Granskningsmetod inom Svensk e-legitimation
|
|
- Viktoria Hermansson
- för 7 år sedan
- Visningar:
Transkript
1 1(17) Granskningsmetod inom Svensk e-legitimation 1 Om metoden 1.1 Syfte Syftet med dokumentet är att beskriva E-legitimationsnämndens metod för utvärdering av sökandes uppfyllnad av krav enligt regelverket som gäller för Leverantörer av e-id tjänst och/eller Utfärdare av Svensk e-legitimation, både vid tidpunkt för ansökan samt för att löpande utvärdera sökandes förmåga att kontinuerligt uppfylla kraven. Målet med granskningsmetoden är att säkerställa kvalitet i granskningsprocessen samt att alla sökande bedöms efter samma kriterier av granskningsgruppen. Målgruppen för detta metoddokument är E-legitimationsnämndens granskningsgrupp. 1.2 Förutsättningar för att följa metoden För att möjliggöra utförande av stegen i denna metod har följande stöd tagits fram: Granskningsprogram Granskningsdokumentation Rapporteringsmall (tas fram i samband med första granskningen) Testplan och testverktyg Granskningsprogrammet innehåller detaljer om de krav och kriterier som ställs inom varje område. Dokumentet Vägledning till uppfyllnad av tillitramverkets krav har använts vid skapandet av granskningsprogrammet. Dokumentet riktar sig till sökande men det är viktigt för kravuppfyllnaden att både sökande och granskare har samma bild av vad kraven innebär. Dokumentet Granskningsdokumentation följer strukturen i granskningsprogrammet och användas för att dokumentera granskningsarbetet inklusive alla ställningstaganden och slutsatser i granskningsprocessen. Dokumentationen ska bland annat användas för att visa vilken nivå som utfärdaren/leverantören lever upp till inom varje område. Utestående frågor eller krav på kompletteringar ska också tydligt framgå i dokumentet tillsammans med en logg, utformad så att alla inom granskningsgruppen kan följa status för ärendet och även ta över delar av granskningen om så behövs. Granskningsdokumentationen ska även utgöra underlag för att skapa den rapport som nämnden ska fatta sitt beslut utifrån, därför måste slutsatserna för varje steg vara tydliga i dokumentet så att dessa kan föras över till rapporten. Varje granskat område ska avslutas Postadress Besöksadress Telefon växel E-postadress SOLNA Korta gatan kansliet@elegnamnden.se
2 2(17) med en sammanfattning över fullständighet, avvikelser, riskområden och slutsats om godkänd nivå, så att detta tydligt framgår i beslutsunderlaget till nämnden. Granskningsdokumentationen är vidare underlag för löpande uppföljning av utfärdaren/leverantören. Med utgångspunkt i dokumentet ges viktig vägledning för granskningsgruppen i vilka områden som särskilt bör följas upp över tid. Det är även en viktig del i bedömningen av vilka granskningsåtgärder som föranleds av exempelvis ändringsförslag eller rapporterade incidenter. Dokumentet Testplan syftar till att understödja processen vid godkännande och aktivering av leverantörs legitimeringstjänst. Testplanen tar upp ett antal generella testfall som sedan kompletteras med mer specifika testfall för legitimeringstjänsten i fråga. 1.3 Granskningsgruppen Granskningsgruppen är rådgivande till E-legitimationsnämnden, och syftar till att bistå med särskild kompetens till stöd för E-legitimationsnämndens arbete med granskning av aktörer. Granskningsgruppens föreslagna sammansättning framgår av resursbeskrivningen nedan, där huvudgrupperingens IT-säkerhetsrevisorer och ITsäkerhetsexperter står för den största delen av arbetet med granskningen av aktörer. Kansliresursen är ordförande och sammankallande till gruppen, och det är även formellt ordföranden som ansvarar för de beslut som fattas av granskningsgruppen enligt nedan. Resurs Beskrivning 1 IT-säkerhetsrevisor 2 IT-säkerhet/tillitsramverksspecialist 3 IT-säkerhet/policyspecialist 4 IT-säkerhet/teknikspecialist 5 Kansliresurs - ordförande och sammankallande 6 Representant från Förvaltningsforum 7 Representant från Förvaltningsforum 8 Ev. representant från tillsynsmyndighet (eller motsvarande) 9 Teknisk eid-specialist 10 Kansliresurs administrativ 11 Testledare (enbart vid aktivering av legitimeringstjänst) Granskningsgruppen sammanträder månadsvis, eller med sådant intervall som granskningsgruppen bedömt nödvändig, för genomgång av aktuell status av pågående granskningsuppdrag. Resurserna 1-4 samt 9 som finns definierade i granskningsgruppen ska ha en fördjupad specialistkunskap inom sina respektive roller, mycket stor erfarenhet inom sina respektive specialistområden samt detaljkunskap kring Svensk e-legitimation.
3 3(17) Representanter från Förvaltningsforum ska utses av forumet och ska representera någon av de tillhandahållare av e-tjänst som sitter med i forumet. E-legitimationsnämnden och Förvaltningsforum ska vid nominering av kandidater sträva efter olika komptensprofiler hos de två kandidaterna, exempelvis en inom området IT-revision och en inom området IT-säkerhet eller IT-upphandling. 1.4 Arbetsinsatser En uppskattning av det antal arbetstimmar som förväntas vid ett normalfall har specificerats för varje steg. Om det finns omständigheter som gör att ytterligare resurser kan behövas för genomförande av granskning ska godkännande av avvikelsen från specificerat antal arbetstimmar inhämtas från Kansliet. 2 Granskningsmetoden vid ansökan 2.1 Inledning Detta avsnitt beskriver den tillämpade granskningsmetoden vid ansökan om att bli Utfärdare av Svensk e-legitimation eller Leverantör av eid-tjänst. 2.2 Grundprinciper för metoden Granskningen av en ansökan ska leda till något av följande förslag, som föredras för nämnden vid slutet av varje granskning: Ansökan bedöms av granskningsgruppen leva upp till kraven i Tillitsramverket. Beslutsunderlag och rekommendation om godkännande lämnas till nämnden som fattar beslutet. Ansökan bedöms av granskningsgruppen leva upp till kraven i Tillitsramverket med vissa undantag. Beslutsunderlag och rekommendation om godkännande med vissa förbehåll lämnas till nämnden som fattar beslutet. Ansökan bedöms av granskningsgruppen inte leva upp till kraven i Tillitsramverket. Beslutsunderlag och rekommendation om avslag lämnas till nämnden som fattar beslut Principer för avvikelser från kraven i Tillitsramverket: Det finns fyra bedömningsnivåer för graden av kravuppfyllelse. 1. Det finns kontrollrutiner som säkerställer att kraven uppfylls 2. Kraven bedöms vara uppfyllda 3. Kraven bedöms vara delvis uppfyllda 4. Kravuppfyllelsen bedöms vara bristande
4 4(17) Följande beskrivning avser att vägleda granskaren i sin bedömning när avvikelser från kraven identifierats i utfärdarens ansökan. Det är således inte avsikten att här ge en beskrivning av hur en korrekt kravuppfyllelse ser ut för respektive område, eftersom detta bör framgå tydligt i granskningsprogrammet. Samtliga avvikelser ska åtgärdas för att kraven ska bedömas som uppfyllda. För vissa avvikelser kan det dock vara rimligt att göra en positiv slutbedömning med förbehåll, det vill säga ge ett godkännande på förhand under förutsättning att bristen sedan åtgärdas inom utsatt tid. Detta innebär att granskningen inte stoppas på grund av avvikelsen. Avgörande för sådant förbehåll är allvarlighetsgraden i avvikelsen. Det förutsätter även att bristen är av sådan karaktär att den, så snart den i praktiken har åtgärdas, enkelt kan verifieras av granskaren snarare än att en djupanalys behöver initieras för att kontrollera uppfyllnaden av kravet. Det är således enklare avvikelser som kan leda till ett godkännande med förbehåll, exempelvis felaktig eller avsaknad av viss formalia men där uppfyllnaden av kraven ändå kunnat verifieras av granskaren på annat sätt. Nedan följer två exempel: Kraven bedöms vara delvis uppfyllda om granskaren kan verifiera att en process eller plan finns etablerad och följs av verksamheten, men att processen eller planen inte lever upp till kraven på formalia eller dokumentation. I dessa fall bör bristen i formalia generellt sett inte påverka slutbedömning negativt, under förutsättning att bristen åtgärdas och uppfyllnaden av kraven ändå kunnat verifieras av granskaren på annat sätt. För att bedöma detta måste granskaren göra en professionell bedömning baserat på sin kompetens och erfarenhet. Kraven bedöms vara delvis uppfyllda om avvikelser från kraven kan motiveras av utfärdaren med relevanta argument, och där målet med kravet ändå uppfylls av utfärdaren genom andra motsvarande åtgärder. För att bedöma ovanstående måste granskaren göra en professionell bedömning baserat på sin kompetens och erfarenhet. I detta fall bör avvikelsen inte påverka slutbedömningen negativt. Avvikelsen bör dock tydligt redovisas av granskaren i granskningsrapporten och ändamålsenligheten med den alternativa lösningen tydligt framgå. Kravuppfyllnaden bedöms dock som bristande om det efterfrågade kravet varken finns informellt etablerat eller dokumenterat och det heller inte kan verifieras att det följs av verksamheten. I detta fall påverkas den slutliga bedömningen negativt och granskningen stoppas tills vidare Utvärdering av resultatet För varje granskat område ska en sammanfattning, inklusive avvikelser, visa på graden av kravuppfyllelse. En slutlig bedömning ska även göras för samtliga områden. För att göra en sammanfattande beskrivning av samtliga områden inklusive avvikelser måste granskaren göra en professionell bedömning baserat på sin kompetens och erfarenhet.
5 5(17) Den slutliga bedömningen utgör det beslutsunderlag som nämnden sedan fattar sitt beslut om godkännande på. För att granskningsmetoden ska vara kostnadseffektiv, bygga på tillit och balans gäller följande grundprinciper: Fokus på riskområden Fokus på internkontroll som syftar till att säkerställa att kraven uppfylls och upprätthålls. Dra nytta av eventuellt annat revisionsarbete som bedrivs inom den sökandes organisation. Utfärdare med tidigare erfarenhet bör bedömas med lägre risk än helt nya utfärdare, vilket påverkar omfattningen av granskningsgruppens kontroll av utfärdarens ansökan innan ett eventuellt godkännande. Detta bygger på antagandet att tidigare utfärdare redan gått igenom liknande kontroller vid tidigare anslutningsprocesser. Lita i stor utsträckning till att de underlag som utfärdare bilägger sin ansökan är sanna och riktiga, eftersom resurserna att verifiera efterlevnad är begränsade. Välj ett riskbaserat tillvägagångssätt vid val av områden som ändå ska kontrolleras. 2.3 Metoden steg Steg 1 - Informationsmöte Ansökningsprocessen börjar med en intresseanmälan från part som vill använda kännetecknet för Svensk e-legitimation som utfärdare och/eller leverantör av e-id tjänster. Efter intresseanmälan ska nämnden erbjuda tid för ett första informationsmöte inom två veckor. Mötet följer en förutbestämd agenda och beräknas ta två timmar. Under mötet avhandlas bland annat ansöknings- och granskningsprocessen samt E- legitimationsnämndens förväntningar på den ansökan som sökanden ska inkomma med. Deltagande på mötet är två konsultresurser (primärt 1, 2 eller 3) samt en kansliresurs. 10 arbetstimmar per deltagande resurs beräknas för varje möte Steg 2 - Bekräfta ansökan I steget ingår följande uppgifter: Ta emot ansökan. Tilldela diarienummer och registrera handlingen.
6 6(17) Bekräfta mottagen ansökan till utfärdaren inom tidsramen två arbetsdagar och beskriv nästa steg: Vi gör nu en första bedömning av fullständigheten i ansökan vilket avgör om vi kommer påbörja granskningen eller begära kompletteringar. Besked om fortsatt granskning och tidsram lämnas inom två veckor. Utse granskningsledare för ansökan. Kommunikation till granskningsgruppen att ansökan mottagits och vem som utsetts som granskningsledare. Aktiviteter i steg 1 görs av kansliets administrativa resurs (resurs 10), förutom att utse granskningsledare, som görs av ordförande i granskningsgruppen (resurs 5). Detta steg utförs av kanslipersonal och bedöms inte innebära någon större arbetsinsats Steg 3 - Bedömning av formalians fullständighet I steget ingår följande uppgifter: Gå igenom formalians fullständighet (med en checklista och granskningsprogrammet som stöd) samt identifiera avvikelser från kraven på vad som ska ingå i ansökan, exempelvis att rätt blanketter har använts, att alla efterfrågade uppgifter finns med, att alla efterfrågade dokument finns bifogade (t.ex. årsredovisning) osv. Om avvikelser finns i formalian ska dessa värderas och beslut tas enligt följande: Besluta om granskningsgruppen ska gå vidare med granskningen trots att vissa delar saknas, dvs. parallellt med att kompletteringar inväntas. Besluta i så fall om tidpunkt (maximalt 90 dagar) för kompletteringar och meddela sökanden. Besluta om genomgången ska stoppas tills vidare, i väntan på kompletteringar. Meddela sökanden. Besluta att rekommendera till nämnden att avslå ansökan, då den inte bedöms vara tillräcklig för att lägga till grund för granskning. Om formalian är fullständig och granskningen ska fortgå, så ska granskaren göra en uppskattning om arbetsinsats för genomgång av resten av ansökan, inklusive bedömt behov av granskning på plats hos utfärdaren. Besluta om hur arbetet ska fördelas bland medlemmarna inom granskningsgruppen, beroende på deras kompetensområde eller annan grund. Steget bör vara klart inom två veckor från att ansökan har kommit in.
7 7(17) Steg 2 utförs huvudsakligen av resurs 1, 2 eller 3. Ca 16 arbetstimmar Steg 4 - Gör en preliminär riskbedömning av aktören I steget ingår att bedöma sökanden utifrån tillgänglig information om dennes organisation, i syfte att skapa en uppfattning om risker i dennes verksamhet. En checklista för detta ändamål bör ingå i granskningsprogrammet. Med sådan tillgänglig information avses uppgifter som lämnats i ansökan som svar på Tillitsramverkets K2.1- K2.3 och K2.6. Bedömningen bör bland annat omfatta följande aspekter på sökandens verksamhet: Mognadsgrad i aktörens egen riskanalys en mogen process för riskhantering talar för att aktören har förmåga att identifiera och hantera risker och därmed bidrar till en lägre riskbedömning. Hur länge har aktören bedrivit utfärdar- eller leverantörsverksamhet tidigare erfarenhet av branschen talar för att aktören har förståelse för de tekniska och administrativa krav som ställs, och bidrar därmed till en lägre riskbedömning. Mognadsgrad i LIS-arbetet Ett moget LIS-arbete innebär att aktörens säkerhetskontroller har utvärderats på återkommande basis, vilket talar för en lägre risknivå. Finansiell ställning en stark finansiell ställning talar för att aktören har utrymme att investera i förbättringsarbete om behov uppstår, vilket talar för en lägre risknivå. Tidigare erfarenheter från verksamhet som står under tillsyn en aktör som sedan tidigare är van vid regelefterlevnad talar för en mogen process för hantering av regelefterlevnad och därmed en lägre risknivå. För vart och ett av ovanstående områden görs en bedömning med alternativen högre eller lägre. Resultatet från varje delområde vägs samman till en övergripande riskbedömning på en skala 1-4 (där 1 motsvarar låg risk). Riskbedömningen används för att styra omfattningen av granskningen, t.ex. vid bestämning av stickprovskontroller. Den preliminära riskbedömningen görs av granskningsledaren tillsammans med ytterligare en granskningsresurs (resurs 1, 2 eller 3). Ca 4 arbetstimmar.
8 8(17) Steg 5 Genomför grundläggande granskning enligt granskningsprogram Efter den preliminära riskbedömningen har genomförts fortsätter granskningen tills dess att alla grundläggande granskningsåtgärder som anges i granskningsprogrammet har genomförts. Granskningsarbetet utförs av resurs 1-4, fördelat efter kompetensbehov och tillgänglighet. Kvalitetssäkring görs av granskningsledaren. Ca 40 arbetstimmar Steg 6 Planera kompletterande granskningsåtgärder Med hjälp av ifylld granskningsdokumentation görs en bedömning av behov av kompletterande granskningsåtgärder hos aktören. Granskningsprogrammet beskriver ett antal obligatoriska utökade granskningsåtgärder som ska genomföras för samtliga aktörer. För aktörer som i den preliminära riskbedömningen har klassificerats som riskkategori 1 eller 2, kan omfattningen av stickprovskontroller minskas något. Utöver de obligatoriska utökade granskningsåtgärderna bör granskningsledare tillsammans med granskare bedöma om det finns behov av att genomföra ytterligare kompletterande granskningsåtgärder. Eventuella ytterligare kompletterande granskningsåtgärder dokumenteras i granskningsdokumentationen. När granskningsledaren har godkänt planen för kompletterande granskningsåtgärder kontaktas aktören av kansliet för bokning av tid för granskningsbesök, då även begäran om eventuell kompletterande dokumentation kommuniceras. Kompletterande granskning som avviker från schablon i omfattning måste godkännas av kansliet. Planering av kompletterande granskningsåtgärder utförs av resurs 1-4. Granskningsledaren godkänner planen. Ca 4 arbetstimmar Steg 7 Genomför kompletterande granskningsåtgärder Planerade kompletterande granskningsåtgärder genomförs hos aktören.
9 9(17) Samma resurser som för steg 4-6. Ca 16 arbetstimmar exklusive eventuella tekniska tester. Verifiering av intrångsskydd i intygsgivningsfunktionen eller motsvarande sådana tester förväntas ta mellan arbetstimmar i anspråk Steg 8 - Avstämning av bedömning med utfärdaren (remiss) Varje slutförd granskning ska dokumenteras i ett passande format och stämmas av med utfärdaren som under två veckor får möjlighet att inkomma med synpunkter/förtydliganden utifrån granskningsgruppens bedömningar. Synpunkter och förtydliganden från utfärdaren hanteras av en utsedd person inom granskningsgruppen. Om behov finns kan möte inbokas med utfärdaren för återkoppling. Rapportskrivning och hantering av svar görs av respektive granskare. Kommunikation med sökande görs av resurs från kansliet (resurs 5 eller 10). 32 arbetstimmar för författande av rapport och svar på frågor Steg 9 - Sammanfattning och föredragning för granskningsgruppen Varje slutförd granskning av en ansökan ska föredras inför hela granskningsgruppen för att gemensamt fatta beslut om vilken rekommendation (inklusive motivering) som ska ges till nämnden avseende beslutet; Godkänd, godkänd med förbehåll (ska alltid innehålla en maximal tidsgräns exempelvis 2 månader) eller icke godkänd. Granskningsgruppen kompletterar även beslutsunderlaget (i den mån godkännande rekommenderas) med en plan för fortsatt kontroll av partens efterlevnad över tid, exempelvis årlig kontroll. Aktiviteten fungerar både som efterkontroll och som påminnelse till utfärdaren om att upprätthålla kvaliteten i sin efterlevnad av Tillitsramverket. Beslutsunderlaget ska även innehålla information om eventuella tillkommande särskilda kontroller som behöver genomföras i samband med godkännande inför aktivering av legitimeringstjänst. I beslutsunderlaget ska det finnas en redogörelse av hur granskningsgruppen har kommit fram till sin rekommendation. Granskningsgruppen har en rådgivande funktion till nämnden. Det är granskningsgruppens ordförande som har mandat att besluta om vilken rekommendation som ska lämnas efter respektive gransking.
10 10(17 ) Granskningsgruppens sammanträden bör bokas ca två veckor innan det att nämnden sammanträder, så att nämndens ledamöter i god tid innan mötet kan ta del av materialet som ska utgöra beslutsunderlaget. Granskningsledaren är föredragande. Hela granskningsgruppen deltar på mötet. Ca 4 arbetstimmar per deltagande resurs Steg 10 - Beslut fattas av nämnden Nämnden fattar beslut om godkännande med granskningsgruppens rekommendationer som underlag. Representant från granskningsgruppen är föredragande i ärendet. Utfärdaren/leverantören meddelas beslutet. Resurs 5 eller 10 meddelar beslutet. Ca 4 arbetstimmar per deltagande resurs. 3 Metod för aktivering av Leverantör av eid-tjänst efter anslutning 3.1 Inledning Enligt Regelverkets huvudtext punkt så ska federationsoperatören godkänna Leverantör av eid-tjänsts anslutning mot identitetsfederationen innan det att den aktiveras och leverantörens legitimeringstjänst tillåts produktionssättas i federationen. Detta steg innebär i huvudsak en verifiering av att de krav som ställs i det tekniska ramverket och användargränssnittsbilagan är uppfyllda i den instans av legitimeringstjänst som produktionssätts efter anslutningsavtal har tecknats. Utöver verifiering mot tekniskt ramverk kan steget även innebära en tillkommande kontroll mot de säkerhetskrav i tillitsramverket avseende legitimeringstjänst som inte har kunnat verifieras i samband med ansökan om anslutning till identitetsfederationen och valfrihetssystemet. 3.2 Metod steg Steg 1 Ta fram testplan Aktiveringsprocessen inleds med framtagande av en specifik testplan för den enskilda leverantören. Den specifika tesplanen har sin utgångspunkt i den generella testplan och
11 11(17 ) testmatris som är framtagen för test av legitimeringstjänster, med komplettering av de specifika delar som aktualiseras för leverantören i fråga. Här kan det exempelvis vara fråga om kompletterande säkerhetskontroller som identifierats i den inledande granskningen, eller testfall kopplat till det specifika tekniska gränssnitt som leverantören i fråga har. Arbetet med den specifika testplanen påbörjas redan i samband med att leverantören inkommer med sin ansökan, och ska finnas färdig senast i samband med att anslutningsavtal med leverantören tecknas. Arbetet med att ta fram specifik testplan genomförs av resurs 11. Resurs 9 samt 1-4 bidrar med att ta fram specifika testfall. Ca 15 arbetstimmar Steg 2 Kommunicera testplan Den framtagna testplanen kommuniceras med leverantören för att stämma av de tänkta testfallen och för att ge en tydlighet i vilka kriterier som ska vara uppfyllda i det här steget för att legitimeringstjänsten ska kunna produktionssättas i identitetsfederationen. Kommunikation med leverantören avseende testplanen sköts av resurs 5 tillsammans med resurs 11. Ca 4 arbetstimmar Steg 3 Genomför tester Med utgångspunkt i den specifika testplanen genomförs testfallen. Vid genomförandet av tester tas hjälp av de testverktyg som utvecklats särskilt för detta ändamål. Testerna sker med stöd av såväl leverantörens som E-legitimationsnämndens acceptanstestmiljö. Från och med det datum då leverantören tillgängliggör sin legitimeringstjänst för test har E- legitimationsnämnden 60 dagar på sig att genomföra testerna. Arbetet med att leda testerna genomförs av resurs 11. Resurs 9 samt 1-4 bidrar med hjälp vid genomförande av specifika testfall. Ca 30 arbetstimmar.
12 12(17 ) Steg 4 Löpande rapportering av testfall Istället för att enbart sammanställa en slutlig testrapport kommer E- legitimationsnämnden att löpande rapportera utfall av tester till leverantören genom ett särskilt testrapporteringsverktyg. Leverantör kommer att ges möjlighet att kommentera på utfallet av enskilda tester. Arbetsfördelningen är den samma som i steg 3 ovan. Sker inom ramen för de arbetstimmar som specificerats under steg 3 ovan Steg 5 Ev. ändring av tjänst Med utgångspunkt i den löpande rapporteringen av testutfall har leverantören möjlighet att under pågående acceptanstestperiod göra ändringar av tjänsten för att åtgärda påvisade fel och brister. Tjänsten ska versionshanteras i samråd med nämnden på ett sådant sätt att pågående tester inte störs och leverantören ska tydligt visa på vilka ändringar som gjorts i förhållande till redan genomförda tester. Leverantören ska själv ha genomfört nödvändiga tester för att verifiera nya versioner uppfyller ställda krav innan de levereras till acceptanstest. Föranleder att vissa tester måste genomföras på nytt. I övrigt föranleder steget ingen arbetsinsats från granskningsgruppen. Föranleder att vissa tester måste genomföras på nytt. I övrigt sker det inom ramen för de arbetstimmar som specificerats under steg 3 ovan Steg 6 Testrapport och avstämning med leverantör Då samtliga tester har genomförts tas en slutlig testrapport fram som redogör för utfallet av testerna. Testrapporten ska även utgöra grunden för ett beslutsunderlag till nämnden avseende godkännande av leverantörens legitimeringstjänst. Testrapporten ska kommuniceras till leverantören och leverantören ska ges möjlighet att komma med synpunkter på rapporten. Arbetet med att ta fram testrapport genomförs av resurs 11. Ca 15 arbetstimmar.
13 13(17 ) Steg 7 Sammanfattning och föredragning för granskningsgruppen Varje slutförd godkännandeprocess ska föredras inför hela granskningsgruppen för att gemensamt fatta beslut om vilken rekommendation (inklusive motivering) som ska ges till nämnden avseende beslutet; Godkänd, godkänd med förbehåll (ska alltid innehålla en maximal tidsgräns exempelvis 2 månader) eller icke godkänd. I beslutsunderlaget ska det finnas en redogörelse av hur granskningsgruppen har kommit fram till sin rekommendation. Granskningsgruppen har en rådgivande funktion till nämnden. Det är granskningsgruppens ordförande som har mandat att besluta om vilken rekommendation som ska lämnas efter respektive gransking. Granskningsgruppens sammanträden bör bokas ca två veckor innan det att nämnden sammanträder, så att nämndens ledamöter i god tid innan mötet kan ta del av materialet som ska utgöra beslutsunderlaget. Resurs 11 är föredragande. Hela granskningsgruppen deltar på mötet. Ca 4 arbetstimmar per deltagande resurs Steg 8 Beslut av nämnden Nämnden fattar beslut om godkännande med granskningsgruppens rekommendationer som underlag. Representant från granskningsgruppen är föredragande i ärendet. Leverantören meddelas beslutet. Resurs 5 eller 10 meddelar beslutet. Ca 4 arbetstimmar per deltagande resurs. 4 Granskningsmetoden vid löpande uppföljning 4.1 Inledning Detta avsnitt beskriver den tillämpade granskningsmetoden vid löpande uppföljning av godkänd Utfärdare av Svensk e-legitimation eller Leverantör av eid-tjänst. 4.2 Rutinbaserad uppföljning I samband med respektive anslutning av leverantör eller utfärdare ska E- legitimationsnämnden ta fram en plan för rutinbaserad löpande uppföljning av den
14 14(17 ) godkända aktören. Planen ska ha sin utgångspunkt i den riskanalys som gjort av aktören och ha en uppföljningscykel om 36 månader. Den rutinbaserade uppföljningen ska innehålla ett antal punkter som mer regelmässigt ska genomföras för samtliga aktörer, och därtill kompletteras med sådana punkter som är specifika för enskild aktör med hänsyn till risk och utfall av tidigare genomförd granskning. 4.3 Alternativa initierande faktorer Utöver den planerade rutinbaserade uppföljningen finns det ett antal faktorer som kan initiera uppföljande granskning av en ansluten aktör från granskningsgruppens sida. De viktigaste faktorerna redogörs för nedan E-legitimationsnämnden har fattat beslut med förbehåll Om E-legitimationsnämnden i sitt beslut om godkännande av sökanden har infört vissa förbehåll för godkännande som ska åtgärdas inom viss tid så behöver granskningsgruppen följa upp och säkerställa att de åtgärder som krävs i förbehållet har vidtagits Potentiella riskområden i ansökan Om granskningsgruppen i sin granskning har noterat särskilda riskområden i sökandens verksamhet kan granskningsgruppen redan i samband med den initiala granskningen planera för tillkommande granskningsåtgärder inom visst tidsperspektiv Incidentrapportering För såväl utfärdare av Svensk e-legitimation som leverantör av eid-tjänst ställs krav på incidentrapportering till E-legitimationsnämnden. Sådana incidentrapporter kan föranleda granskning av granskningsgruppen om det finns anledning att misstänka bristande kravuppfyllnad Väsentliga förändringar i utförande av tjänsten Utfärdare och leverantörer har en skyldighet att rapportera väsentliga förändringar i utförandet av sina respektive tjänster. Förändringarna kan vara av sådan karaktär att granskningsgruppen måste komplettera den initiala granskningen för att säkerställa att även ändrad tjänst lever upp till kraven Rekommendation från Förvaltningsforum Förvaltningsforum kan som ett led i sitt löpande säkerhetssamarbete rekommendera att visa specifika granskningsinsatser genomförs Omvärldsbevakning E-legitimationsnämndens omvärldsbevakning, särskilt på informationssäkerhetsområdet, kan komma att leda till behov av specifika granskningsinsatser för att säkerställa att utfärdare och leverantörer hanterar förändrade hotbilder i förhållande till deras tjänster.
15 15(17 ) Förändringar i regelverket Ändrade krav i regelverket kan leda till ett behov av att genomföra förnyad granskning av kravuppfyllnad, särskilt om ändringen omfattar centrala delar i tillitsramverket. 4.4 Grundprinciper för metoden Metoden för den granskning som genomförs löpande skiljer sig inte nämnvärt från metoden vid den initiala granskningen, med undantag för att vissa specifika delar som relaterar till ansökningsprocessen inte är nödvändiga. 4.5 Metoden steg Steg 1 Planera och fatta beslut om granskningsåtgärd Med utgångspunkt i den rutinbaserade uppföljningen eller någon av de alternativa initierande faktorer som beskrivits ovan fattar granskningsgruppen beslut om lämplig granskningsåtgärd. Granskningsåtgärden kan exempelvis vara i form av möten med berörd utfärdare eller leverantör, genomgång av inrapporterade förändringar i tjänst, begäran om kompletterande beskrivningar av kravuppfyllnad och genomgång av sådan, stickprov, rutinkontroller eller extern revision av oberoende tredje part. Det formella beslutet om granskningsåtgärd fattas av granskningsgruppens ordförande (kansliresurs) med undantag för beslut om extern revision av utfärdare eller leverantör då beslut ska föredras och fattas av E-legitimationsnämnden. I samband med fattat beslut utses en granskningsledare som leder granskningsåtgärden. Granskningsåtgärden ska i största möjliga mån planeras med utgångspunkt i leverantörens särskilda förutsättningar och lämna tillräckligt med framförhållning för att inte i onödan störa leverantören eller utfärdarens ordinarie verksamhet. Steg 1 utförs huvudsakligen av resurs 1, 2 eller 3. Ca 10 arbetstimmar Steg 2 Kommunicera med granskningssubjekt Den beslutade granskningsåtgärden kommuniceras till leverantören/utfärdaren, såvida inte åtgärden är av sådan karaktär att aktören inte bör ha kännedom om denna (exempelvis stickprov av utfärdarverksamhet eller liknande). Aktören ges en möjlighet att återkoppla på den planerade åtgärden, särskilt med hänsyn till sådana åtgärder som kräver medverkan och resursplanering från aktörens sida. Steg 2 utförs av resurs 5 eller 10.
16 16(17 ) Ca 4 arbetstimmar Steg 3 Genomför beslutade granskningsåtgärder Med utgångspunkt i planering och beslut genomförs granskningsåtgärden. Utöver de beslutade granskningsåtgärderna bör granskningsledare tillsammans med granskare bedöma om det finns behov av att genomföra ytterligare kompletterande granskningsåtgärder. Eventuella ytterligare kompletterande granskningsåtgärder dokumenteras i granskningsdokumentationen. Genomförande av granskningsåtgärder utförs av resurs 1-4. Granskningsledaren ansvarar för genomförandet. Beroende av granskningsåtgärd Steg 4 - Avstämning av bedömning med utfärdaren (remiss) Varje slutförd granskningsåtgärd ska dokumenteras i ett passande format och stämmas av med leverantören/utfärdaren som under två veckor får möjlighet att inkomma med synpunkter/förtydliganden utifrån granskningsgruppens bedömningar. Synpunkter och förtydliganden från utfärdaren hanteras av en utsedd person inom granskningsgruppen. Om behov finns kan möte inbokas med utfärdaren för återkoppling. Rapportskrivning och hantering av svar görs av respektive granskare. Kommunikation med sökande görs av resurs från kansliet (resurs 5 eller 10). Beroende på granskningsåtgärd Steg 5 - Sammanfattning och föredragning för granskningsgruppen Varje slutförd granskningsåtgärd ska föredras inför hela granskningsgruppen för att gemensamt fatta beslut om vilken rekommendation (inklusive motivering) som ska ges till nämnden avseende åtgärden. Granskningsgruppens rapport kan resultera i tre alternativa beslut. Det första innebär att genomförd granskningsåtgärd inte föranleder några ytterligare åtgärder från vare sig granskningsgruppens eller nämndens sida, vilket i så fall enbart leder till en informationspunkt på nästa nämndsammanträde. Det andra innebär att genomförd granskningsåtgärd föranleder ytterligare åtgärder från granskningsgruppens sida, exempelvis i form av ytterligare kompletterande granskning
17 17(17 ) eller åtgärder från leverantören/utfärdaren inom viss tidsperiod eller med viss periodicitet, men inga åtgärder från nämndens sida, vilket i så fall enbart leder till en informationspunkt på nästa nämndsammanträde. Det tredje innebär att genomförd granskningsåtgärd föranleder åtgärder från nämndens sida, exempelvis avseende extern revision av oberoende tredje part, vite eller uppsägning. Granskningsgruppen kompletterar även beslutsunderlaget med en uppdaterad plan för fortsatt kontroll av partens efterlevnad av granskningsområdet över tid. Aktiviteten fungerar både som efterkontroll och som påminnelse till utfärdaren om att upprätthålla kvaliteten i sin efterlevnad av Tillitsramverket. I beslutsunderlaget ska det finnas en redogörelse av hur granskningsgruppen har kommit fram till sin rekommendation. Granskningsgruppen har en rådgivande funktion till nämnden. Det är granskningsgruppens ordförande som har mandat att besluta om vilken rekommendation som ska lämnas efter respektive gransking. Granskningsgruppens sammanträden bör bokas ca två veckor innan det att nämnden sammanträder, så att nämndens ledamöter i god tid innan mötet kan ta del av materialet som ska utgöra beslutsunderlaget. Granskningsledaren är föredragande. Hela granskningsgruppen deltar på mötet. Ca 4 arbetstimmar per deltagande resurs Steg 6 - Beslut fattas av nämnden Nämnden fattar beslut med granskningsgruppens rekommendationer som underlag. Representant från granskningsgruppen är föredragande i ärendet. Utfärdaren/leverantören meddelas beslutet. Resurs 5 eller 10 meddelar beslutet. Ca 4 arbetstimmar per deltagande resurs.
Granskningsmetod. Om metoden
Granskningsmetod Om metoden 1.1 Syfte Syftet med dokumentet är att beskriva en metod för att utvärdera hur sökande uppfyller kraven enligt regelverket som gäller för Leverantörer av eid-tjänst i Valfrihetssystem
Läs merGranska. Inledning. Syfte. Granskningsprocessen
Sida: 1/9 LEDNINGSYSTEM Datum: 2010-04-23 Dokumenttyp: Rutin Process: Utöva tillsyn och Tillståndspröva Dokumentnummer: 124 Version: 1 Författare: Anna Norstedt, Anders Wiebert mfl Fastställd: Ann-Louise
Läs merBILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1
BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1 Innehåll 1 Inledning... 2 Om detta dokument... 2 Samverkan... 2 2 Sambiombudets tekniska tjänst... 5 3 Tillitsgranskning av Sambiombud... 5 Initiala
Läs merBILAGA 3 Tillitsramverk
BILAGA 3 Tillitsramverk Version: 2.01 Innehåll Revisionshistorik... 1 Inledning... 2 Bakgrund... 2 ställning... 2 Definitioner... 3 A. Generella krav... 3 Övergripande krav på verksamheten... 3 Säkerhetsarbete...
Läs merBILAGA 3 Tillitsramverk Version: 2.02
BILAGA 3 Tillitsramverk Version: 2.02 Innehåll Inledning... 2 Bakgrund... 2 ställning... 3 Definitioner... 3 A. Generella krav... 4 Övergripande krav på verksamheten... 4 Säkerhetsarbete... 4 Granskning
Läs merFörändringar i regelverket avseende införande av intygskonverteringstjänst och alternativt tekniskt anslutningsförfarande
PM 1(5) Förändringar i regelverket avseende införande av intygskonverteringstjänst och alternativt tekniskt anslutningsförfarande E-legitimationsnämnden har tagit fram utkast till uppdaterat regelverk
Läs merRegelverk för identitetsfederationer för Svensk e-legitimation
1 (7) Regelverk för identitetsfederationer för Svensk e-legitimation Bilaga J Rapporteringsrutiner 2 (7) 1. Bakgrund och syfte 1.1 Detta dokument är en bilaga till huvudtexten i Regelverk för identitetsfederationer
Läs merFörfrågningsunderlag
1 (15) Valfrihetssystem för Svensk e-legitimation Dnr 1 31 132119-14/9531 Publicerad 2015-10-10 2 (15) Innehåll 1. Bakgrund 3 1.1 E-legitimationsnämndens uppdrag... 3 1.2 Identitetsfederationen för offentlig
Läs merSvensk e-legitimation och eidas
Svensk e-legitimation och eidas Talare: Mattias Dandoy mattias.dandoy@elegnamnden.se Informationssäkerhetsansvarig Granskningsledare Svensk e-legitimation E-legitimationsnämnden är en statlig myndighet
Läs merAnslutningsavtal. inom Infrastrukturen för Svensk e-legitimation. Bilaga 4 Rapporteringsrutiner. för Utfärdare av Svensk e-legitimation
1 (5) Anslutningsavtal för Utfärdare av Svensk e-legitimation inom Infrastrukturen för Svensk e-legitimation Bilaga 4 Rapporteringsrutiner 2 (5) 1. Bakgrund och syfte 1.1 Detta dokument är en bilaga till
Läs merPunkt 15: Riktlinje för internrevision
2016-09-21 Punkt 15: Riktlinje för internrevision Förslag till beslut i styrelsen att anta Riktlinje för internrevision för försäkrings AB Göta Lejon Denna riktlinje kallades tidigare Riktlinje för oberoende
Läs merInformation om Ineras certifieringstjänst
Information om Ineras certifieringstjänst Certifieringsprocessen I rollen som personuppgiftbiträde har Inera valt att genom certifiering säkerställa att information som konsumeras av en Tjänstekonsument
Läs merAtt utveckla, förvalta, och införa FGS:er
Vägledning Att utveckla, förvalta, och införa FGS:er Vägledning för arbetet med förvaltningsgemensamma specifikationer RAFGS1D20150815 Kontakta oss Information om arbetet med FGS:er hittar du på vår webbplats:
Läs merÅrsberättelse för. E-legitimationsnämnden
Årsberättelse 1(5) Datum Dnr 2016-02-22 Årsberättelse 2015 för E-legitimationsnämnden www.elegnamnden.se Postadress Besöksadress Telefon växel E-postadress 171 94 SOLNA Korta gatan 10 010-574 21 00 kansliet@elegnamnden.se
Läs merMidsona AB:s tillämpning av Svensk kod för bolagsstyrning (april 2015)
Midsona AB:s tillämpning av Svensk kod för bolagsstyrning (april 2015) 1. BOLAGSSTÄMMA Kodens innehåll Följs Kommentar 1.1 Tidpunkt och ort för stämman samt ärende på stämman 1.2 Kallelse och övrigt underlag
Läs merAnslutningsavtal. inom Identitetsfederationen för offentlig sektor. för Leverantör av eid-tjänst
1 (7) Anslutningsavtal för Leverantör av eid-tjänst inom Identitetsfederationen för offentlig sektor 2 (7) 1. Avtalsparter Detta anslutningsavtal ( Avtalet ) har träffats mellan 1. E-legitimationsnämnden,
Läs merFörvaltningsforum 20 maj maj
Förvaltningsforum 20 maj 2015 28 maj 2015 1 Agenda 1. Status i arbetet med Svensk e-legitimation 2. Statusrapport från undergrupperna 3. Presentation av nämndens rutin för leveransgodkännande 4. Beslut
Läs merRevisionsstrategi. Innehållsförteckning 2012-04-16
Revisionsstrategi Innehållsförteckning 1 Inledning... 2 2 Revisionens uppdrag... 2 3 Revisionens strategier... 3 3.1 Ansvarsprövning... 3 3.1.1 Planering... 3 3.1.2 Granskning... 3 3.1.3 Prövning... 5
Läs merProcess och rutinbeskrivning Ändring av fordon, HVK, dokumentation och underhåll
Process och rutinbeskrivning av fordon, HVK, dokumentation och underhåll Förutsättning: Process- och rutinbeskrivningen ska ses som ett stöd till U1 och ge en mer detaljerad beskrivning för parternas ansvar
Läs merSvenska och utländska e-legitimationer vad händer?
Svenska och utländska e-legitimationer vad händer? 2015-09-18 Eva Sartorius, eva.sartorius@elegnamnden.se @elegnamnden 15 december 2016 1 Tips om kontrollfrågor Vår kommun har ansvar för några e-tjänster
Läs merSITHS PA Charter. Regelverk för SITHS PA
SITHS PA Charter Regelverk för SITHS PA Innehåll 1. Inledning... 3 Dokumentets syfte... 3 Dokumentets identifikation... 3 Kontaktinformation... 3 2. SITHS PA... 3 Medlemskap, struktur och mötesordning...
Läs mereidas och Svensk e-legitimation
eidas och Svensk e-legitimation 2015-10-08 Eva Ekenberg, eva.ekenberg@elegnamnden.se 15 oktober 2015 1 Vad händer 29 september 2018? Alla offentliga myndigheter blir tvingade att ta emot godkända e-legitimeringar
Läs merAvbrott i bredbandstelefonitjänst
BESLUT 1(7) Datum Vår referens Aktbilaga 2013-10-17 Dnr: 12-9626 37 Nätsäkerhetsavdelningen Karin Lodin 073-644 56 04 karin.lodin@pts.se Avbrott i bredbandstelefonitjänst Saken Tillsyn enligt 7 kap. 1
Läs merFörfrågningsunderlag
1 (14) Valfrihetssystem för Svensk e-legitimation Dnr 1 31 132119-14/9531 Publicerad 2014-03-07 2 (14) Innehåll 1. Bakgrund 3 1.1 E-legitimationsnämndens uppdrag... 3 1.2 Identitetsfederationen för offentlig
Läs merÅrlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB
AVSKRIVNINGSBESLUT 1(6) Datum Vår referens 2016-04-29 Dnr: 16-1327 Nätsäkerhetsavdelningen Anna Montelius 08-678 58 12 anna.montelius@pts.se Telia Company AB Årlig tillsyn över incidentrapportering och
Läs merLokala regler och anvisningar för intern kontroll
Kulturförvaltningen TJÄNSTEUTLÅTANDE Diarienummer: Avdelningen för verksamhets- och ledningsstöd 2019-03-27 KN 2019/364 Handläggare: Harald Lindkvist Lokala regler och anvisningar för intern kontroll Ärendebeskrivning
Läs merSvensk e-legitimation. 7 mars
Svensk e-legitimation 7 mars 2014 1 E-legitimationsnämnden i korthet Näringsdepartementet E-legitimationsnämnden Kansliet 7 mars 2014 2 Svensk e-legitimation Leverantörer av eid-tjänst E-legitimationsnämnden
Läs merLandstingsstyrelsens uppsikt över följsamhet till fullmäktiges reglemente för intern kontroll
Landstingsstyrelsens uppsikt över följsamhet till fullmäktiges reglemente för intern kontroll Rapport nr 28/2015 April 2016 Richard Norberg, revisionskontoret Innehåll 1. SAMMANFATTANDE ANALYS... 3 BAKGRUND...
Läs merReglemente för Älvsbyns kommuns revisorer
Reglemente för Älvsbyns kommuns revisorer Antaget av kommunfullmäktige, KF 86/06-11-27. 5 reviderad av kommunfullmäktige, KF 15/08-06-16. Revisionens roll 1 Revisorernas uppgift är att varje år granska
Läs merBilaga 9. Överenskommelse om tjänstenivåer (SLA)
1 (7) Bilaga 9 Överenskommelse om tjänstenivåer (SLA) Innehåll 2 (7) Överenskommelse om tjänstenivå 3 1 Inledning 3 1.1 Tillämpning 3 1.2 Ansvarsfrihet 3 1.3 Ändring av tjänstenivåer 2 Servicenivåer 2.1
Läs merÖstra Göteborg. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014
Östra Göteborg Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte Februari 2014 1 Inledning Med start hösten 2010 har Deloitte, EY och PwC på uppdrag av Göteborgs Stad, som ett
Läs merSvensk Kvalitetsbas kravstandard (1:2016)
Svensk Kvalitetsbas kravstandard (1:2016) 1. Utfärdare 2. Revisorer 3. Verksamheter Antagen den 25 augusti 2016 www.svenskkvalitetsbas.se 1 INNEHÅLL Inledning... 3 Syfte med standarden... 3 Föreningens
Läs merRevisionsreglemente för Sjöbo kommuns revisorer
1 Revisionsreglemente för Sjöbo kommuns revisorer Revisionens formella reglering 1 För revisionsverksamheten gäller bestämmelser i kommunallag, bestämmelser som påverkar kommunal revision i annan lagstiftning,
Läs merCompliance och Internrevision kan lära av varandra. Louise Hedqvist, FCG Desirée Nordqvist, Länsförsäkringar AB
Compliance och Internrevision kan lära av varandra Louise Hedqvist, FCG Desirée Nordqvist, Länsförsäkringar AB Compliance och Internrevision kan lära av varandra 1 Sammarbete 2 Ramverk 3 Planering 4 Granskning
Läs merUpprättande av säkerhetsskyddsavtal i Nivå 1
BILAGA 1 till Industrisäkerhetsskyddsmanualen 1(5) Upprättande av säkerhetsskyddsavtal i Nivå 1 Inledning Denna beskrivning syftar till att ge en allmän orientering i vad som krävs, såväl från företaget,
Läs merGranskningsredogörelse Stadsrevisionen. Göteborg & Co Träffpunkt AB granskning av verksamhetsåret goteborg.
Granskningsredogörelse Stadsrevisionen Göteborg & Co Träffpunkt AB granskning av verksamhetsåret 2015 goteborg.se/stadsrevisionen 2 Januari 2016 Göteborg & Co Träffpunkt AB. Granskning av verksamhetsåret
Läs merAngered. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014
Angered Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte Februari 2014 1 Inledning Med start hösten 2010 har Deloitte, EY och PwC på uppdrag av Göteborgs Stad, som ett led
Läs merREGLEMENTE FÖR SUNDSVALLS KOMMUNS REVISORER
1 REGLEMENTE FÖR SUNDSVALLS KOMMUNS REVISORER Fastställt av kommunfullmäktige 2013-03-25 93 Revisionens formella reglering 1 För revisionsverksamheten gäller bestämmelser i lag, god revisionssed, detta
Läs merFörbundsordningen i kommunalförbund och regionförbund ger de grundläggande förutsättningarna i det aktuella förbundet.
BRÄCKE KOMMUN 2007-08-28 1(5) Reglemente för Bräcke kommuns revisorer Revisionens roll 1 Revisorernas uppgift är att varje år granska den verksamhet som bedrivs inom nämnders, styrelsers och fullmäktigeberedningars
Läs merReglemente för revisorerna i Hylte kommun
Reglemente för revisorerna i Hylte kommun Revisionens roll 1 Revisorerna och lekmannarevisorerna (revisionen) är fullmäktiges och ytterst medborgarnas demokratiska instrument för granskning och kontroll
Läs merKommunrevisionen Granskning av intern kontroll
OMSORGSFÖRVALTNINGEN Handläggare Dahl Jessica Sporrong Anna-Terese Datum 2019-04-05 Diarienummer OSN-2019-0131 Omsorgsnämnden Kommunrevisionen Granskning av intern kontroll Förslag till beslut Omsorgsnämnden
Läs merSvensk e-legitimation
Svensk e- 2013-03-14 18 mars 2013 1 E-snämnden i korthet Näringsdepartementet E-snämnden Kansliet 18 mars 2013 2 Svensk e- Användare med godkänd Svensk e- Utfärdare e- Utfärdare e- Utfärdare identitetsintyg
Läs merBILAGA 3 Tillitsramverk Version: 2.1
BILAGA 3 Tillitsramverk Version: 2.1 Innehåll Inledning... 2 Läs tillitsramverket så här... 2 A. Generella krav... 3 Övergripande krav på verksamheten... 3 Säkerhetsarbete... 3 Kryptografisk säkerhet...
Läs merEUROPEISKA CENTRALBANKENS RIKTLINJE (EU)
L 306/32 RIKTLINJER EUROPEISKA CENTRALBANKENS RIKTLINJE (EU) 2016/1993 av den 4 november 2016 om principer för samordningen av bedömningen enligt Europaparlamentets och rådets förordning (EU) nr 575/2013,
Läs merMyndigheten för samhällsskydd och beredskaps författningssamling
Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 11 mars 2016 Myndigheten
Läs merRevisionsreglemente för Falkenbergs kommuns revisorer
REVISIONSREGLEMENTE FÖR FALKENBERGS KOMMUNS REVISORER fastställt av kommunfullmäktige 200 6-11-30 154 Gäller fr o m 2007-01-01 Dnr: 2006:294 Revisionsreglemente för Falkenbergs kommuns revisorer Revisionens
Läs merGranskning av generella IT-kontroller för PLSsystemet
F Ö R S V A R E T S M A T E R I E LV E R K (F M V ) 115 88 S T O C K HO LM Försvarets materielverk (FMV) Granskning av generella IT-kontroller för PLSsystemet vid Försvarets materielverk (FMV) Som ett
Läs merRevisionsstrategi
1 Inledning I enlighet med god revisionssed föreslås en strategi för kommunrevisionens långsiktiga revisionsarbete under den pågående fyraårsperioden. Revisionsstrategin ska fungera som en vägledning i
Läs merNYHETSBREV. Bolagsstyrning och riskhantering. nya och ändrade bestämmelser med anledning av det nya kapitaltäckningsregelverket
2014-08-08 NYHETSBREV Bolagsstyrning och riskhantering nya och ändrade bestämmelser med anledning av det nya kapitaltäckningsregelverket (CRR och CRD IV). 1. Nya och ändrade bestämmelser Det nya kapitaltäckningsregelverket
Läs merReglemente för internkontroll
Kommunstyrelseförvaltningen REGLEMENTE Reglemente för internkontroll "Dubbelklicka - Infoga bild 6x6 cm" Dokumentnamn Fastställd/upprättad av Dokumentansvarig/processägare Reglemente för internkontroll
Läs merMetodstöd 2
Granska www.informationssäkerhet.se 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen måste alltid
Läs merAllmänna villkor för uppdragsersättning till frivilliga försvarsorganisationer
samhällsskydd och beredskap 1 (6) Allmänna villkor för uppdragsersättning till frivilliga försvarsorganisationer Anslag 2:4 Krisberedskap, budgetåret 2014 samhällsskydd och beredskap 2 (6) Villkor för
Läs merInstruktion till valberedningen till styrelse- och revisorsval Livförsäkringsbolaget Skandia, ömsesidigt
Instruktion till valberedningen till styrelse- och revisorsval Livförsäkringsbolaget Skandia, ömsesidigt [Förslag att antas av bolagsstämman den 15 maj 2018] 1 1. Om lämplighetsprövning i Skandia Livförsäkringsbolaget
Läs merReglemente för revisorerna i Hylte kommun
Reglemente för revisorerna i Hylte kommun Revisionens roll 1 Revisorerna och lekmannarevisorerna (revisionen) är fullmäktiges och ytterst medborgarnas demokratiska instrument för att granska och kontrollera
Läs merReglemente för revisorerna
Revisionens uppdrag 1 Revisorernas uppgift är att varje år granska den verksamhet som bedrivs inom nämnders, styrelsers och fullmäktigeberedningars verksamhetsområden. De granskar och prövar om verksamheten
Läs merAllmänna villkor. för myndigheter. Anslag 2:4 Krisberedskap. Föredragande. Samråd. Godkänd av enhetschef. Charlott Thyrén. Helena Bunner.
Föredragande Samråd Godkänd av enhetschef Charlott Thyrén Helena Bunner Mona Matsson Allmänna villkor för myndigheter Anslag 2:4 Krisberedskap Villkor för användning av anslagsmedel Följande villkor gäller
Läs mer2 För revisionsverksamheten gäller bestämmelser i lag, god revisionssed, detta reglemente samt utfärdade ägardirektiv för kommunens företag.
REGLEMENTE FÖR KALIX KOMMUNS REVISORER Revisionens roll 1 Revisorernas uppgift är att varje år granska den verksamhet som bedrivs inom nämnders, styrelsers och fullmäktigeberedningars verksamhetsområden.
Läs merHär nedan är ett urval av de vanligaste frågorna (FAQ, Frequently Asked Questions) som kommit till FAR och Srf konsulterna om uppdragsavtal.
Svensk standard för redovisningstjänster, Reko FAQ Vanliga frågor om uppdragsavtal Här nedan är ett urval av de vanligaste frågorna (FAQ, Frequently Asked Questions) som kommit till FAR och Srf konsulterna
Läs merDecember Rapport avseende löpande granskning Uddevalla kommun
December 2015 Rapport avseende löpande granskning Uddevalla kommun Innehåll Inledning 1 Utförd granskning 2 Sammanfattande bedömning 6 Inledning Bakgrund Som ett led i den löpande revisionen har vi i denna
Läs merAnslutningsavtal. inom infrastrukturen för Svensk e-legitimation. Bilaga 4 Rapporteringsrutiner. för utfärdare av Svensk e-legitimation
1 (6) Anslutningsavtal för utfärdare av Svensk e-legitimation inom infrastrukturen för Svensk e-legitimation Bilaga 4 Rapporteringsrutiner 2 (6) 1. Bakgrund och syfte 1.1 Detta dokument är en bilaga till
Läs merDecember 2014. Rapport avseende löpande granskning Uddevalla kommun
December 2014 Rapport avseende löpande granskning Uddevalla kommun Innehåll Inledning 1 Utförd granskning 2 Sammanfattande bedömning 6 Inledning Bakgrund Som ett led i den löpande revisionen har vi i denna
Läs merKommunfullmäktige. Ärendenr: KS 2014/335 Fastställd: Reviderad senast: FÖRFATTNINGSSAMLING. Revisionsreglemente
Kommunfullmäktige Ärendenr: KS 2014/335 Fastställd: 2006-11-27 Reviderad senast: 2016-10-31 FÖRFATTNINGSSAMLING Revisionsreglemente 2/8 Innehållsförteckning Innehållsförteckning... 2 Revisionens roll...
Läs merREVISIONSREGLEMENTE FÖR REVISORERNA I LANDSKRONA KOMMUN
1 REVISIONSREGLEMENTE FÖR REVISORERNA I LANDSKRONA KOMMUN KF 2006-12-18 196 Revisionens roll 1 Revisorernas uppgift är att varje år granska den verksamhet som bedrivs inom nämnders, styrelsers och fullmäktigeberedningars
Läs merDataskyddsförordningen och Stadens styrsystem. Jan A Svensson Informationssäkerhetschef
Dataskyddsförordningen och Stadens styrsystem Jan A Svensson Informationssäkerhetschef Agenda DSF visavi Stadens styrsystem Stadens förhållningssätt gällande - Dataskyddsombud - Konsekvensbedömning - Inbyggt
Läs merInnehåll 1(14) Granskningsdokumentation
1(14) Innehåll Granskningsobjekt... 2 Preliminär riskbedömning... 3 Sammanfattning... 4 Övergripande slutsats/rekommendation... 4 1 Inledning... 5 2 Allmänna åtaganden... 5 3 Organisation och styrning...
Läs merReglemente för revisorerna i Grums kommun
REGLEMENTE FÖR REVISORERNA I GRUMS KOMMUN Datum Antagen av Kommunfullmäktige Reviderad datum Paragraf 14 1(5) Reglemente för revisorerna i Grums kommun 2(5) Reglemente för revisorerna i Grums kommun Revisionens
Läs merReglemente för revisionen
Reglemente för revisionen Typ av dokument Reglemente Beslutat av Kommunfullmäktige Beslutsdatum 2007-03-19, 42 Diarienummer 0922/11 Dokumentägare Administration/kansliet Giltighetstid Framtagen av Kansliet
Läs merRemissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)
Datum Vår referens 2019-08-30 19-5170/9.60 1(6) Ert datum Er referens 2019-07-24 Ju2019/01281/L4 Ju.remissvar@regeringskansliet.se Ju.L4@regeringskansliet.se Remissvar angående SOU 2019:14: Ett säkert
Läs merE-legitimationsdagen - Seminariepass - Spår 1
E-legitimationsdagen - Seminariepass - Spår 1 Del 2 Federationssamverkan 1 februari 2013 1 E-legitimationsdagen - eftermiddag 13.15-14.15 Seminarier Första passet Spår 1 Spår 2 Spår 3 Svensk e-legitimation
Läs merGranskning av bisysslor i Valdemarsviks kommun
Granskning av bisysslor i Valdemarsviks kommun Räkenskapsår 2013 Datum 1 augusti 2013 Till Kommunrevisionen i Valdemarsviks kommun Från R Wallin 1 Inledning På uppdrag av kommunrevisionen i Valdemarsvik
Läs merFolke Bernadotteakademins villkor för stöd till projektverksamhet som främjar genomförandet av FN:s säkerhetsrådsresolution 1325
Folke Bernadotteakademins villkor för stöd till projektverksamhet som främjar genomförandet av FN:s säkerhetsrådsresolution 1325 Tillämpning 1 Dessa villkor reglerar stöd till projektverksamhet som främjar
Läs merRegelverk för identitetsfederationer för Svensk e-legitimation
1 (6) Regelverk för identitetsfederationer för Svensk e-legitimation Bilaga C Servicenivåer 2 (6) 1. Bakgrund och syfte 1.1 Detta dokument är en bilaga till huvudtexten i Regelverk för identitetsfederationer
Läs merSvensk Kvalitetsbas kravstandard (2:2019) 1. Utfärdare 2. Revisorer 3. Verksamheter. Antagen den 15 maj 2019
Svensk Kvalitetsbas kravstandard (2:2019) 1. Utfärdare 2. Revisorer 3. Verksamheter Antagen den 15 maj 2019 www.svenskkvalitetsbas.se 1 INNEHÅLL INLEDNING... 3 Syfte med standarden... 3 Föreningens ska
Läs merTillsyn över säkerhetsarbete hos underleverantör
AVSKRIVNINGSBESLUT 1(6) Datum Vår referens Aktbilaga 2018-12-13 Dnr: 17-5292 44 Nätsäkerhetsavdelningen Hi3G Access AB Tillsyn över säkerhetsarbete hos underleverantör Saken Tillsyn över säkerhetsarbete
Läs merBILAGA 1 Definitioner Version: 2.01
BILAGA 1 Definitioner Version: 2.01 Följande begrepp används inom Sambi: Anslutningsavtal: Avtal mellan Sökanden och Federationsoperatören som innebär att Sökanden ansluter till Federationstjänsten som
Läs merSamma krav gäller som för ISO 14001
Förordning (2009:907) om miljöledning i statliga myndigheter Relaterat till motsvarande krav i ISO 14001 och EMAS De krav som ställs på miljöledningssystem enligt EMAS är samma som ingår i ISO 14001. Dessutom
Läs merGöteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012
Göteborg Energi AB Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte 18 december 2012 1 Sammanfattning Med start hösten 2010 har Deloitte, Ernst & Young och PwC på uppdrag av Göteborgs
Läs merTillitsgranskningsavtal
Tillitsgranskningsavtal Part Part Stiftelsen för Internetinfrastruktur Box 92073 120 07 Stockholm Org nr 802405-0190 (i det följande Tillitsgranskningstjänsten ) (i det följande Sökanden ) 1 Inledning
Läs merStiborramverket del 1
1 (7) 2015-03-31 Stiborramverket del 1 Ramverk för Stibor Stibor (Stockholm Interbank Offered Rate) är en referensränta som visar ett genomsnitt av de räntesatser till vilka ett antal banker verksamma
Läs merTillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen
Tillitsdeklarationen och revisionsprocessen Åsa Wikenståhl Efosdagen 2018-09-26 Agenda Intro Risk Revision LIS Tillitsdeklarationen På-platsen-revisionen Åtgärder och uppföljning Förbättringsarbetet Tillit
Läs merPunkt 20: Dnr 0086/16-39 Lägesrapport Er nst & Young AB granskning av intern kontroll 2016
2016-12-06 Punkt 20: Dnr 0086/16-39 Lägesrapport Er nst & Young AB granskning av intern kontroll 2016 Förslag till beslut i styrelsen att anteckna lägesrapport från Ernst & Young AB 2016 avseende granskning
Läs merBILAGA 3 Tillitsramverk Version: 1.3
BILAGA 3 Tillitsramverk Version: 1.3 Innehåll Allmänt... 2 A. Generella krav... 2 Övergripande krav på verksamheten... 2 Säkerhetsarbete... 3 Granskning och uppföljning... 3 Kryptografisk säkerhet... 3
Läs merRiktlinjer för internkontroll i Kalix kommun
Riktlinjer för internkontroll i Kalix kommun Antaget av kommunfullmäktige 2012-11-26--27, 182 Innehållsförteckning Riktlinjer för internkontroll i Kalix kommun...1 Inledning...1 Internkontroll...1 Organisation
Läs merKonsultbolag1. Testplan för Europa version 2. Testplan Projekt Europa Sid 1 (av 9) 2009-05-14. Europa-projektet. Dokumenthistorik
Testplan Projekt Europa Sid 1 (av 9) Europa-projektet Testplan för Europa version 2 Dokumenthistorik Utgåva Datum Författare Kommentar 1 2008-12-16 Ulf Eriksson Ursprunglig version, utkast 2 2008-12-18
Läs merRevisionsreglemente
Revisionsreglemente Revisionens roll 1 Revisorernas uppgift är att varje år granska den verksamhet som bedrivs inom nämnders, styrelsers och fullmäktigeberedningars verksamhetsområden. De granskar och
Läs merVersion: 2.0 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.01
Tillitsdeklaration Version: 2.0 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.01 Innehåll Om detta dokument...2 Regelverkets tillämpning...2 Versionsnummer för denna Tillitsdeklaration...3
Läs merÅrlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB
AVSKRIVNINGSBESLUT 1(6) Datum Vår referens 2015-06-16 Dnr: 15-1621 Nätsäkerhetsavdelningen Karin Lodin 08-678 56 04 karin.lodin@pts.se Årlig tillsyn över incidentrapportering och inträffade incidenter
Läs mer<SYSTEM> <VERSION> INFORMATIONSSÄKERHETSDEKLARATION REALISERA (ISD-R) Inklusive 3 bilagor
ange 1(12) INFORMATIONSSÄKERHETSDEKLARATION REALISERA () Inklusive 3 bilagor ange 2(12) Innehåll 1 Basfakta... 9 1.1 Giltighet och syfte... 9 1.2 Revisionshistorik... 9 1.3 Terminologi
Läs merRevisionsrapport. Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan. Sammanfattning
Revisionsrapport Lantmäteriverket 801 82 Gävle Datum Dnr 2008-03-19 32-2007-0781 Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan Riksrevisionen har som ett led i den årliga revisionen
Läs merGRÄSTORPS KOMMUN FÖRFATTNINGSSAMLING UTSÄNDNING NR 7 AVSNITT NR 4.7 Datum Sid 1 (1-5) 2006-11-23 REGLEMENTE FÖR REVISORERNA I GRÄSTORPS KOMMUN
Datum Sid 1 (1-5) REGLEMENTE FÖR REVISORERNA I GRÄSTORPS KOMMUN Fastställt av kommunfullmäktige, 75, att gälla från 2007-01-01. Revisionens roll 1 Revisorerna och lekmannarevisorerna (revisionen) är fullmäktiges
Läs merKonsekvensutredning av förslag till föreskrift om statligt stöd till solceller
Energimyndigheten 2018-10-05 Diarienummer 2018-14133 Konsekvensutredning av förslag till föreskrift om statligt stöd till solceller 1. Uppgifter om de bemyndiganden som myndighetens beslutanderätt grundar
Läs merTillitsramverket. Detta är Inera-federationens tillitsramverk.
Tillitsramverket Detta är Inera-federationens tillitsramverk. Revisionshistoria Inledning Leverantörer av betrodd Identitetsintygsutfärdare (IdP) Attributkälla E-legitimationer Leverantörer av e-tjänster
Läs merBilaga Riktlinjer för utövande av tillsynsansvar av fristående fritidshem, daterad
TJÄNSTEUTLÅTANDE Datum 2018-04-24 Sida 1 (1) Diarienr GSN 2018/00871-6.4.3 Barn- och utbildningsförvaltningen Anna Åkerström Epost: anna.akerstrom@vasteras.se Kopia till Grundskolenämnden Riktlinjer för
Läs merRevidering av internkontrollplan för 2014
KONTORET FÖR BARN, UNGDOM OCH ARBETSMARKNAD Handläggare Datum Diarienummer Karin Carlsson 2014-01-13 UAN-2014-0035 Tuomo Niemelä Utbildnings- och arbetsmarknadsnämnden Revidering av internplan för 2014
Läs merPM efter genomförd löpande granskning
PM efter genomförd löpande granskning Föreningen Furuboda Till: Från: Styrelsen Håkan Sventorp, auktoriserad revisor Räkenskapsår: 2016-01-01 2016-12-31 Datum: 1 december 2016 Innehållsförteckning 1. Revisionens
Läs merLandstingsstyrelsens uppsikt över följsamhet till fullmäktiges reglemente för intern kontroll
Landstingsstyrelsens uppsikt över följsamhet till fullmäktiges reglemente för intern kontroll Rapport nr 19/2016 April 2017 Richard Norberg, revisionskontoret Diarienummer: REV 29:2-2016 Innehåll 1. SAMMANFATTANDE
Läs merGranskning intern kontroll
Revisionsrapport Granskning intern kontroll Kinda kommun Karin Jäderbrink Cert. kommunal revisor Innehållsförteckning 1 Sammanfattande bedömning 1 2 Bakgrund 2 2.1 Uppdrag och revisionsfråga 2 2.2 Avgränsning
Läs merRevisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018
SKATTEVERKET 171 94 SOLNA Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018 Som en del av arbetet med att granska Skatteverkets årsredovisning 2018 har
Läs merTOMELILLA KOMMUN KOMMUNAL FÖRFATTNINGSSAMLING Nr C 06:1
TOMELILLA KOMMUN KOMMUNAL FÖRFATTNINGSSAMLING Nr C 06:1 Kf 19/2006 Dnr Ks 2012/135 Dnr Ks/K 2006.10322 REVISIONSREGLEMENTE Gäller från den 1 januari 2007. Revisorernas roll 1 Revisorernas uppgift är att
Läs merGuld- och valutareservsförvaltningen
Riksbankens diarienummer 2012-132-STA PROTOKOLLSBILAGA B Fullmäktiges sammanträde 2012-10-26, 7 Guld- och valutareservsförvaltningen Fullmäktiges revisionsfunktion Anders Thunholm, KPMG 2012-10-26 Rapportering
Läs mer