Ansvarsförbindelse etjänstekort



Relevanta dokument
Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK)

Tjänsteavtal etjänstekort

Tjänsteavtal etjänstekort

Certifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)

Anslutning av Elektronisk Katalog EK/HSA, införande etjänstekort et/siths

Utbildningsinnehåll. Introduktion E-tjänstekort. Kortkrav. Korttyper. Rutiner

etjänstekortsmodellen

Rutiner för etjänstekort

Termer och begrepp. Identifieringstjänst SITHS

Termer och begrepp. Identifieringstjänst SITHS

Helen Sigfast Tomas Ahl Thomas Näsberg Sjukvårdsrådgivningen.

Rutiner för SITHS kort

Landstingsstyrelsens förslag till beslut

Information för användare av e-tjänstekort och HSA-ID

Regler vid verksamhetsövergång och ägarbyte

Rutin för administrering av KOMKAT och SITHS kort

Avtal avseende förvaltning av gemensamma infrastrukturtjänster för ehälsa HSA/SITHS

etjänstekort - SITHS-kort därför att vi behöver tillgodose patienternas behov! Sören Lindblom Johanna Dahlkvist Åse Boman

Ditt nya smarta etjänstekort!

En övergripande bild av SITHS

Manual Beställning av certifikat (HCC) till reservkort

Rutiner för SITHS kort

Revisionsfrågor HSA och SITHS 2015

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Utfärdande av SITHS-kort. Utbyte av kort som inte klarar av SITHS CA v1 certifikat

Bilaga 1.2 Kortspecifikationer. 459 SIS-kort BILAGA 1.2 KORTSPECIFIKATIONER

SITHS på egna och andra organisationers kort. Hur SITHS kort-information uppdateras i HSA

Kontaktchip - annat innehåll och nya kortprofiler för integration

Utfärdande av HCC. Utbyte av SITHS CA v3 på kort som kan hantera SITHS CA v1

RUTINER E-TJÄNSTEKORT

Kontroll av e-tjänstekort och tillhörande PIN-koder

Bilaga 1.2 Kortspecifikationer. 459 SIS-kort BILAGA 1.2 KORTSPECIFIKATIONER

Revisionsfrågor HSA och SITHS 2014

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare

Telias policy för utfärdande av företagskort med e-legitimation

Administration av SITHS-kort inom Norrbottens läns landsting

Rutin för utgivning av funktionscertifikat

Detta är en sammanfattande information och checklista över vad införandet av E- identitet för offentlig sektor, Efos, innebär.

Tillitsramverk. Identifieringstjänst SITHS

SITHS information Thomas Näsberg Sjukvårdsrådgivningen

Checklista. För åtkomst till Svevac

EFOS-dagen, Lanseringsplan. 26 September 2018

Tillitsregler för Valfrihetssystem 2018 E-legitimering

Krav på säker autentisering över öppna nät

eid Support Version

Koncernkontoret Koncernstab HR

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun

Revisionsfrågor HSA och SITHS 2016

Informationssäkerhetspolicy inom Stockholms läns landsting

Terminologi för e-legitimationer

VGC RA Policy Västra Götalandsregionens Registration Authority Policy intern PKI

Rutiner för SITHS kort

Förstudie om organisationslegitimering

Efos UtgivarForum

SITHS RAPS för Region Skåne Version

Kommunförbundet Skåne. Ansluten organisation: Ansluten organisation org.nr: Versionsnr: Datum: SITHS Policy Authority

Tillitsramverket. Detta är Inera-federationens tillitsramverk.

Efos PKI-struktur. Den nya PKI-strukturen. Användningsområden för certifikat

Guide. SITHS reservkort (12)

RÅD Checklista för avtal rörande sammanhållen journalföring

Tillitsramverk för E-identitet för offentlig sektor

Handbok för användare. HCC Administration

Frågor och Svar etjänstekort

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Nitha IT-stöd för händelseanalys. Beskrivning och tjänstespecifika villkor

Inom kort kommer sjuksköterskor inte längre åt webbapplikationen e-dos om de inte har SITH- kort, Apotekets säkerhetsdosa eller en e-legitimation.

Informationssäkerhetspolicy för Ystads kommun F 17:01

Införande av SITHS kort i en. Förstärkt inloggning enligt Nationella rutiner och rekommendationer Version

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun.

Koncernkontoret Koncernstab HR

Kortprodukter. E-identitet för offentlig sektor

Policy. 1 Telias policy för utfärdande av ID-kort med e-legitimation

Informationssäkerhetspolicy

HSA Kunskapstest för HSA-ansvariga

Så ansluter ni till HSA och SITHS via redan ansluten organisation (landsting eller annan kommun)

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

VGC RAPS RA Practice Statement för Västra Götalandsregionens intern PKI

Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam)

Information om RDT (den rikstäckande databasen för trafikföreskrifter) och instruktion för användningen

Sjunet standardregelverk för informationssäkerhet

Avtal om Kundens användning av Svevac Bilaga 1 - Specifikation av tjänsten Svevac

Informationssäkerhetspolicy KS/2018:260

Riktlinjer för Intyg om säkerhetshantering vid informationsutbyte via EDI

Identifieringstjänst. del av projektet Infrastruktur

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

E-identitet för offentlig sektor (Efos) Kerstin Arvedson, Inera

SITHS Rutin för RA i SITHS Admin

Rutiner för IDadministratörer. Identifieringstjänst SITHS

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

SITHS rekommendationer för internt revisionsarbete

Utredning konsekvenser av att införa träkort istället för dagens passagekort

Testa ditt SITHS-kort

Hämta SITHS-certifikat till Telia e-leg och logga in till Telia SITHS Admin med SITHS-certifikat

Utredning konsekvenser av att införa träkort istället för dagens passagekort

Information om personuppgiftsbehandling till studenter

ANSÖKAN OM GODKÄNNANDE AV PSYKOTERAPI INOM LOV ÖREBRO LÄN

Ansökan skickas till Strålsäkerhetsmyndigheten, Stockholm.

Handlingsplan för persondataskydd

Ändringar i utfärdande av HCC Funktion

Transkript:

Ansvarsförbindelse etjänstekort Ansvarsförbindelse avseende användning, utgivning och administration av etjänstekort för verksamhet: [Verksamhet som ansvarsförbindelsen gäller] Modell Anvisning Dokumentation Blankett Rapport Namn Datum Version Ansvarig utgivare X Ansvarsförbindelse etjänstekort - SLL [Fyll i datum här] [Fyll i version här] Version på använd mall 2.0 2011-02-09 Landstingsstyrelsens förvaltning SLL IT etjänstekortsförvaltningen

2 (13) Innehållsförteckning 1 Inledning... 3 1.1 etjänstekort inom SLL... 3 1.2 Bakgrund... 4 1.3 Syfte... 5 1.4 Dokumentets uppbyggnad... 5 2 Omfattning... 6 2.1 Parter... 6 2.2 Organisatoriskt ansvarsområde... 6 2.3 Funktionellt ansvar... 6 2.4 Ansvarsroller... 7 3 Informationssäkerhetskrav... 8 3.1 Administrativa krav... 8 3.2 Revision... 8 3.3 Kontinuitet... 8 3.4 Hantering av incidenter och missbruk... 9 4 Avtalsperiod... 10 5 Hantering av tvist... 10 6 Undertecknas... 10 Referenser och hänvisningar... 11 Termer och begrepp... 12

3 (13) 1 Inledning Detta dokument reglerar ansvarsfördelningen mellan SLL et och [Organisationsnamn] vid utgivning och administration av etjänstekort. Definition av använda begrepp förtecknas i slutet av dokumentet. 1.1 etjänstekort inom SLL etjänstekort är ett samlingsbegrepp för elektroniska id-kort utgivna av SLL med personliga och tjänstebaserade e-legitimationer. Kortet är ett multifunktionellt kort som kan användas för elektronisk identifiering och signering samt för kontaktlös inpassering och inpassering med kortläsare för magnetremsa. Kortytan är utformad som en visuell idhandling. Ett SISgodkänt id-kort för visuell legitimering En personlig e-legitimation En etjänstelegitimation Slinga för kontaktlös inpassering Certifikat för signering Certifikat för identifiering Certifikat för signering Certifikat för identifiering Magnetremsa för inpassering med kortläsare Fig 1 etjänstekortets utformning etjänstekort används av samtliga anställda inom den landstingsdrivna sjukvården och inom landstingsstyrelsens förvaltning. Kortet kan också utfärdas till uppdragstagare inom SLL. etjänstekort och e-tjänstelegitimationer utgör en del av landstingets säkerhetsinfrastruktur och är en tjänst för säker identifiering av vårdgivare, anställda och uppdragstagare. Säker identifiering av användare är en förutsättning för att kunna åstadkomma god informationssäkerhet eftersom andra informationssäkerhetsrelaterade tjänster, till exempel loggning och behörighetskontroll, blir meningslösa om inte användarens identitet säkert kan fastställas. En stor del av den nytta som etjänstekort tillför handlar om att upprätthålla tilltro till tjänsten, både internt inom SLL och nationellt: att säkerställa att tjänsten följer givna regler att upprätta kontroll över riktighet och spårbarhet att tillgodose krav på integritet och sekretess Den centrala etjänstekortsförvaltningen, SLLeT, ansvarar för att SLL följer nationella krav och regler kring etjänstekort, till exempel gentemot Inera AB, andra landsting och regioner samt DNV. De centrala kraven på SLL och hur de efterlevs finns beskrivet i etjänstekortsmodellen och i RAPS för SLL. Förvaltningar och organisationer som hanterar etjänstekort och e-tjänstelegitimationer

ansvarar för att säkerhetskraven efterlevs vid användning av kortet samt vid utfärdandeoch spärrningsprocesser. Denna ansvarsförbindelse beskriver dessa säkerhetsregler. 4 (13) 1.2 Bakgrund SLL har tecknat avtal med Inera AB om rätt att utnyttja e-tjänstelegitimationer inom SLL. I avtalet åtar sig SLL att upprätthålla en organisation för utgivning, administration och återkallande av etjänstekort och etjänstelegitimationer som följer givna nationella regler. Den centrala etjänstekortförvaltningen, SLLeT, ansvarar på uppdrag av systemägaren för denna landstingsgemensamma organisation. Ansvaret omfattar även förvaltning av avtal med Inera AB och upphandlad tjänsteleverantör. I ansvaret ingår att säkerställa att lokal utgivning av etjänstekort följer gällande regelverk. Tjänsten etjänstekort inom SLL, dess organisation med roller och ansvar samt hur administration av etjänstekort, reservkort, e-tjänstelegitimationer och funktionscertifikat sker beskrivs utförligt i etjänstekortsmodellen [1] och i Rutiner för etjänstekort [2]. Figur 2 etjänstekortorganisation för tjänsten etjänstekort inom SLL De regler som styr administration och hantering av etjänstekort är inarbetade i etjänstekortsmodellen, såsom krav ifrån SITHS CA-policy [3] och RA-policy [4], RAPS för SLL [5] samt krav på arbetsgivare som utfärdar SIS-godkända id-kort förvaltade av DNV, SBC151 [6].

5 (13) 1.3 Syfte Denna ansvarsförbindelse syftar till att tydliggöra den lokala verksamhetens ansvar kring användning, utgivning och administration av etjänstekort och e-legitimationer så att ett effektivt samarbete mellan SLLeT och de lokala organisationer kan uppnås. 1.4 Dokumentets uppbyggnad Ansvarsförbindelsen består av detta dokument samt följande bilagor: etjänstekortsmodellen [1] Rutiner för etjänstekort [2] Kontinuitetsplan för etjänstekort [7]

6 (13) 2 Omfattning Denna ansvarsförbindelse omfattar ansvar för användning, utgivning och administration av etjänstekort inom avtalspartens verksamhet, i denna ansvarsförbindelse kallad lokal verksamhet. Det ansvar som åligger den lokala verksamhetsföreträdaren framgår av denna ansvarsförbindelse. 2.1 Parter Ansvarsförbindelsen tecknas mellan följande parter: Namn Roll/Titel Kontaktuppgifter Företrädare för SLLeT: Kerstin Arvedson RA för SLL e-post: RAfunktionen@sll.se Adress: SLLeT, SLLIT, Box 22550, 104 22 Stockholm Besöksadress: Norra Stationsg. 69 Lokal verksamhetsföreträdare: [Adress, telefon och e-post] 2.2 Organisatoriskt ansvarsområde Denna ansvarsförbindelse gäller för följande verksamhet/verksamheter som nyttjar etjänstekort. Verksamhetsområde: [Namn på organisatoriskt verksamhetsområde] [Organisationsnummer] 2.3 Funktionellt ansvar etjänstekortsmodellen [1] beskriver vilka regler som gäller vid användning, utgivning, administration och hantering av etjänstekort. Rutiner för etjänstekort [2] beskriver hur administrationen ska ske. Regler och rutiner i dessa dokument skall följas av den lokala verksamheten. Lokal verksamhetsföreträdare ska säkerställa att etjänstekortsmodellen och fastställda rutiner för etjänstekort efterföljs både vad gäller användning och administration av etjänstekort. I nedanstående stycke beskriver den lokala verksamheten vilka kort som ska användas i den lokala verksamheten samt hur utfärdande och administration av etjänstekort sker.

7 (13) etjänstekort som används: SIS-godkända etjänstekort OSIS-kortet, företagskort med foto Reservkort Beskrivning av utfärdande och administration Utfärdande sker inte i egen regi. Tjänsteavtal ska tecknas med SLLeT om användning av SLL et-kontor. Utfärdande sker i egen lokal verksamhet. Följande kontor finns i den egna verksamheten: [Här anges kontor]. Dessa kontor ingår i SLL:s et-kontors samverkan: Ja Nej Administrationskostnad för att utfärda SIS- och OSISkort till andra verksamheter faktureras med 300 kr utöver den grundkostnad på 450 kr som korten kostar. För utfärdande av reservkort till andra verksamheter faktureras 120 kr utöver grundkostnaden på 120 kr. Kommentar [UN1]: Detta kan tas bort eftersom det finns i tjänsteavtalet. Ev. kan hela tabellen tas bort. 2.4 Ansvarsroller Den lokala verksamhetsföreträdaren ansvarar för att tillsätta en etjänstekortsansvarig för samordning av administration och information i den egna verksamheten. I övrigt beskrivs samtliga ansvars- och administratörsroller för den lokala etjänstekortsförvaltningen i etjänstekortsmodellen [1] och förvaltningsplanen [8]. etjänstekortsansvarig i den lokala verksamheten [Namn och kontaktuppgifter (postadress, e-postadress och telefonnr)] ORA-överenskommelse kommer att tecknas mellan SLLeT och den lokala verksamhetens etjänstekortsansvarige.

8 (13) 3 Informationssäkerhetskrav Följande krav på lokal verksamhet kompletterar landstingets generella krav på informationssäkerhet. 3.1 Administrativa krav Lokal verksamhetsföreträdare ansvarar för att säkerställa att bland annat följande centrala krav ifrån etjänstekortsmodellen efterlevs: 1. att identitet och tjänsteuppgifter för anställda/uppdragstagare är säkerställd innan etjänstekort utfärdas. Personposten ska vara kvalitetssäkrad i EK. 2. att personal som administrerar etjänstekort är utbildad, har rätt behörighet och är medvetna om säkerhetskraven inom aktuellt område. 3. att avregistrering av kort sker omedelbart vid begäran eller vid avslut av anställning/uppdrag. 4. att utan dröjsmål meddela SLLeT då förändringar som påverkar denna ansvarsförbindelse sker. För verksamheter med eget utfärdarkontor för etjänstekort och/eller reservkort gäller även: 5. att identifieringsrutiner beskrivna i rutindokumentet skall följas så att man i varje situation kan vara säker på att ett etjänstekort tillhör rätt innehavare. 6. att utfärdandet av etjänstekort, i varje led i hanteringen, är utformat så att riskerna för felhantering minimeras. 7. att den fysiska säkerheten beaktas vid utlämnande av kort och koder 8. att etjänstekort, reservkort och tillhörande pin- och pukkodsbrev samt övriga motsvarande underlag och handlingar skall förvaras inlåst i kassaskåp. 3.2 Revision SLLeT genomför kontinuerlig intern revision för att kontrollera att säkerhetskrav kring administration, rutiner och hantering av etjänstekort, e-tjänstelegitimationer och reservkort sker enligt regler och riktlinjer samt att denna ansvarsförbindelse efterlevs. Den lokala verksamhetsföreträdaren skall arbeta aktivt för att dessa kontroller kan genomföras och om brister påträffas är den lokala verksamhetsföreträdaren skyldig att utreda och åtgärda dessa brister. 3.3 Kontinuitet Den förvaltningsövergripande kontinuitetsplanen för etjänstekort [7] beskriver hur kontinuitet i tjänsten etjänstekort kan säkerställas. Den lokala verksamheten ansvar för att implementera denna och planera för den egna verksamhetens kontinuitet i händelse

9 (13) av administrativa eller verifieringsmässiga avbrott i tjänsten etjänstekort. Kontinuitetsplaner på central och lokal nivå skall revideras, samordnas och testas regelbundet. 3.4 Hantering av incidenter och missbruk I händelse av incidenter eller missbruk av etjänstekort och e-tjänstelegitimationer i den lokala verksamheten skall detta omgående rapporteras till SLLeT. Omfattningen av incidenten eller missbruket skall därefter utredas och åtgärdas i den lokala verksamheten.

10 (13) 4 Avtalsperiod Denna ansvarsförbindelse gäller från det att den undertecknats av båda parter och tills vidare. Vid förändring av etjänstekortansvarig och verksamhetschef ska detta meddelas skriftligt till rafunktionen@sll.se. Avveckling av ansvar skall alltid ske skriftligt. Vid avveckling av ansvar skall båda parterna komma överens om hur tjänsten ska hanteras under avvecklingen. Parternas ansvar enligt denna ansvarsförbindelse gäller under hela avvecklingsperioden. 5 Hantering av tvist Om oenighet uppstår inom ramen för denna ansvarsförbindelse skall det i första hand lösas i samråd mellan parterna, och i andra hand mellan systemägare för etjänstekort och företrädare för lokal verksamhet. Vid lösande av tvist skall alltid en helhetssyn finnas och hänsyn skall i första hand tas till gällande regelverk och SLL:s övergripande behov. 6 Undertecknas Genom att underteckna denna ansvarsförbindelse åtar sig undertecknad lokal verksamhetsföreträdare att ansvara för att användning, utgivning och administration av etjänstekort inom den lokala verksamheten sker enligt denna ansvarsförbindelse. Denna överenskommelse har upprättats i två exemplar varav parterna fått var sitt exemplar. Datum Datum Företrädare för SLLeT central förvaltning: Lokal verksamhetsföreträdare: Kerstin Arvedson [Namnförtydligande]

11 (13) Referenser och hänvisningar [1] etjänstekortsmodellen [2] Rutiner för etjänstekort [3] SITHS CA-Policy [4] SITHS RA-Policy [5] RAPS för SLL [6] SBC 151 [7] Kontinuitetsplan för etjänstekort [8] Förvaltningsplan för etjänstekort

12 (13) Termer och begrepp CA-policy/Certifikatpolicy certifikat DNV elektroniskt id-kort EK/Elektronisk Katalog e-legitimation et etjänstekort etjänstekortsorganisation Funktionscertifikat etjänstekortshandläggare etjänstekortsadministratör Personlig e-legitimation En namngiven uppsättning regler för framställning, utgivning och spärrning av certifikat och som reglerar tillämpligheten av certifikaten inom ett specifikt användningsområde. Ett digitalt signerat intyg av en publik nyckels tillhörighet till en specifik nyckelinnehavare (NI). Kallas även ibland för e-legitimation. Organisation som bland annat utfärdar SIS-tillstånd för utfärdare av identitetskort. DNV kontrollerar även att utfärdandet av SIS- godkända id-kort sker enligt gällande regler, SCB151. Elektroniska id-kort i form av ett aktivt kort innehållande certifikat och nycklar samtidigt som kortets framsida kan utgöra en visuell id- handling. Den för SLL interna verksamhetskatalogen. En elektronisk motsvarighet till en vanlig legitimation. Innehavaren använder den för att legitimera sig och att skriva under. Se etjänstekort. Elektronisk id-handling med e-legitimation och HCC utställd av SLL. SLL:s organisation för administration av etjänstekort, reservkort, e- legitimationer och HCC. Certifikat som utfärdas till en funktion/server inom SLL. Administratör som beställer, lämnar ut, spärrar och återkallar själva etjänstekortet. Administratör som administrerar reservkort och beställning av e-tjänstelegitimationer till befintliga kort. E-legitimation som innehåller personliga identitetsuppgifter, t ex personnummer. Det är Telia som ger ut e-legitimationer för SLL. RA-policy/Registration Authority policy En namngiven uppsättning regler för RA:s roll i framställning, utgivning och spärrning av certifikat och som reglerar tillämpligheten av certifikaten inom ett specifikt användningsområde.

13 (13) RAPS/Registration Authority Practice Statement Reservkort SBC151 SIS En dokumentation av hur en RA tillämpar en RA-policy. Kort som används tillfälligt eller då etjänstekort inte kan utfärdas. Reservkortet har ett transportcertifikat som primärcertifikat istället för en personlig e-legitimation. Regelverk för tillverkare och utfärdare av SIS- godkända identitetskort Swedish Standards Institute brukar förkortas SIS eftersom deras gamla namn var Standardiseringskommissionen i Sverige. SIS är en industriorganisation som arbetar för standardisering och utger dokumentserien svensk standard SS.