Anslutningsavtal. inom Infrastrukturen för Svensk e-legitimation. Bilaga 4 Rapporteringsrutiner. för Utfärdare av Svensk e-legitimation

Transkript

1 1 (5) Anslutningsavtal för Utfärdare av Svensk e-legitimation inom Infrastrukturen för Svensk e-legitimation Bilaga 4 Rapporteringsrutiner

2 2 (5) 1. Bakgrund och syfte 1.1 Detta dokument är en bilaga till huvudtexten i Anslutningsavtalet för Utfärdare av Svensk e-legitimation (Avtalet). De begrepp som definieras i huvudtexten har samma betydelse i denna bilaga. 1.2 Bilagan redovisar de rutiner som ska gälla avseende rapportering av fel, övriga störningar och incidenter samt statistik enligt vad som framgår av Avtalet. 2. Definitioner I denna bilaga betyder 1. Allvarlig incident: Incident som innebär en betydande störning för verksamheten eller för de som använder tjänsten, 2. Incident: oplanerat avbrott i en tjänst, en minskning i kvaliteten hos en tjänst eller en händelse som ännu inte har påverkat leveransen av en tjänst till kunden. Med incident avses här också fel och andra störningar. En incident är öppen fram till dess incidenten är åtgärdad och tjänsten är verifierat återställd, 3. Informationssäkerhetsincident: en enskild eller en serie av oönskade eller oväntade informationssäkerhetshändelser som har en signifikant sannolikhet att äventyra verksamheten och hota informationssäkerheten, och 4. Känt fel: identifierad grundorsak till en eller flera Incidenter eller en metod för att reducera eller eliminera Incidentens påverkan på tjänsten genom en tillfällig lösning. 3. Kontaktvägar 3.1 Utfärdaren ska rapportera till E-legitimationsnämnden. 3.2 Utfärdaren ska etablera och upprätthålla kontaktvägar för rapportering till och från E-legitimationsnämnden,

3 3 (5) hålla E-legitimationsnämnden underrättad om aktuella kontaktvägar och kontaktuppgifter för denna rapportering. 3.3 Rapportering och återkoppling ska ske med elektroniska medel enligt E-legitimationsnämndens vid var tidpunkt gällande instruktion. 4. Incidentrapportering 4.1 Allvarliga incidenter och Informationssäkerhetsincidenter ska rapporteras snarast utan onödig fördröjning. 4.2 Så länge en Incident, som är rapporterad enligt punkt 4.1, är öppen ska Utfärdaren hålla E-legitimationsnämnden uppdaterad om Incidenten. 4.3 Incidentrapport ska omfatta (c) (d) (e) (f) (g) (h) Utfärdarens namn (rapportör), kort beskrivande benämning på Incidenten (namn), unik referens för Incidenten (referens), status på Incidenten (status), kategorisering av Incidenten (kategorisering), när Incidenten inträffade eller den uppskattade tidpunkten för den (tidpunkt), när Utfärdaren upptäckte Incidenten (upptäckt), beskrivning av Incidenten (beskrivning), och (i) bedömning av Incidentens omfattning och konsekvenser samt annan information som kan vara av värde för övriga parter inom infrastrukturen för Svensk e-legitimation (analys). Rapportens struktur och format ska följa E-legitimationsnämndens vid var tidpunkt gällande instruktioner. Om Utfärdaren inte har fullständiga uppgifter i alla delar för rapporten vid rapporteringsögonblicket kan rapporten kompletteras vid senare tillfälle.

4 4 (5) I vissa fall kan det vara lämpligt eller nödvändigt att lämna begränsat med information i incidentrapporten. Det kan till exempel gälla om Incidenten polisanmäls eller för att inte känslig information ur ett informationssäkerhetsperspektiv ska avslöjas. Se även avsnitt 7 om allmän handling. 4.4 På anmodan av E-legitimationsnämnden ska Utfärdaren komplettera inlämnade uppgifter om en incident med de uppgifter som behövs för att klarlägga hur incidenten kan påverka säkerheten i informationshanteringen inom infrastrukturen för Svensk e-legitimation. 4.5 Om Utfärdaren använder sig av underleverantör för att utföra del av tjänst, ska Utfärdaren genom avtal med underleverantören säkerställa att Incidenter kan hanteras och rapporteras på sätt som framgår av denna bilaga. 5. Statistik 5.1 Utfärdaren ska varje månad sammanställa och redovisa följande statistik: (c) antal personer som har någon giltig e-legitimation antal giltiga e-legitimationer per typ och tillitsnivå antal e-legitimationer per typ och tillitsnivå som under månaden: (i) (ii) (iii) utfärdats spärrats/upphört att gälla pga. att giltighetstiden löpt ut spärrats av annat skäl 5.2 Utfärdaren ska rapportera in statistik till E-legitimationsnämnden månadsvis. 5.3 Statistikrapporten för Utfärdaren ska avse kalendermånad och rapporteras senast den 15:e i efterföljande månad. Av rapporten ska framgå vilken månad som avses för rapporterad statistik. 5.4 Statistikrapporternas struktur och format ska följa E-legitimationsnämndens vid var tidpunkt gällande instruktioner.

5 5 (5) 5.5 Rapporterat statistikunderlag ska inte medge att det går att härleda enskilda transaktioner mellan användare och e-tjänst. 6. E-legitimationsnämndens återkoppling 6.1 E-legitimationsnämnden ska ge återkoppling till Utfärdaren vad som framkommit av incidentrapporteringen och E-legitimationsnämndens arbete i övrigt avseende informationssäkerhet och nya hot- och risker. 6.2 Återkoppling ska ges regelbundet och i övrigt när det behövs för skyddet inom infrastrukturen för Svensk e-legitimation. 7. Allmän handling, sekretess, persondataskydd, etc. 7.1 Information som inkommer till eller lämnas ut av E-legitimationsnämnden blir allmän handling hos myndigheten. Allmän handling kan begäras utlämnad. Vid utlämnade ska en sekretessprövning ske. Men även om myndigheten bedömer att handlingen inte kan lämnas ut på grund av att handlingen innehåller uppgifter som omfattas av sekretess kan det inte garanteras att handlingen inte kommer att lämnas ut, eftersom myndighetens beslut kan komma att prövas i domstol. Rapportering till och från E-legitimationsnämnden bör därför inte omfatta information som kan skada informationssäkerheten inom identitetsfederationen eller annat typ av information som kan betraktas som affärshemlig. 7.2 Behandling av personuppgifter regleras av personuppgiftslagen. För det fallet att någon part lämnar ut personuppgifter till annan part i samband med rapportering kan den mottagande parten bli ansvarig gentemot den rapporterande parten för den vidare behandlingen av personuppgifterna. Personuppgifter bör i så liten omfattning som möjligt ingå i rapporteringen mellan parterna.