkki yksityiskohtaisempaan piirustukseen/kuvaukseen prosessin kulusta
• vaaditut syötteet ja odotetut tuotokset
• liittyvät resurssit (esim. tietojärjestelmät, tietovarannot ja -aineistot, yksiköt, toimipaikat, yhteistyökumppanit ja muut resurssit)
• prosessin toiminnan ja tehokkuuden seurantaan käytettävät mittarit
• muut tärkeät prosessiin liittyvät toimet (esim. analysoidut riskit, suunnitellut / toteutetut parannukset tai muutokset)

Organisaation olisi laadittava ja pantava täytäntöön järjestelmällinen lähestymistapa kaikkien toimintaprosessien suunnitteluun ja valvontaan, joita tarvitaan liiketoiminnan jatkuvuuden hallintajärjestelmän (BCMS) vaatimusten täyttämiseksi. Tähän sisältyy kriteerien asettaminen prosesseille ja valvonnan soveltaminen sen varmistamiseksi, että ne suoritetaan suunnitellusti.

Organisaation tulisi luoda ja ylläpitää prosessi, jolla hallitaan sen toimintaprosesseihin suunniteltuja muutoksia ja arvioidaan tahattomien muutosten seurauksia. Tähän prosessiin olisi kuuluttava toiminnan jatkuvuuden hallintajärjestelmään (BCMS) kohdistuvien mahdollisten vaikutusten arviointi ja tarvittavien toimien toteuttaminen mahdollisten kielteisten vaikutusten lieventämiseksi.

Organisaatio on määritellyt kriteerit ja menetelmät (esim. valvontatoimet, mittaukset tai muut prosessiin liittyvät mittarit), joita tarvitaan sen pääprosessien tehokkaan toiminnan ja valvonnan varmistamiseksi.

Näitä menetelmiä ja kriteerejä sovelletaan aktiivisesti, jotta voidaan varmistua siitä, että prosessit toteutetaan suunnitellusti. Organisaatio dokumentoi säännöllisesti toteutetut valvonta- sekä mittaustoimet, jotta prosessin seurannasta on dokumentoitua tietoa.

The organization must establish a formal program to monitor, measure, analyze, and evaluate the performance and effectiveness of its AI Management System (AIMS).

To implement this program, the organization must define and document:

• What needs to be monitored and measured (e.g., the performance of AI systems, the effectiveness of risk controls, progress towards achieving AI objectives).
• The methods that will be used for monitoring, measurement, analysis, and evaluation to ensure the results are valid and reliable.
• The timing of these activities, including how often monitoring and measuring will be performed, and when the results will be formally analyzed and evaluated.

The organization must keep documented information (records) of all the results from these activities as evidence of the AIMS's performance and effectiveness.

The organization must establish and maintain a formal process for identifying, managing, and correcting any nonconformities within its AI Management System (AIMS).

When a nonconformity is identified, this process must ensure the organization takes the following steps:

• Reacts to the nonconformity by taking immediate action to control and correct it and to deal with its consequences.
• Evaluates the need for further action by performing a root cause analysis to understand why the nonconformity occurred and to see if similar issues exist or could arise elsewhere.
• Implements any necessary corrective actions to eliminate the root cause and prevent the issue from recurring.
• Reviews the effectiveness of the corrective actions taken to ensure the fix was successful.
• Updates the AI management system itself, if necessary, based on the findings.

The organization must maintain documented information (records) for every nonconformity, detailing what happened, the actions taken in response, and the results of the corrective actions.

The organization must plan, establish, and maintain a formal internal audit program to govern how it audits its AI Management System (AIMS).

This program must define the overall framework for audits, including:

• The frequency and methodologies for conducting audits.
• The responsibilities, planning requirements, and reporting procedures.
• How the significance of different processes and the results of previous audits will be used to plan future audits.

For each specific audit conducted under the program, the organization must:

• Define the audit's objectives, scope, and criteria.
• Select auditors in a way that ensures their objectivity and impartiality (e.g., they cannot audit their own work).
• Ensure the audit results are reported to relevant management.

The organization must keep documented information as evidence of both the implementation of the audit program itself and the results of each audit conducted.

The organization must establish and maintain a formal process for the continual improvement of its AI Management System (AIMS).

The objective of this process is to proactively and systematically enhance the overall suitability, adequacy, and effectiveness of the management system over time. Improvement activities should be based on the outputs of other AIMS processes, including:

• The results of monitoring and measurement activities.
• The findings from internal and external audits.
• The decisions and opportunities identified during top management reviews.
• The analysis of nonconformities and the effectiveness of corrective actions.

The organization must ensure that the results of technical security tests are systematically documented, evaluated for criticality, and used to improve security controls, policies, and procedures. Residual risks arising from test findings must be formally assessed and accepted by the appropriate risk owners.

• Document the results of technical tests such as vulnerability scans, penetration tests, configuration reviews, and other security assessments.
• Assess and record the criticality of each finding, including its potential impact on confidentiality, integrity, authenticity, or availability.
• Define and implement corrective or compensating measures where findings indicate weaknesses or negative impact.
• Evaluate whether test outcomes require updates to security policies, procedures, or control effectiveness assessment methods.
• Document decisions taken, including justification where no corrective action or policy update is required.
• Identify and document any residual risks that remain after corrective measures.
• Ensure residual risks are formally accepted by designated risk owners and appropriately reported to relevant management bodies.

This process ensures that technical testing results are properly documented, risk-evaluated, escalated where necessary, and integrated into continuous improvement of the organization’s security governance.

The organization must establish a structured approach for performing technical security tests at defined intervals, reviewing the resulting documentation, and reporting outcomes to relevant management.

• Define planned intervals for conducting technical security tests based on system criticality, risk exposure, and regulatory requirements.
• Trigger additional tests following major system changes, significant incidents, architectural modifications, or substantial changes in the threat landscape.
• Ensure test documentation is reviewed at planned intervals by designated competent personnel independent of those responsible for day-to-day system operation, where appropriate.
• Verify during the review that findings have been properly assessed, remediation actions tracked, and residual risks documented.
• Report summarized test results, trends, major findings, and outstanding risks to relevant management bodies.
• Document review outcomes and management reporting activities to ensure traceability and accountability.

This ensures that technical testing is conducted systematically, reviewed independently, and escalated appropriately to management for oversight and governance.

Organisaation olisi tunnistettava, määriteltävä ja hallittava kaikki tarvittavat prosessit ja niiden keskinäiset riippuvuudet liiketoiminnan jatkuvuuden hallintajärjestelmässä (BCMS). Tähän sisältyy selkeiden panosten, tuotosten, vastuiden ja valvonnan määrittäminen kullekin prosessille, jotta varmistetaan tehokas toiminta ja integrointi koko järjestelmässä.

Tietoverkkoturvallisuutta tukevia organisaatioprosesseja ovat esimerkiksi seuraavat:

• Häiriötilanteiden hallinta: Organisaatiolla on suunnitelma häiriötilanteiden hallintaa ja niihin reagoimista varten.
• Riskienhallinta: Organisaatiolla on suunnitelma kyberturvallisuusriskien tunnistamiseksi, analysoimiseksi, arvioimiseksi ja hoitamiseksi, ja suunnitelmaa käytetään riskienhallintaprosessin mukaisesti.
• Haavoittuvuuksien hallinta: Organisaatiolla on suunnitelma teknisten haavoittuvuuksien hallitsemiseksi. Suunnitelma sisältää ainakin teknisten haavoittuvuuksien tunnistamisen, priorisoinnin, korjaamisen, todentamisen ja dokumentoinnin.
• Vaatimustenmukaisuuden hallinta: Organisaatiolla on suunnitelma tämän standardin vaatimusten (ja muiden asiaankuuluvien oikeudellisten ja sääntelyvaatimusten) noudattamisen hallitsemiseksi.
• Henkilöstön hallinta: Organisaatiolla on suunnitelma henkilöstön elinkaaren kyberturvallisuusnäkökohtien hallitsemiseksi (esim. palvelukseen ottaminen, koulutus, irtisanoutuminen).
• Omaisuuden hallinta: Organisaatiolla on suunnitelma organisaation omistamien IT-varojen kyberturvallisuusnäkökohtien hallitsemiseksi.
• Toimittajien hallinta: Organisaatiolla on suunnitelma ulkoisilta toimittajilta ostettujen tuotteiden ja palvelujen kyberturvallisuusnäkökohtien hallitsemiseksi.
• Kolmannen osapuolen riskienhallinta: Organisaatiolla on suunnitelma kolmansiin osapuoliin liittyvien riskien hallitsemiseksi.

Organisaation on säännöllisesti tarkistettava ja päivitettävä toimintojaan ja muutostenhallintapolitiikkojaan ja -menettelyjään varmistaakseen, että kaikki turvallisuuteen liittyvät muutokset eivät lisää riskejä tai häiritse liiketoiminnan jatkuvuutta. Tarkistaminen olisi tehtävä vähintään kerran vuodessa tai merkittävien muutosten yhteydessä.

Organisaation on laadittava virallinen menettely Tanskan hätätilaviraston (Beredskabsstyrelsen) käskyjen vastaanottamiseksi, vahvistamiseksi ja toteuttamiseksi.Tässä menettelyssä on määriteltävä turvalliset kanavat tällaisten käskyjen vastaanottamiseksi, vaiheet käskyjen aitouden tarkistamiseksi ja sisäinen komentorakenne käskyjen toteuttamiseksi. Siinä on määriteltävä, kenellä on valtuudet ohjata resursseja uudelleen virallisen määräyksen perusteella.

Organisaatiolla on oltava dokumentoitu tekninen suunnitelma ja tarvittavat työkalut verkkokapasiteetin hallintaa ja liikenteen priorisointia varten.Tähän sisältyy valmiiksi määritetyt palvelunlaatukäytännöt (QoS), liikenteen muotoilusäännöt ja mekanismit tiettyjen palvelujen tai liikennevirtojen keskeyttämiseksi. Suunnitelmassa on kuvattava, miten nämä tekniset valvontatoimet voidaan aktivoida, muuttaa ja poistaa käytöstä virallisen määräyksen perusteella.

Organisaation on otettava käyttöön virallinen prosessi, jonka avulla seurataan ja analysoidaan jatkuvasti ulkoisia turvallisuusohjeita ja -muutoksia.

Tähän prosessiin on kuuluttava seuraavien asiakirjojen säännöllinen tarkastelu

• kansallisen viranomaisen julkaisemat turvallisuusmenetelmät ja -politiikat
• viimeisimmät turvallisuussuuntaukset, uhkatiedustelu ja teknologinen kehitys.
• esimerkkejä alan tunnustetuista hyvistä käytännöistä.
• asiaankuuluvat kansainväliset standardit

Organisaation on dokumentoitava tarkempi kulku jokaisesta laadunhallintajärjestelmään liittyvästä prosessista, mikä kuvaa toimintojen peräkkäistä järjestystä prosessin sisällä.

Prosessikuvausten tulisi osoittaa myös eri prosessien vuorovaikutukset, ja niiden tulisi olla riittävän yksityiskohtaisia, jotta organisaatio voi käyttää niitä seurannassa ja luottaa siihen, että prosessit suoritetaan suunnitellusti.

Organisaation on jatkuvasti arvioitava prosessiensa soveltuvuutta varmistaakseen, että ne saavuttavat halutut tulokset. Kun prosesseihin katsotaan tarvittavan merkittäviä muutoksia, ne dokumentoidaan laadunhallintajärjestelmään.

Järjestelmällisessä laatutyössä kaikki merkittävät muutokset prosesseihin toteutetaan hallitusti. Muutosten vaikutukset arvioidaan ensin, niille osoitetaan omistajuus ja niiden toteutusta seurataan.

Organisaatio dokumentoi asiaankuuluvat ulkopuolelta hankitut prosessit, tuotteet ja palvelut samalla tavalla kuin muutkin laadunhallintajärjestelmän osat. Organisaation on samalla tavoin varmistettava, että nämä prosessit ovat vaatimustenmukaisia.

Ulkopuolelta hankitut prosessit, tuotteet ja palvelut ovat merkityksellisiä, kun:

• koko prosessin (tai osan prosessista) tarjoaa ulkopuolinen palveluntarjoaja organisaation päätöksen seurauksena
• ulkopuolisen palveluntarjoajan tuote/palvelu on tarkoitettu sisällytettäväksi organisaation omiin tuotteisiin ja palveluihin
• ulkoiset palveluntarjoajat toimittavat tuotteen/palvelun suoraan asiakkaille

Organisaatio on määritellyt yleiset kriteerit ulkoisten palveluntarjoajien arviointia, valintaa, suorituskyvyn seurantaa ja uudelleenarviointia varten sen perusteella, miten ne kykenevät tarjoamaan prosessit tai tuotteet ja palvelut vaatimusten mukaisesti.

Organisaatio dokumentoi nämä ulkopuolelta hankitut prosessit, tuotteet ja palvelut laadunhallintajärjestelmään ja kirjaa kaikki arviointitoimet ja tarvittavat toimenpiteet dokumentointikortteihin.

Organisaation on määriteltävä toimet sellaisten tuotosten tunnistamiseksi ja valvomiseksi, jotka eivät ole vaatimusten mukaisia, jotta estetään niiden tahaton käyttö tai toimittaminen. Organisaatio ryhtyy asianmukaisiin toimiin, jotka perustuvat vaatimustenvastaisuuden luonteeseen ja sen vaikutukseen tuotteiden / palvelujen vaatimustenmukaisuuteen.

Kaikki vaatimustenvastaiset tuotokset käsitellään yhdellä tai useammalla seuraavista tavoista:

• korjaus
• erottelu, eristäminen, palauttaminen tai tuotteiden ja palvelujen tarjonnan keskeyttäminen
• tiedottaminen asiakkaalle
• luvan hankkiminen käyttöoikeussopimuksen mukaista hyväksyntää varten

Vaatimustenmukaisuus on todennettava, kun vaatimustenvastaiset tuotokset korjataan.

Organisaatio ylläpitää dokumentaatiota vaatimustenvastaisista tuotoksista, toteutetuista toimista, saaduista myönnytyksistä ja viranomaisesta, joka päättää vaatimustenvastaisuutta koskevista toimista.

Organisaatio on määrittänyt prosesseilleen sopivat toimintaympäristöt, jotta se voi tuottaa ja toimittaa tuotteitaan ja palveluitaan niiden laatu- ja muiden vaatimusten mukaisesti. Organisaatio on myös määritellyt, miten se tarjoaa ja ylläpitää tällaista ympäristöä.

Sopiva toimintaympäristö riippuu merkittävästi toimitettavien tuotteiden ja palvelujen tyypistä. Yleensä siihen voi liittyä inhimillisten ja fyysisten tekijöiden yhdistelmä, kuten esimerkiksi:

• sosiaaliset tekijät (esim. syrjimättömyys, rauhallisuus, ristiriidattomuus)
• psykologiset tekijät (esim. stressiä vähentävät, työuupumusta ehkäisevät, tunteita suojaavat tekijät)
• fyysiset tekijät (esim. lämpötila, lämpö, kosteus, valo, ilmavirta, hygienia, melu)

Kun organisaatio käyttää seuranta- ja mittausresursseja tuotteen / palvelun vaatimustenmukaisuuden todentamiseen, organisaatio on määritellyt:

• mitkä ovat tarvittavat seuranta- ja mittausresurssit
• miten se tarjoaa niitä
• miten se varmistaa pätevät ja luotettavat tulokset

Organisaation on varmistettava, että tarjotut seuranta- ja mittausresurssit:

• soveltuvat toteutettavien seuranta- ja mittaustoimien erityyppiin
• niitä ylläpidetään, jotta varmistetaan niiden jatkuva soveltuvuus tarkoitukseensa

Organisaatio on dokumentoinut asiaankuuluvat seuranta- ja mittausresurssit laadunhallintajärjestelmään, ja sen on dokumentoitava kaikki asiaankuuluvat todisteet niiden tarkoituksenmukaisuutta todennettaessa niihin liittyviin dokumentointikortteihin laadunhallintajärjestelmässä.

Organisaatio varmistaa, että ulkoisesti tarjotut prosessit, tuotteet ja palvelut eivät vaikuta kielteisesti kykyyn toimittaa vaatimustenmukaisia tuotteita ja palveluja asiakkailleen.

Tämän mahdollistamiseksi organisaatio dokumentoi laadunhallintajärjestelmäänsä jokaiselle ulkoisesti tarjotulle prosessille, tuotteelle tai palvelulle:

• tähän ulkoiseen palveluntarjoajaan sovellettavat tarkastukset
• tämän ulkoisen palveluntarjoajan tuotoksiin sovellettavat tarkastukset
• todentamistoimet, jotka ovat tarpeen sen varmistamiseksi, että ulkoinen palveluntarjoaja (ja tuotokset) täyttävät vaatimukset

Valvontatoimien olisi oltava oikeassa suhteessa niihin liittyvien toimintojen mahdolliseen vaikutukseen organisaation laatuun, ja niissä olisi otettava huomioon ulkoisen palveluntarjoajan itsensä soveltamien valvontatoimien tehokkuus.

Organisaatio on määritellyt, miten se viestii selkeästi laatuvaatimuksista asiaankuuluville ulkoisille palveluntarjoajille.