SITHS RA-dag

Transkript

1

2 SITHS RA-dag

3 Agenda Hur långt har vi kommit med upphandlingen? Avropsmall Kammarkollegiet kortupphandling. Varför kan vi inte köpa vilka kort som helst? Erfarenheter från RA-personer informationsutbyte i sjukvårdsregionerna Information om årets revision Status RAPS Förändringar i funktionscertifikat Massutbyte av SITHS- kort och certifikat hur gör man?

4 Inledning!

5 Personer som arbetar med SITHS på Inera? Team SITHS Jessica Nord, Ansvarig SITHS Rolf Åström, Projekt, inför mottagande av SITHS upphandling Christoffer Johansson, Teknikansvarig, funktionscert Ulla Kihlås, Dispascher, support, testkort Therese Odmar, Domänvalidering, grovgranskning RAPS Katrine Streng, Förvaltningsstöd, revison av anslutna kunder Sandra Jarlö, Utbildning, fingranskning RAPS Ulrika Nilsson, Utvecklingsansvarig

6 SITHS Förvaltningsgrupp/ SITHS Policy Authority Kerstin Arvedson, Ordförande, Stockholms läns landsting Wlodzimiertz Bislawski, Stockholms läns landsting Fredrik Rasmusson, Västra Götalands regionen Johan Zenk, Landstinget i Östergötland Lena Lander Johansson, Landstinget i Jönköping Susanne Danielsson, Landstinget i Kalmar län Kerstin Hörstedt, Region Skåne Jessica Nord, Inera AB

7 Landsting/regioner i samverkan för e-hälsa Sveriges landsting och regioner Styrelse Presidium Beredningsgrupp Inera Programråd Förvaltningsgrupper Förvaltningsgrupper Förvaltningsgrupper Förvaltningsgrupper Projektstyrgrupper Projektstyrgrupper Projektstyrgrupper Projektstyrgrupper

8 Upphandling och Kortavrop

9 Deltagare i projektet Kent Wärme acando Kerstin Arvedson SLL Lars-Ola Bohlin Markaryd Fredrik Rasmusson VGR Malin Allard Mawell Christoffer Johansson Inera Rolf Åström Inera Marie Thorsell Affärsconcept Johan Breidemalm Affärsconcept

10 Identifieringstjänst Innehåll: Vad är ett SITHS-kort? Vad används SITHS-kort till? Varför kan man lita på SITHS-kort? SITHS konceptet idag och med kammarkollegiets avtal Upphandling/Avrop av kort Tidplan

11 Vad är ett SITHS-kort? Det är en Identifieringstjänst som kallas SITHS SITHS är en tjänstelegitimation för både fysisk och elektronisk identifiering. Ett ordinarie SITHS-kort innehåller ett personligt Telia e-leg som visar vem du är, och ett SITHS-certifikat som visar identiteten i din yrkesroll.

12 Vad används SITHS-kort till? Inloggning till datorer, olika system, e-tjänster framförallt inom vården, men också hos myndigheter. Fysisk och elektronisk ID-handling, både i tjänsten och privat. Elektronisk signering av avtal, fakturor, journalhandlingar, recept, med mera. Signering samt kryptering av e-postmeddelanden. Inpassering och utskrifter med mera.

13 Varför kan man lita på SITHS-kort? SITHS är en säker identifiering därför att: SITHS-kort med tillhörande e-legitimationer utfärdas efter SITHS regelverk. samtliga kortutfärdare följer SITHS regelverk och kontrolleras både via interna revisioner och av extern revisionsbyrå. SITHS är en WebTrust-certifierad Certificate Authority (CA), vilket innebär att SITHS CA följer ett av de globala regelverk som krävs för att man ska kunna ansöka om att bli globalt betrodd hos vissa systemleverantörer.

14 Hur projektet arbetat över tid Kravdokument Certification Authority (CA) PKI, spärrtjänster Administrationsverktyg PKI-klient Migrering Vidmakthållande/förvaltning Service desk Införande 14

15 SITHS konceptet idag: Regelverk Policy Central Förvaltning RA-organisationer Kort och certifikat

16 SITHS konceptet med kort från Kammarkollegiet Regelverk Policy Central Förvaltning RA-organisationer Kort Kort Kort Kort Kort Certifikat

17 Upphandling/Avrop av kort Den part som upphandlar eller avropar kort där avsikten är att använd det som SITHS-kort måste i sin kravspecifikation ta med krav som bygger på policy, regelverk och tekniska krav som definieras av projektet. Om något av de krav som definierats inte tas med vid upphandling/avrop kommer kortet inte att godkännas. Policy och rutiner för att beställa, producera och lämna ut SITHS-kort kommer att kontrolleras både via interna revisioner och av extern revisionsbyrå.

18 Tidplan Identifieringstjänst AKTIVITET TIDPLAN veckonummer och månadsskifte 28-apr 02-jun 30-jun 04-aug 01-sep 29-sep 03-nov 01-dec 29-dec 2015 Nr Beskrivning Kravanalys Kravanalys CA och admin funktionella krav Kvalitetssäkring av funktionella krav Icke funktionella krav Krav på migrering Samarbete kort- och CA-lev 1.2 Kravanalys; underlag för kortavrop Kvalitetssäkring underlag för kortavrop 1.3 Kravställa affärsmodell Inhämta och förstå affärsmodell Analysera affärsmodel och kravställa Upprätta Förfrågningsunderlag Kvalitetssäkring av Förfrågningsunderlag Annonsera Anbudstid (ingen aktivitet) Besvara frågor från presumtiva anbudsgivare Bjuda in anbudsgivare för frågor och svar 4 Öppna anbud Ö Prövning och utvärdering av anbud Kvalificering av anbudsgivare Ta in referenser Utvärdering av anbud Anbudsgivare presenterar sin lösning Beslut Skriva och skicka tilldelningsbeslut B 6.2 Överprövningstid (ingen aktivitet) 7 Avtal Upprätta avtal Skriva under avtal 02-feb 02-mar apr 02-jun 30-jun 04-aug 01-sep 29-sep 03-nov 01-dec 29-dec feb 02-mar

19 Tidplan Identifieringstjänst AKTIVITET TIDPLAN veckonummer och månadsskifte 28-apr 02-jun 30-jun 04-aug 01-sep 29-sep 03-nov 01-dec 29-dec 2015 Nr Beskrivning Kravanalys Samarbete kort- och CA-lev 1.2 Kravanalys; underlag för kortavrop Kvalitetssäkring underlag för kortavrop Analysera affärsmodel och kravställa Upprätta Förfrågningsunderlag Annonsera Anbudstid (ingen aktivitet) Besvara frågor från presumtiva anbudsgivare Bjuda in anbudsgivare för frågor och svar 4 Öppna anbud Ö Prövning och utvärdering av anbud Beslut Skriva och skicka tilldelningsbeslut B 6.2 Överprövningstid (ingen aktivitet) 7 Avtal 7.2 Skriva under avtal apr 02-jun 30-jun 04-aug 01-sep 29-sep 03-nov 01-dec 29-dec feb 02-mar 02-feb 02-mar

20 Frågor?

21 Fråga och bensträckare!

22 Prenumererar ni på nyhetsbrev?

23 I huvudet på en RA

24 Indelning arbetsgrupper Gruppindelning 1-6

25 Input till bikuporna I vilka konstellationer ser ni man skulle kunna samarbeta? Hur får man igång ett samarbete? Inom vilka frågor tror ni man kan samarbeta? Vilka är de största svårigheterna i ert arbete idag?

26 LUNCH

27 Redovisning

28 Revision

29 Har ni gjort internrevision i år?

30 Revision SITHS 2014

31 Revision Tidplan 31

32 Metoder Revision 2014 Enkät Ladda upp rutindokument Redogör för processer Kontrollkörningar/stickprov SITHS Aktiva kort för personer som slutat Kvittenser för utgivna kort Två besök och en telefonintervju 32

33 Områden Revision 2014 A. HSA B. Kontrollkörningar och stickprov HSA C. SITHS D. SITHS Stickprovskontroll E. Intern revision 33

34 SITHS-områden Revision 2014 Identifieringsrutiner Identifieringssätt Godkända id-handlingar Intygsgivning SITHS Kontrollkörningar/stickprovskontroller Kvittenser för alla utlämnade reservkort Kvittenser för ordinarie kort med status Utlämnat Aktiva SITHS-kort men personpost saknas i HSA 34

35 Identifiering och bedömning av brister Hög (allvarlig) ej uppfyllt regelverk eller omfattande /allvarlig gällande kvalitetssäkrings-/identifieringsrutiner Mellan delvis uppfyllt regelverk eller begränsad brist i omfattning eller allvarlighetsgrad Låg endast mindre justeringar eller kontroller Åtgärdad brist identifierad vid Ineras kontrollkörningar men åtgärdad vid besöket eller när enkäten skickades tillbaka

36 Totalt antal brister (104 st.) Fördelning per allvarlighetsgrad Hög (allvarlig) Mellan Låg 47 Åtgärdad 36

37 Totalt antal brister per organisation Fördelning per allvarlighetsgrad A B C D E F G H I J Hög (allvarlig) Mellan Låg Åtgärdad 37

38 Brister SITHS (44 st) exempel på allvarliga brister Ej godkänd RAPS (5 org.) Rutinbeskrivningar saknas (identifieringsrutin, intygsgivning, etc.) Otillåten id-handling har använts i identifieringsprocessen EU-pass Fel persons id-handling registreras i SITHS Admin vid distansutgivning av reservkort (3 org.) Fel kvittensrutin då reservkort inte har kvitterats på papper 38

39 Brister stickprovskontroll SITHS exempel på allvarliga brister Efterfrågade kortkvittenser saknas (2 org.) Samma reservkort har lämnats ut till flera olika personer i produktionsmiljö (skarp miljö) Användes i utbildningssyfte

40 Brister Intern revision (12 st) exempel på allvarliga brister Ingen intern revision har genomförts gällande SITHS de senaste 12 månaderna (4 org.) Inget dokument har laddats upp i enkäten som påvisar genomförd intern revision, kan inte styrkas att det gjorts senaste 12 månaderna Ej genomfört intern revision på korrekt sätt kan inte godkännas som gjord intern revision Bifogat dokument visade ingen kontroll av efterlevnad av rutiner 40

41 Reflektioner från årets revision Det är färre antal brister i år Vi får svar på våra frågor i större utsträckning Brister åtgärdas i snabbare takt än tidigare Anslutna organisationer och tjänster förstår vikten av revision och dess syfte 41

42 Kommande arbete Revision brister inom SITHS kvarstår Uppföljning av åtgärdsplaner: 15 november deadline för åtgärdsplaner Följs upp kvartalsvis Identifierade Prio 1-brister ska vara åtgärdade senast

43 Revision 2013 aktuell status 12 organisationer valdes ut 141 brister identifierades totalt 2 brister inom SITHS kvarstår Sista Prio 1-bristen åtgärdades 20 november

44 Revision Avslutade Samtliga identifierade brister har åtgärdats 44

45 RAPS

46 Status RAPS samt Rutiner Statistik framtagen: Totalt antal organisationer: Godkända Under granskning Grovgodkända 4 16 Hos kund för åtgärd Icke aktiva

47 Eskalerings processen Efter 3 månaders inaktivitet försöker vi kontakta organisationen via telefon under en vecka. Om ingen kontakt kan etableras skickad ett brev om eskalering ut till organisationen. Från den dagen brevet skickas har organisationen fyra veckor på sig att skicka in sina dokument. Har organisationen inte inkommit med efterfrågade dokument inom fyra veckor går ärendet vidare till högre instans för ev tvångsförvaltning.

48 Eskalerade ärenden 18 6 Eskalerade ärenden Inkommit efter eskalering

49 Hantering i Easy 1. Markera raden: 1. Lämplighet och anställning 2. Bocka i: Uppfyllt 3. Spara genom att klicka på disketten

50 Hantering i Easy 4. Markera raden: Självdeklaration för XX Organisationens namn 5. Klicka på fliken: Självdeklaration 6. Klicka på: Publicera den besvarade Självdeklarationen

51 Frågor

52 PAUS

53 Förändringar i funktionscertifikat Genomförda och kommande

54 Varför gör vi förändringarna? För att leva upp till de krav som ställs på SITHS som en betrodd CA. Kraven formuleras i huvudsak av CA/Browser Forum. En grupp bestående av stora certifikatsutfärdare och företag som utvecklar browsers och annat som använder certifikat, till exempel är Microsoft, Apple, Mozzila och Google medlemmar

55 Nu mer bara möjligt att utfärda funktionscertifikat där cn är en FQDN (fully qualified domain name) alltså ett fullständigt DNS namn eller mailadress. Exempel: Gäller både SITHS Type 2 CA v1 och SITHS Type 3 CA v1

56 Avveckling av SITHS Type 2 CA v1 det vill säga SHA Maximal giltighetstiden för certifikat som utfärdas från SITHS Type 2 CA v1 blir permanent SITHS Type 2 CA v1 stängs för utfärdande av nya certifikat Januari 2017 Nedstängning av SITHS Type 2 CA v1

57 Framtiden för P12 SITHS Type 3 CA v1 kommer med största sannolikhet inte att anpassas så att den kan ge ut P12 Det betyder att alla måste börja beställa P10 senast Börja redan nu att fundera på om alla era system kan skapa CSR Om inte måste ni skapa den möjligheten utanför systemen

58 Rapporter för byte av kort och HCC

59 Två rapporter som presenterar vilka kort som har en viss nyckellängd eller 2048 vilka HCC från SITHS CA v3 som kan bytas ut - kort som har nyckellängd 2048

60 Utbyte av kort

61 Korten presenteras här under förutsättning att kortet som har status utlämnat eller mottaget och vars giltighetstid inte har passerats de lämnats ut av den organisation som sökningen utgår från i sökkriterierna dvs Lisebergs vårdcentral

62

63 Utbyte av HCC

64 HCC presenteras här under förutsättning att kortet de ligger på har status utlämnat eller mottaget och vars giltighetstid inte har passerats de lämnats ut av den organisation som sökningen utgår från i sökkriterierna dvs Lisebergs vårdcentral HCC är utfärdade av den egna organisationen för alla ordinarie kort, även om kortet som HCC:t finns på är utlämnat av en annan organisation

65

66 I Stockholmsregionen byter vi ut ca SITHS-kort

67 Vi har möjlighet att byta ut HCC 10 organisationer/kontor ska byta fler än 800 HCC

68 Vad händer nu? Vi vet att antalet bara minskar över tiden Vi tror att mindre organisationer kommer att kunna hantera detta Vi vet inte om Hela massutbytesfunktionen kan utvecklas till en rimlig kostnad Det finns något annat alternativ för de stora organisationerna

69 Avrundning