Kommunförbundet Skåne. Ansluten organisation: Ansluten organisation org.nr: Versionsnr: Datum: SITHS Policy Authority

Transkript

1 Registration Authority Practice Statement Ansluten organisation: Kommunförbundet Skåne Ansluten organisation org.nr: Versionsnr: 0.95 Datum: snummer Sid 1(22)

2 Innehållsförtäckning 1. Inledning Översikt Identifiering SITHS policystruktur Tillämplighet för RAPS Kontaktuppgifter Nyckelinnehavare och certifikatstyper Allmänna villkor Förpliktelser och åtaganden Ansvar Revision Konfidentialitet Rutiner för identifiering HCC Person HCC Funktion Rutiner för certifikatshantering Beslut om tilldelning av HCC Beställning av HCC Spärr av HCC Arkivering Avbrottshantering och avveckling Fysisk och personalorienterad säkerhet Fysisk säkerhet Personalorienterad säkerhet Teknikorienterad säkerhet Utlämnande av privat nyckel Skydd av privat nyckel Arkivering av privata nycklar Processer för intern revision Förkortningar Bilagor Bilaga 1. Rutiner vid missbruk av certifikat Bilaga 2. Plan för genomförande av intern revision Bilaga 3. Personkontroller av ORA/CRA/LRA Bilaga 4. Rutin för arkivering av privata nycklar Bilaga 5. Lista på organisationer som omfattas av denna RAPS Bilaga 6. Bemanning av roller för denna RAPS Bilaga 7. Rutiner för kort- och certifikatutgivning snummer Sid 2(22)

3 Revisionshistorik Version Datum Status Första utkast till Inera Reviderad efter första granskning Komplettering Revidering bilaga Kompletterad enligt granskningsrapport Kompletteringar enligt granskningsrapport Kompletteringar enligt granskningsrapport Fyra kommuner tillagda, Båstad, Helsingborg, Malmö och Ängelholm Komplettering av kommunnamn tillagda enligt ver Ändrade kontaktuppgifter för RA och Säkerhetsansvarig i bilaga 6. Uppdaterad beskrivning av internrevision i bilaga 2 och 3. Läsanvisningar Dokumentets logotype samt sidfot anpassas till er organisation. Markerade textfält ska ersättas/ kompletteras av ansluten kund vid upprättande av denna RAPS. Omarkerad text är obligatoriskt innehåll och får ej ändras. Klicka på knappen "Kontrollera" sist i dokumentet för att kontrollera ifyllnad av obligatoriska fält. Spara RAPS:en med följande namn: RAPS_organisationsnamn_HSA-id_version_xx. RAPS:en ska laddas upp som.pdf i Easy. snummer Sid 3(22)

4 1 Inledning 1.1 Översikt Detta dokument är Registration Authority Practice Statement (RAPS) för vår organisation. Den beskriver hur organisationen uppfyller de krav som anges i SITHS Certificate Authority (SITHS CA) Registration Authority Policy (RAP) inklusive förutsättningar, ansvar, procedurer och rutiner som tillämpas vid beställning och spärr av HCC inom organisationen. Målgrupp för dokumentet är (PA) samt Registration Authority (RA) och verksamhetsansvariga inom vår organisation Underbilagor Underbilagor som följer med denna RAPS finns i slutet av dokumentet, se innehållsförteckningen. 1.2 Identifiering De rutiner och åtaganden som följer av denna RAPS är endast tillämpliga i samband med sådana certifikat där nedanstående policy åberopas. Policynamn för SITHS Certifikatpolicy är: {SE-SITHS-CP-1} Objektidentifierare (OID) för SITHS CP är: { } De rutiner och åtaganden som finns i denna RAPS är tillämpliga i samband med certifikat där nedanstående RA-policy gäller. RA-policynamn: {SE-SITHS-RAP-1} Objektidentifierare(OID): { } Namn på denna RAPS är: Objektidentifierare (OID) för denna RAPS är: {SE-SITHS-RAPS-Kommunförbundet Skåne-} {TILLDELAS AV SITHS PA} 1.3 SITHS policystruktur SITHS policystruktur visas nedan. Överst i hierarkin befinner sig som äger, definierar och förvaltar policys och riktlinjer som berörda parter ska agera efter. snummer Sid 4(22)

5 Certification Authorities, CA, agerar underställt SITHS Certifikatpolicy, CP, och agerar utfärdare av HCC. Varje CA ska vara associerad med en Certification Practice Statement, CPS, som är godkänd av, SITHS PA. Registration Authorities, RA, autentiserar, kontrollerar och bestyrker livscykeloperationer för HCC. Varje RAPS ska vara associerad med en RA som båda är godkända av SITHS PA. 1.4 Tillämplighet för RAPS Denna RAPS tillämplighet bestäms av gällande och dess regler Certification Authority (CA) Inom ramarna för denna RAPS är följande CA tillämpliga: SITHS Root CA v1 SITHS Type 1 Issuing CA v1 SITHS Type 2 Issuing CA v1 SITHS Type 3 Issuing CA v1 SITHS CA v3 (t.o.m ) Registration Authority (RA) Vår organisation tecknar avtal med Inera AB om rätt att utfärda HCC. I och med avtalet åtar sig vår organisation att utse en RA samt upprätta en organisation för beställning, hantering och återkallande av HCC. Verksamhetsansvarig för vår organisation upprättar och bemannar RA och meddelar detta till SITHS PA. Förändringar av RA meddelas direkt till SITHS PA via en uppdaterad RAPS. Vår organisation upprättar en supportorganisation. snummer Sid 5(22)

6 1.4.3 RA - Åtagande och organisationens roller RA har det övergripande ansvaret för att upprätta RA-organisationen. RA ansvarar för att organisationen följer regler och rutiner om utfärdande, administration och revokering av kort och certifikat. RA utfärdar HCC till nyckelinnehavare, NI, som kan vara personer och funktioner. Kort och HCC för personer kan tilldelas anställda inom vår organisation eller till personer som utför uppdrag åt vår organisation. En RA-organisation ska ha en Säkerhetsansvarig som ansvarar för att utvärdera verksamhetens efterlevnad av utgivningsprocesser av SITHS kort och certifikat. Uppdraget innebär planering av säkerhetsrevisioner, m.m. Denna roll får inte kombineras med annan roll inom RA-organisationen. En RA-organisation kan efter behov bestå av: Registration Authority, ORA. Card Registration Authority, CRA Local Registration Authority, LRA Registeransvarig Varje RA ansvarar för att personkontroller utförs på alla personer som ingår i RA-organisationen. Rutinerna för kontrollerna och vilka kontroller RA väljer att göra ska beskrivas i bilaga 3 och ska godkännas av SITHS PA. 1.5 Kontaktuppgifter Frågor angående denna RAPS adresseras till: RA-funktionen Adress: Epost: 1.6 Nyckelinnehavare och certifikatstyper Nyckelinnehavare och certifikatstyper definieras av SITHS gällande certifikatpolicy, SITHS CP, SITHS Certificate Policy. snummer Sid 6(22)

7 2 Allmänna villkor 2.1 Förpliktelser och åtaganden Vår organisation SITHS-PA Vår organisation ansvarar för att utse RA. Då RA slutar sitt uppdrag meddelar vår organisation detta till SITHS PA omgående. Behörigheter för RA tas då bort och delas ut till efterträdare. Vår organisation förbinder sig att använda SITHS RA-system, SITHS Admin, för all hantering av certifikat, roller och konfiguration Vår organisation RA - säkerhetsansvarig Vår organisation genom RA ansvarar för att utse en säkerhetsansvarig. Denne ansvarar för att utvärdera verksamhetens efterlevnad av utgivningsprocesser av SITHS kort och certifikat. Uppdraget innebär bla planering av säkerhetsrevisioner RA SITHS-PA RA har det övergripande ansvaret för vår RA-organisation. RA ansvarar för att vår RA-organisation upprättas och bemannas. RA ansvarar för att vår RA-organisation, inklusive annan uppdragstagare som eventuellt ingår, följer Certifikatpolicy, RA-policy och denna RAPS. RA ansvarar för att RAPS tas fram samt uppdateras vid förändringar i Certifikatpolicy, RA-policy och/eller i den egna organisationen. Enligt bestämmelser reglerade i SITHS Registration Authority Policy, SITHS RAP kan RA utse andra roller inom vår RA-organisation och tilldela åtkomsträttigheter i SITHS Admin. RA ansvarar också för att en supportorganisation finns. RA ansvarar för att organisationen följer regler och rutiner om utfärdande, administration och revokering av kort och certifikat. RA kan utfärda HCC till NI, som kan vara personer eller funktioner. HCC för personer kan tilldelas anställda inom vår organisation eller till personer som utför uppdrag åt vår organisation. RA ansvarar för att ta fram och dokumentera ett regelverk för vilka som är behöriga beställare inom vår organisation RA ORA RA utser, i samråd med respektive verksamhetsansvarig, ORA, och ansvarar för att dessa personer utbildas i gällande rutiner. ORA delegeras, inom sitt ORA-område, delar av RA:s ansvar, rättigheter och skyldigheter. ORA har rapporteringsskyldighet till RA. Då en ORA slutar sitt uppdrag meddelar verksamhetsansvarig inom ORA-området omgående detta till RA och behörigheter för ORA tas bort RA/ORA CRA RA eller ORA utser, i samråd med respektive verksamhetsansvarig, CRA och ansvarar för att dessa personer utbildas i gällande rutiner. CRA ansvarar, inom sitt CRA-område, för att denna RAPS tillämpas. Då en CRA slutar sitt uppdrag meddelar verksamhetsansvarig inom CRA-området detta till RA/ORA. RA/ORA tar bort behörigheter för CRA RA/ORA LRA RA eller ORA utser i samråd med respektive verksamhetsansvarig, LRA, och ansvarar för att dessa personer utbildas i gällande rutiner. LRA ansvarar, inom sitt LRA-område, för att denna RAPS tillämpas. Då en LRA slutar sitt uppdrag meddelar verksamhetsansvarig inom LRA-området detta till RA/ORA och behörigheter för LRA tas bort. snummer Sid 7(22)

8 2.1.7 CRA/LRA NI CRA/LRA ansvarar för att beställa HCC och för att begära spärr av HCC enligt denna RAPS. CRA/ LRA ansvarar för att relevant information, bland annat rutiner vid spärr och felanmälan, ges till NI. Då en förändring sker, som påverkar certifikatsinnehållet, eller då NI slutar sitt uppdrag, ansvarar NI: s verksamhetsansvarig för att CRA/LRA meddelas snarast så att HCC kan spärras och eventuellt nytt HCC kan utfärdas. Om NI inte har kontroll över nyckelbärare (exempelvis smart card eller PKCS#12-objekt) eller tillhörande koder, kontaktas CRA/LRA RA/ORA behörig beställare RA/ORA ansvarar för att beställa HCC Funktion och för att begära spärr av dessa HCC enligt denna RAPS. RA/ORA ansvarar för att relevant information, bl a rutiner vid spärr och felanmälan, ges till den behöriga beställaren. Då en förändring sker, som påverkar certifikatsinnehållet, ansvarar den behöriga beställaren för att RA/ORA meddelas snarast så att HCC kan spärras och eventuellt nytt HCC kan utfärdas Missbruk av certifikat Om missbruk av certifikat upptäcks ska detta hanteras i enlighet med bilaga Ansvar RA-organisationens ansvar Vår organisation ansvarar för: att SITHS Certifikatpolicy efterlevs att SITHS RA-policy efterlevs att revision av utfärdande av HCC görs genom kontroll och uppföljning minst en gång per år att följande handlingar arkiveras: godkänd RAPS, manuella kvittenser rörande utfärdande av HCC 2.3 Revision SITHS PA har rätt att revidera vår RA-organisation. Vår organisation genomför årligen intern revision för att tillse att denna RAPS och motsvarande RApolicy efterlevs. Plan för genomförande av intern revision beskrivs i bilaga Konfidentialitet Frågor om konfidentialitet beträffande uppgifter om den personal för vilka certifikat utfärdas regleras av Certifikatpolicy och Registration Authority policy. snummer Sid 8(22)

9 3 Rutiner för identifiering 3.1 HCC Person Identifiering vid beställning och utlämning av HCC Person på kort utan foto Vid beställning av HCC Person på SITHS-kort utan foto krävs inte personlig närvaro av NI.Vid utlämning identifierar NI sig enligt ett av följande alternativ: 1. Personlig närvaro med giltig legitimation (enligt aktuell version av SBC-151 och övriga av SITHS PA godkända id-handlingar). 2. Intygsgivning: En känd person inom organisationen närvarar personligen, legitimerar sig med giltig legitimation och går skriftligen i god för NI:s identitet. xra dokumenterar NI:s identifieringssätt Identifiering vid beställning och utlämning av HCC Person på kort med foto Vid beställning och utlämning av HCC Person på SITHS-kort med foto krävs personlig närvaro av NI. NI identifierar sig enligt ett av följande alternativ: 1. Personlig närvaro av NI med giltig legitimation (enligt aktuell version av SBC-151 och övriga av SITHS PA godkända id-handlingar) 2. Intygsgivning: En känd person inom organisationen närvarar personligen, legitimerar sig med giltig legitimation och går skriftligen i god för NI:s identitet Identifiering vid beställning av HCC Person till befintligt kort Vid beställning av HCC Person till befintligt SITHS-kort krävs inte personlig närvaro av NI. Den elektroniska ID-handlingen på befintligt kort används vid nedladdning av HCC Identifiering vid beställning och utlämning av HCC Person till reservkort NI identifierar sig enligt ett av följande alternativ: 1. Personlig närvaro av NI med giltig legitimation 2. Intygsgivning: En känd person inom organisationen näšrvarar personligen, legitimerar sig med giltig legitimation och går skriftligen i god för NI:s identitet. 3. xra har personlig kännedom om NI och går i god för NI:s identitet 4. Vid utfärdande av HCC till reservkort på distans ska någon av de av SITHS PA godkända rutinerna, som är publicerade på SITHS webbsida, användas för att säkra identifiering av NI. xra dokumenterar NI:s identifieringssätt Identifiering vid spärr av HCC Person Då xra via CA begär spärr av HCC Person identifierar sig xra elektroniskt med hjälp av sitt HCC mot aktuell SITHS CA. Då NI eller verksamhetsansvarig begär spärr, via xra, av ett certifikat görs ingen identitetskontroll. snummer Sid 9(22)

10 3.2 HCC Funktion Identifiering vid beställning av HCC Funktion Vid utfärdande av HCC Funktion sker identifiering av behörig beställare enligt vår organisations gällande regelverk Registrering av domännamn knutna till HCC Funktion Domännamn knutna till HCC Funktion ska registreras av RA hos SITHS PA. Vid denna registrering ska bevis på ägarskap av aktuell domän uppvisas, alternativt en fullmakt från domänägaren som gäller rätten att nyttja den aktuella domänen. Domännamn knyts till ett specifikt RA-område och godkänns av SITHS PA Identifiering vid spärr av HCC Funktion Vid spärr av HCC Funktion sker identifiering enligt Identifiering vid spärr av HCC Person. snummer Sid 10(22)

11 4 Rutiner för certifikatshantering 4.1 Beslut om tilldelning av HCC Verksamhetsansvariga beslutar om tilldelning av HCC inom sitt ansvarsområde. 4.2 Beställning av HCC HCC Person till nytt kort 1. NI:s verksamhetsansvarige beställer ett kort/hcc via sin CRA. CRA förvissar sig om att NI har uppdrag inom det egna ansvarsområdet samt att uppgifterna som ska ingå i HCC Person är korrekta. 2. CRA gör en beställning av HCC-underlag i SITHS Admin. 3. Personen identifieras enligt och identifieringssättet anges när så krävs. 4. Beställningen av underlaget för HCC till nytt kort utförs och signeras av CRA. 5. Kortet levereras till organisationens kontor. 6. Personen hämtar sitt kort hos CRA. 7. Personen identifieras enligt och identifieringssättet anges i SITHS Admin. Mottagandet av kortet kvitteras enligt 6.1 Utlämnande av privat nyckel HCC Person till befintligt kort 1. NI kontaktar sin xra som förvissar sig om att NI har uppdrag inom det egna xra-området samt att uppgifterna som ska ingå i HCC är korrekta. samt att uppgifterna som ska ingå i HCC är korrekta. 2. xra gör en beställning av HCC-underlag i SITHS Admin. Giltighetstiden bestäms av anställningens slut eller maximalt till primärcertifikatets giltighetstid. 3. Beställningen av HCC Person signeras av xra och därefter kan NI hämta sitt HCC Person i SITHS Självadministration. 4. Personen bedöms som identifierad genom sitt befintliga primärcertifikat enligt HCC Person till reservkort 1. NI:s verksamhetsansvarige eller NI kontaktar sin xra som förvissar sig om att NI har uppdrag inom det egna xra-området samt att uppgifterna som ska ingå i HCC är korrekta. 2. xra gör en beställning och signerar HCC-underlaget i SITHS Admin. Giltighetstiden för HCC Person på reservkort ska sättas utifrån behov i varje enskilt fall. 3. Personen identifierar sig enligt och identifieringssättet anges i SITHS Admin. 4. NI hämtar sitt HCC Person i SITHS Självadministration. Mottagandet av kortet kvitteras enligt 6.1 Utlämnande av privat nyckel HCC Funktion (PKCS#12) 1. Behörig beställare gör en beställning till RA/ORA. 2. Personen identifieras enligt RA/ORA kontrollerar att beställaren är behörig beställare av HCC Funktion samt att behörig beställare och aktuell organisation/funktion finns upplagd i HSA på rätt nivå och med rätt uppgifter. 4. RA/ORA beställer HCC Funktion och anger NI som mottagare. NI måste ha ett giltigt HCC Person, vilket fungerar som elektronisk id-handling och kommer att användas vid signering och kryptering vid försändelser via S/MIME krypterad e-post. snummer Sid 11(22)

12 5. CA genererar HCC och nyckelpar. CA skickar lösenord för PKCS#12 objekten och pinkoder via krypterat e-post till NI:s e-postadress. 6. RA/ORA sparar ner PKCS#12-objekten. 7. NI kvitterar PKCS#12-objekt via aktuell RA/ORA. 8. RA/ORA arkiverar kvittens och levererar därefter PKCS#12-objekten i enlighet med SITHS CP. 9. NI agerar i enlighet med SITHS certifikatpolicy gällande acceptans/nekande av certifikat HCC Funktion (PKCS#10) 1. Behörig beställare gör en beställning till RA/ORA. 2. Personen identifieras enligt RA/ORA kontrollerar att beställaren är behörig beställare av HCC Funktion samt att behörig beställare och aktuell funktion finns upplagd i HSA på rätt nivå och med rätt uppgifter. 4. Mottagaren överlämnar certifikatsbegäran (CSR) till RA/ORA på ett säkert sätt. 5. RA/ORA beställer HCC Funktion med hjälp av CSR och anger NI som mottagare. 6. CA genererar HCC. RA/ORA sparar ner PKCS#10-objektet med HCC på en fil. 7. NI kvitterar PKCS#10-objekt via aktuell RA/ORA. 8. RA/ORA arkiverar kvittens och levererar därefter PKCS#10-oobjekten i enlighet med SITHS CP. 9. NI agerar i enlighet med SITHS certifikatpolicy gällande acceptans/nekande av certifikat. 4.3 Spärr av HCC Godkända anledningar till att begära spärr av HCC HCC spärras om något av följande har inträffat: Förhållanden som påverkar certifikatsinnehållet har ändrats Någon uppgift i HCC är eller misstänks vara felaktig NI har tappat kontrollen över kortet eller koderna NI:s e-legitimation har blivit spärrad NI:s e-legitimation inte är tillgängligt för NI (kortförlust) Den privata nyckeln har röjts SITHS-reservkort återlämnas När HCC Funktion inte längre används Undantag Om NI inte har tillgång till sitt kort men har kontroll och säger sig komma att få tillgång till detta igen. NI garanterar att ingen obehörig kan använda de på kortet lagrade privata nycklarna, kan NI välja att inte begära spärr av HCC Spärrbegäran Följande roller kan begära spärr av HCC: NI kan av xra begära spärr av eget HCC Verksamhetsansvarig kan av xra begära spärr av HCC inom den egna organisationen Behörig beställare kan av RA/ORA begära spärr av det HCC Funktion som beställaren ansvarar för. xra kan begära spärr av HCC inom det egna ansvarsområdet snummer Sid 12(22)

13 4.3.4 Spärr Följande roller kan utföra spärr av HCC i SITHS Admin eller direkt i SITHS Självadministration: RA kan spärra HCC i SITHS Admin inom eget RA-område ORA kan spärra HCC i SITHS Admin inom eget ORA-område CRA kan spärra HCC Person i SITHS Admin inom eget CRA-område LRA kan spärra HCC Person i SITHS Admin inom eget LRA-område NI kan själv spärra sitt HCC via SITHS Självadministration 4.4 Arkivering RA RA ansvarar för att följande arkiveras: RA-organisationens godkända RAPS I SITHS Admin finns RA-organisationens förteckning av utsedda xra personer och ställföreträdande samt deras områden, inklusive historik. I de fall xra inte finns i SITHS Admin ska en förteckning finnas. RA-organisationens förteckning över avtal med andra ingående organisationer. Detta ska också dokumenteras i denna RAPS bilaga 5 Kvittenser för utfärdande av HCC som får papperskvittens. Elektroniska kvittenser arkiveras i SITHS Admin Identitet på behörig beställare och datum för utlämnandet av HCC Fullmakter för nyttjande av domäner utanför det egna RA-området ORA ORA ansvarar för att följande arkiveras: I SITHS Admin finns utsedda CRA och LRA personer och ställföreträdande samt deras områden, inklusive historik. I de fall xra inte finns i SITHS Admin ska en förteckning finnas. Kvittenser för utfärdande av HCC som får papperskvittens. Elektroniska kvittenser arkiveras i SITHS Admin. Identitet på behörig beställare och datum för utlämnandet av HCC Fullmakter för nyttjande av domäner utanför det egna RA-området CRA/LRA CRA/LRA ansvarar för att följande inom CRA/LRA-området arkiveras: I SITHS Admin arkiveras alla uppgifter om kortbeställningar och kortkvittenser, utlämnade kort, återlämnade kort, utlämnade och återlämnade reservkort, utlämnade HCC, spärrade HCC Kvittenser för utfärdande av HCC som får papperskvittens. Elektroniska kvittenser arkiveras i SITHS Admin. 4.5 Avbrottshantering och avveckling Rutiner för avbrottshantering I händelse av att man inte kan lita på SITHS CA, ge ut HCC eller komma åt spärrlistor för HCC följs en kontinuitetsplan med rutiner för avbrottshantering. Kontinuitetsplan med rutiner för avbrottshantering för vår organisation ska etableras i enlighet med SITHS Certifikatpolicy samt SITHS RA-policy. snummer Sid 13(22)

14 4.5.2 Avveckling av RA-organisation Vid avveckling av RA-organisation åligger det vår organisation att avveckla RA-organisationen i samverkan med HSA och enligt följande procedur: Informera alla NI och alla parter som vår organisation har avtal eller överenskommelser med Spärra alla HCC som är utfärdade av den egna RA-organisationen Avsluta avtal och behörigheter för RA-organisationen Tillse att alla arkiv och loggar bevaras enligt gällande anvisningar inom vår organisation snummer Sid 14(22)

15 5 Fysisk och personalorienterad säkerhet 5.1 Fysisk säkerhet Vid utlämnande av nycklar och koder beaktas den fysiska säkerheten enligt riktlinjerna i SITHS Certifikatpolicy. xra-arbetsplatsen ska finnas i låsbart utrymme med låsbara skåp för förvaring av arkivmaterial enligt gällande certifikatpolicy. Pin- och pukkoder samt SITHS-kort förvaras så att inte obehöriga får tillgång till dessa. NI uppmanas att förvara koder och kort på fysiskt åtskilda ställen. Arkivmaterial och reservkort med pin- och pukkoder samt kort som inte lämnats ut förvaras inlåst i skåp. 5.2 Personalorienterad säkerhet xra-personer utses enligt avsnitt 2.1 Förpliktelser och åtaganden. Dessa personer har inte annat uppdrag som kan bedömas stå i konflikt med uppdraget samt att de kan anses dugliga och ej innebära riskfaktorer i uppdraget. Alla xra-personer har genomgått utbildning för att fullgöra sina arbetsuppgifter på ett säkert sätt. Utbildning och uppföljning av utbildning av xra-personer genomförs regelbundet inom RAorganisationen. snummer Sid 15(22)

16 6 Teknikorienterad säkerhet 6.1 Utlämnande av privat nyckel Utlämnande av privat nyckel vid utlämnande av kort Nycklar och koder arkiveras ej i systemet. Pin_ och pukkodsbrev sänds med post till NI:s folkbokföringsadress (eller angiven adress för NI utan svensk folkbokföringsadress eller personer med samordningsnummer). Mottagande av nycklar kvitteras elektroniskt av NI. xra ska informera NI om att denne ska förvara pin- och pukkodsbrevet som en värdehandling Utlämnande av privat nyckel vid utlämnande av reservkort Nycklar och koder utlämnas av xra till NI sedan denne identifierat sig, se kapitel 3. Mottagande av nycklar och koder kvitteras av NI. Papperskvittens ska sparas enligt gällande RA-policy. xra ska informera NI om att denne ska förvara pin- och pukkodsbrevet som en värdehandling Utlämnande av privat nyckel eller kod i samband med utfärdande av HCC Funktion PKCS#12 Koden skickas till NI direkt från CA. Nycklar lämnas ut av RA/ORA till NI, sedan denne identifierat sig, se kapitel 3. Mottagande av nycklar kvitteras av NI. Papperskvittens ska sparas enligt gällande RA-policy. NI ska förvara nycklar och koder på fysiskt åtskilda platser Utlämnande av HCC Funktion PKCS#10 HCC Funktion lämnas ut av RA/ORA till NI, sedan denne identifierat sig, se kapitel 3. Mottagandet kvitteras av NI. Papperskvittens ska sparas enligt gällande RA-policy. 6.2 Skydd av privat nyckel För privata nycklar tillhörande HCC Funktion gäller att de förvaras och distribueras på ett säkert och skyddat sätt så att de inte faller i orätta händer samt att de inte i något fall exponeras eller brukas på otillbörligt sätt, innan de nått rätt mottagare. 6.3 Arkivering av privata nycklar Inga privata nycklar tillhörande HCC Person arkiveras inom RA-organisationen. Privata nycklar tillhörande HCC Funktion får endast arkiveras för backup ändamål. Om sådan lagras ska den göras enligt rutin i bilaga Processer för intern revision ens processer för intern revision ska beskrivas i bilaga 2. Som underlag kan bland annat logganalys användas. Intern revision ska göras minst en gång per år av oberoende part. snummer Sid 16(22)

17 Förkortningar CA Certificate Authority CPS Certification Practice Statement CRA Card Registration Authority CSR Certificate Signing Request HCC Healthcare Certificate LRA Local Registration Authority NI Nyckelinnehavare OID Object Identifier ORA Registration Authority PKCS Public Key Cryptography Standards RA Registration Authority RAP Registration Authority Policy RAPS Registration Authority Practice Statement xra Samlingsnamn för RA, ORA, CRA och LRA snummer Sid 17(22)

18 Bilagor Vid respektive bilaga fyller ni i information som är anpassad efter er organisations hantering av SITHS. Fälten i respektive bilaga är expanderbara. Bilaga 1 Rutiner vid missbruk av certifikat Vid misstanke om missbruk av certifikat skall verksamhetsansvarig och säkerhetsansvarig tillsammans med RA utreda missbrukets omfattning, informera berörd personal om aktuell händelse samt vilka åtgärder som vidtagits för att förhindra missbruket, till exempel genom att begära spärr av aktuella certifikat och/eller behörigheter i CA-systemet. Avvikelserapport skall skrivas enligt organisationens lokala rutin. Rapporterna arkiveras hos RA och kopia skickas till berörd verksamhetschef. I allvarliga fall av missbruk av certifikat skall SITHS CA underrättas av RA funktionen. Bilaga 2 Plan för genomförande av intern revision Kommunförbundet Skåne genomför löpande intern revision i de tredjepartsanslutna kommunerna för att tillse att administration, rutiner och hantering av etjänstekort, e-tjänstelegitimationer och reservkort sker enligt regler och riktlinjer för HSA och SITHS, CA-policy, RA-policy och RAPS. Intern revision initieras av säkerhetsansvarig och planeras tillsammans med RA. Elva kommuner revideras varje år. Revision kommer att genomföras för slumpmässigt utvalda kommuner samt vid behov riktat. Internrevisionen genomförs med hjälp av enkät och utdrag/stickprov ur SITHS admin. Telefonintervjuer för kompletteringar och fördjupad revision och eventuellt fysiskt besök planeras in efter analys och kvalitetsgranskning av enkäter och stickprov. Revisionen dokumenteras och rapporterars till säkerhetsansvarig och RA efter genomförd revision. Resultatet av internrevisionen kommer att följas upp och delges Skånes samtliga kommuner i nätverket för XRA personer som träffas två gånger om året, vår och höst. Vid upptäckt av brister i det manuella arbetet kommer åtgärder att vidtas för att korrigera dessa, till exempel genom utökad utbildning av XRA personer, förändring av rutiner eller utbyte av XRA personer som missköter uppdraget. Bilaga 3 Personkontroller av personal i RA-organisationen För att ha ett utgångsläge i samband med tecknande av eget avtal för Kommunförbundet Skåne gällande HSA och SITHS skickades ut en blankett till samtliga kommuner i Skåne. Ansvarig verksamhetschef för XRA i respektive kommun dokumenterade samtliga aktuella administratörer/handläggare på blanketten och intygade med sin underskrift att dessa personer har uppgiften. Samtliga kommuner har lämnat in ifylld blankett och ett scannat exemplar har arkiverats hos Kommunförbundet Skåne. I den fortsatta processen ska ansvarig verksamhetschef intyga via blankett att ny utsedd XRA har en personlig lämplighet samt anställning i organisationen. Denna blankett ska även användas när XRA inom organisationen ska avsluta sitt uppdrag. Scannade exemplar arkiveras hos Kommunförbundet Skåne. RA funktionen i Kommunförbundet Skåne kommer regelbundet att träffa XRA personer i kommunerna i Skåne i nätverksträffar två gånger om året. snummer Sid 18(22)

19 Bilaga 4 Rutin för arkivering av privata nycklar Inga privata nycklar sparas avseende personcertifikat. För närvarande utges inga funktionscertifikat. snummer Sid 19(22)

20 Bilaga 5 Lista på snamn som omfattas av denna RAPS Inklusive egen organisation. Bjuvs kommun Bromölla kommun Burlövs kommun Eslövs kommun Hässleholms kommun Höganäs kommun Hörby kommun Höörs kommun Klippans kommun Kristianstads kommun Kävlinge kommun Landskrona stad Lomma kommun Lunds kommun Osby kommun Perstorps kommun Simrishamns kommun Sjöbo kommun Skurups kommun Staffanstorps kommun snummer Sid 20(22)

21 Svalövs kommun Svedala kommun Tomelilla kommun Trelleborgs kommun Vellinge kommun Ystads kommun Åstorps kommun Örkelljunga kommun Östra Göinge kommun Kommunförbundet Skåne Båstads kommun Helsingborgs stad Malmö stad Ängelholms kommun Bilaga 6 Bemanning av roller för denna RAPS Roll Namn HSA-id E-post Mobilnummer/telefon Säkerhetsansvarig Niclas Bendroth Clausenborg SE K00197D niclas.b. clausenborg@kfsk. se RA Thomas Wester SE K00040E thomas. wester@kfsk.se Bilaga 7 Rutiner för kort- och certifikatutgivning Behöver bara lämnas in vid första ansökan och på begäran av SITHS PA. Rutiner ska vara beskrivna och finnas som internt dokument som ska hållas uppdaterat och vara tillgängligt vid revision. Dokumentera i ett separat dokument en beskrivning av hur er organisation hanterar rutiner kring SITHS. Detta ska namnges enligt följande: Rutiner_organisationsnamn_HSA-id_version_xx och sedan laddas upp i Easy. Nedan listas förslag på rubriker och innehåll: Förutsättning och organisation för utgivning av SITHS Utgivningsprocess för SITHS snummer Sid 21(22)

22 Beställningsuppdrag Beställningsunderlag Genomför beställning Lämna ut kort Avregistrering/spärr av kort/certifikat Arkivering Specialrutiner för skyddade personer, samordningsnummer, personer utan folkbokföringsadress, utländska personer Identifieringsprocessen Reservkortshantering Information till kortmottagaren Utgivningsprocess för funktionscertifikat Kontrollera dokumentet snummer Sid 22(22)