Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Relevanta dokument
Tillitsramverk för E-identitet för offentlig sektor

Tillitsramverk. Identifieringstjänst SITHS

BILAGA 3 Tillitsramverk

BILAGA 3 Tillitsramverk Version: 2.02

BILAGA 3 Tillitsramverk Version: 1.3

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

BILAGA 3 Tillitsramverk Version: 1.2

BILAGA 3 Tillitsramverk Version: 2.1

Säkerhet och Tillit vid elektronisk identifiering. Fredrik Ljunggren

Avtal om Kundens användning av Identifieringstjänst SITHS

Avtal om Kundens användning av E-identitet för offentlig sektor

BILAGA 3 Tillitsramverk Version 0.8

Efos UtgivarForum

SITHS PA Charter. Regelverk för SITHS PA

Sambis tillitsarbete Staffan Hagnell, Internetstiftelsen

Målgrupper för Sambi ... Privata omsorgsgivare Apoteksaktörer. Kommuner. Veterinärer Landsting. Tandläkare Privata vårdgivare.

Version: Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 1.3.1

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Termer och begrepp. Identifieringstjänst SITHS

Version: 2.0 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.01

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Introduktion. September 2018

Termer och begrepp. Identifieringstjänst SITHS

ISO/IEC och Nyheter

Granskningsinstruktion och checklista för Tillitsdeklaration

Granskningsinstruktioner och checklista för Tillitsgranskare

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Tillitsdeklaration Version: 2.1 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.1

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

BILAGA 1 Definitioner

Innehåll 1(14) Granskningsdokumentation

Tillitsramverk och granskning April 2014

Bilaga 3 Säkerhet Dnr: /

Informationssäkerhetspolicy för Ånge kommun

Myndigheten för samhällsskydd och beredskaps författningssamling

EFOS-dagen, Lanseringsplan. 26 September 2018

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Tillitsramverk för Svensk e-legitimation

Strukturerat informationssäkerhetsarbete

Driftsäkerhet. Ett utbildningsmaterial för god funktion och säkerhet i stadsnäten

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Säkerhetsgranskning

Nitha IT-stöd för händelseanalys. Beskrivning och tjänstespecifika villkor

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

HSA Anslutningsavtal. HSA-policy

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Allmänna villkor för infrastrukturen Mina meddelanden

Bilaga till rektorsbeslut RÖ28, (5)

Riktlinjer för säkerhetsarbetet

Pratpunkter. Siths och Efos godkänd som Svensk e-legitimation Sambi Förtida utbyte av kort Prisbild för Efos.

Finansinspektionens författningssamling

Administrativ säkerhet

Informationssäkerhetspolicy

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Tillitsramverk ÄRENDENUMMER: Tillitsramverk. för kvalitetsmärket Svensk e-legitimation. Version digg.se 1

Rutin för intern revision

Informationssäkerhetspolicy KS/2018:260

Finansinspektionens författningssamling

Allmänna villkor för infrastrukturen Mina meddelanden

Tillitsregler för Valfrihetssystem 2018 E-legitimering

Tillitskrav för Valfrihetssystem 2017 E-legitimering

VAD ÄR KVALITET? Röntgenveckan Monica Kasevik

BILAGA 4 - Fo reskrifter fo r Sambis Federationsoperato r

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Ledningssystem för IT-tjänster

Efos i Easy. Handledning i hanteringen av Självdeklarationer för Efos

Tillitsramverk för Svensk e-legitimation. 1 (11) Ref.nr: ELN-0700-v1.2 Tillitsramverk för Svensk e-legitimation

BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1

Myndigheten för samhällsskydd och beredskaps författningssamling

skapa ett ökat mervärde uppnå ännu bättre resultat bidra positivt till människors tillvaro

Informationssäkerhetspolicy för Umeå universitet

Riktlinjer för IT-säkerhet i Halmstads kommun

Välja säkerhetsåtgärder

Bilaga Från standard till komponent

BILAGA 1 Definitioner Version: 2.01

Välkommen till enkäten!

I Central förvaltning Administrativ enhet

SÄKERHETSKULTUR. Transportstyrelsens definition och beskrivning av viktiga aspekter för god säkerhetskultur

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerhetspolicy inom Stockholms läns landsting

Internrevision för ständig

Sambi och Sambis roll Håkan Josefsson Service Manager, Apotekens Service AB

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Informationssäkerhetspolicy. Linköpings kommun

Stöd och behandling. Beskrivning och tjänstespecifika villkor

Ledningssystem för systematiskt kvalitetsarbete inom verksamheterna flykting och HVB

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Finansinspektionens författningssamling

BILAGA 1 Definitioner Version: 2.02

System för intern kontroll Spånga-Tensta Stadsdelsnämnd

Revisionsrapport. Bolagsverkets informationssäkerhet. 1. Inledning Bolagsverket SUNDSVALL.

BILAGA 1 Definitioner

HSA-policy. Version

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

BILAGA 4 - Fö reskrifter fö r Sambis Federatiönsöperatö r Versiön: 2.0.1

Sjunet standardregelverk för informationssäkerhet

Transkript:

Tillitsdeklarationen och revisionsprocessen Åsa Wikenståhl Efosdagen 2018-09-26

Agenda Intro Risk Revision LIS Tillitsdeklarationen På-platsen-revisionen Åtgärder och uppföljning Förbättringsarbetet

Tillit Att kunna lita på Att kunna lita på den elektroniska identitetens säkerhet Att en person som tilldelas en elektronisk identitet verkligen är den han eller hon utger sig för att vara

När vi är klara här i dag ska vi veta: Hur vi skapar tillit genom ett systematiskt säkerhetsarbete Vad ett LIS är och varför det aldrig blir färdigt Vad vi menar med riskhantering Vem som reviderar vem Hur man besvarar frågorna i Tillitsdeklarationen

Krav på säkerhetsarbete Efos Tillitsramverk Rutiner och processer Riskhantering Internrevision LIS Kontinuitetsplan

Krav på kontinuitetsplanering Att motverka avbrott i organisationens verksamhet och skydda kritiska rutiner från effekter av oförutsedda allvarligare avbrott eller katastrofer. Hur gör vi om Efos inte går att använda? Kontinuitetsplanering en introduktion

Tillitsramverket kapitel 3.1 Informationssäkerhet LIS Direktansluten organisation ska ha ett strukturerat säkerhetsarbete som ska omfatta: a) en process för riskhantering som kontinuerligt analyserar hot och sårbarheter i verksamheten och bedömer sannolikhet och konsekvens för (skada på) användare, utgivningsområdet och andra anslutna organisationer inom Efos. Resultatet från riskanalysen leder till säkerhetsåtgärder som ska balansera riskerna till acceptabla nivåer. Riskanalysen ska dokumenteras och kunna visas vid revision. b) ett ledningssystem för informationssäkerhet eller funktion som motsvarar detta. Nivå 4 Ledningssystem för informationssäkerhet ska vara baserat på ISO/IEC 27001. c) kontinuerligt genomförda och dokumenterade internrevisioner d) en upprättad och testad kontinuitetsplan

ELN:s krav på Inera 1. Fastställt och riskbaserat revisionsprogram 2. Formaliserad metodik för internrevision av anslutna organisationer 3. Formaliserade krav på anslutna organisationers egenkontroll och vad den skall omfatta 4. Utökad internkontroll av Ineras egen efterlevnad 5.Tydlighet kring eskalering, ledning, styrning och uppföljning Detta resulterade i

.resulterade i risk-, revisions- och förbättringsprocessen som är ett systematiskt sätt att säkra tilliten 1

Agenda Intro Risk Revision LIS Tillitsdeklarationen På-platsen-revisionen Åtgärder och uppföljning Förbättringsarbetet

Riskhantering Vid en riskanalys identifierar vi risker och bedömer vilken skada en risk kan medföra och hur stor sannolikheten är att risken blir verklighet Exempel på risker som kan förekomma Rutiner saknas Inte tillräckligt med resurser Bristande hantering av kort ID-administratörerna får inte tillräckligt med stöd för att utföra sitt jobb på ett korrekt sätt Svårt att kommunicera ut förändringar Bristande förståelse från övriga inom organisationen Resultatet från riskanalysen skall leda till säkerhetsåtgärder som balanserar riskerna Leder till.som leder till förbättringar som säkrar tilliten

Riskanalys

Genomföra riskanalys Inera.se

Agenda Intro Risk Revision LIS Tillitsdeklarationen På-platsen-revisionen Åtgärder och uppföljning Förbättringsarbetet

Revisionsprocessen 2. Tillitsdeklaration 4. Planering och åtgärder 1 1 1 1. Planering 3. På-platsenrevision 5. Uppföljning

Vad tittar vi på vid en revision Att arbetssättet säkrar tilliten vid utgivningsprocessen Rutiner och processer Och vilka förbättringar har detta bidragit till? Vilka olika revisioner och riskanalyser har genomförts? Vilka säkerhetsåtgärder har detta resulterat i? Har rutiner och processer förändrats?

Ansvar för att säkra tilliten vem reviderar vem Inera Ombud 3:e part

Revisionsprocessen - Tillitsdeklarationen 2. Tillitsdeklaration 1

Frågorna i Tillitsdeklarationen

Frågorna i Tillitsdeklarationen Bedöm i vilken utsträckning där 1=Inte alls och där 5=Fullständigt 1 2 3 4 5

Frågorna i Tillitsdeklarationen Krav: Direktansluten organisation ska ha en process för riskhantering som kontinuerligt analyserar hot och sårbarheter i verksamheten och bedömer sannolikhet och konsekvens för (skada på) användare, Utgivningsområdet och andra anslutna organisationer inom Efos. Riskanalysen ska dokumenteras och kunna visas vid revision. Vägledning: Tillitsramverket kapitel 3.1 Informationssäkerhet. Bedöm i vilken utsträckning process för riskhantering är implementerad i verksamheten (1 5) där 1 = Inte alls och 5 = Fullständigt

Säkerhet och revision Fråga 01.2 LIS Krav: Direktansluten organisation ska ha ett strukturerat säkerhetsarbete som ska omfatta ett ledningssystem för informationssäkerhet eller funktion som motsvarar detta. För LoA-Nivå 4 skall ledningssystemet för informationssäkerhet vara baserat på ISO/IEC 27001. Vägledning: Tillitsramverket kapitel 3.1 Informationssäkerhet. Bedöm i vilken utsträckning ledningssystem för informationssäkerhet (LIS) finns implementerat i verksamheten (1 5) där 1 = Inte alls och 5 = Fullständigt

Säkerhet och revision Fråga 01.3 Internrevision Krav: Direktansluten organisation ska ha ett strukturerat säkerhetsarbete som ska omfatta kontinuerligt genomförda och dokumenterade internrevisioner (minst var 13:e månad). Även utgivningsområdets tredjepartsanslutna ska omfattas av revision och under en treårsperiod ska samtliga tredjepartsanslutna ha blivit reviderade. Funna avvikelser ska resultera i en åtgärdsplan och denna ska genomföras. Internrevision och åtgärdsplan med genomförande ska dokumenteras. För detaljer kring dokumentationen se Tillitsramverket. Vid LoA-Nivå 4 skall internrevision utföras av oberoende intern kontrollfunktion. Vägledning: Tillitsramverket kapitel 3.1 Informationssäkerhet samt 3.3 Internrevision. Bedöm i vilken utsträckning process för internrevision är implementerad i verksamheten (1 5) där 1 = Inte alls och 5 = Fullständigt

Tillitsdeklarationen resulterar i ett spindeldiagram 20 - Ombud - Lokala rutiner 1 - Riskhantering 5 2 - LIS 19 - Ombud - upprätta 3:e partsavtal 4 3- Internrevision 18 - Spärr av elektroniska identitetshandlinga för funktioner 3 4 - Säkerhetsincidenter 17 - Mottagande av elektroniska identitetshandlingar för funktioner 2 1 5 - Spårbarhet 16 - Beställning av elektroniska identitetshandlingar för funktioner 0 6 - Utse ansvariga och upprätta organisation 15 - Ansökan av elektroniska identitetshandlingar för funktioner 7 - Ansvarig utgivare 14 - Spärr av elektroniska identitetshandlingasr för personer 8 - Säkerhetsansvarig 13 - Utlämning av elektroniska identetshandlingar för personer 12 - Beställning av elektroniska identitetshandlingar för personer 11 - Ansökan av elektroniska identitetshandlingar för personer 9 - Kontinuitetsplan 10 - Fysisk, administrativ och personorienterad säkerhet 1 Självdeklaration

Revisionsprocessen 1 3. På-platsen-revision

På-platsen-revisionen resulterar i en dubbelspindel 20 - Ombud - Lokala rutiner 1 - Riskhantering 5 2 - LIS 19 - Ombud - upprätta 3:e partsavtal 4 3- Internrevision 18 - Spärr av elektroniska identitetshandlinga för funktioner 3 4 - Säkerhetsincidenter 17 - Mottagande av elektroniska identitetshandlingar för funktioner 2 1 5 - Spårbarhet 16 - Beställning av elektroniska identitetshandlingar för funktioner 0 6 - Utse ansvariga och upprätta organisation 15 - Ansökan av elektroniska identitetshandlingar för funktioner 7 - Ansvarig utgivare 14 - Spärr av elektroniska identitetshandlingasr för personer 8 - Säkerhetsansvarig 13 - Utlämning av elektroniska identetshandlingar för personer 9 - Kontinuitetsplan 12 - Beställning av elektroniska identitetshandlingar 10 - Fysisk, administrativ och personorienterad för personer säkerhet 11 - Ansökan av elektroniska identitetshandlingar för personer Själv-deklaration Revisorns bedömning

Revisionsrapporten Revisorn Verksamheten Allmänt Sammanfattning Plan för korrigerande åtgärder Godkännande av planen Bedömning spindeldiagram Genomförd åtgärd / förbättring Verifiering av åtgärd/förbättring

Revisionsprocessen 4. Planering och åtgärder 5. Uppföljning 2

Agenda Intro Risk Revision Tillitsdeklarationen På-platsen-revisionen Åtgärder och uppföljning LIS Förbättringsarbetet

Ledningssystem för informationssäkerhet Efos Tillitsramverk Regelverk LIS Arbetssätt Rutiner och processer

Ledningssystem för informationssäkerhet Efos Tillitsramverk Kommer du ihåg? LIS Rutiner och processer

Ledningssystem för informationssäkerhet Efos Tillitsramverk LIS Rutiner och processer

Kontinuerlig förbättring Riskanalys Planering & åtgärd Planering & åtgärd Extern revision Intern revision Planering & åtgärd

Det kostar på med förbättringsarbete 35

I vilken omfattning är LIS implementerat 5 = Fullständigt 4 Världsklass LIS blir aldrig färdigt. bara bättre och bättre 3 2 1 = Inte alls Tid

Behövs verkligen planering av åtgärder Japp, annars riskerar vi att åtgärda fel sak Vi behöver hitta orsaken till problemet (rotorsaken) 5 Varför Exempel. Reservkortskvittenser saknas Varför? Någon vet inte att vi behöver detta Varför? Vi har inte utbildat och informerat tillräckligt Varför? Ingår inte i våra rutiner Varför? Vi ser inte över våra rutiner tillräckligt ofta Varför? 1

Nu vill jag att ni skall veta: Hur vi skapar tillit genom ett systematiskt säkerhetsarbete Vad ett LIS är och varför det aldrig blir färdigt Vad vi menar med riskhantering Vem som reviderar vem Hur man besvarar frågorna i Tillitsdeklarationen

Tack