Ansvarsförbindelse etjänstekort Ansvarsförbindelse avseende användning, utgivning och administration av etjänstekort för verksamhet: [Verksamhet som ansvarsförbindelsen gäller] Modell Anvisning Dokumentation Blankett Rapport Namn Datum Version Ansvarig utgivare X Ansvarsförbindelse etjänstekort - SLL [Fyll i datum här] [Fyll i version här] Version på använd mall 2.0 2011-02-09 Landstingsstyrelsens förvaltning SLL IT etjänstekortsförvaltningen
2 (13) Innehållsförteckning 1 Inledning... 3 1.1 etjänstekort inom SLL... 3 1.2 Bakgrund... 4 1.3 Syfte... 5 1.4 Dokumentets uppbyggnad... 5 2 Omfattning... 6 2.1 Parter... 6 2.2 Organisatoriskt ansvarsområde... 6 2.3 Funktionellt ansvar... 6 2.4 Ansvarsroller... 7 3 Informationssäkerhetskrav... 8 3.1 Administrativa krav... 8 3.2 Revision... 8 3.3 Kontinuitet... 8 3.4 Hantering av incidenter och missbruk... 9 4 Avtalsperiod... 10 5 Hantering av tvist... 10 6 Undertecknas... 10 Referenser och hänvisningar... 11 Termer och begrepp... 12
3 (13) 1 Inledning Detta dokument reglerar ansvarsfördelningen mellan SLL et och [Organisationsnamn] vid utgivning och administration av etjänstekort. Definition av använda begrepp förtecknas i slutet av dokumentet. 1.1 etjänstekort inom SLL etjänstekort är ett samlingsbegrepp för elektroniska id-kort utgivna av SLL med personliga och tjänstebaserade e-legitimationer. Kortet är ett multifunktionellt kort som kan användas för elektronisk identifiering och signering samt för kontaktlös inpassering och inpassering med kortläsare för magnetremsa. Kortytan är utformad som en visuell idhandling. Ett SISgodkänt id-kort för visuell legitimering En personlig e-legitimation En etjänstelegitimation Slinga för kontaktlös inpassering Certifikat för signering Certifikat för identifiering Certifikat för signering Certifikat för identifiering Magnetremsa för inpassering med kortläsare Fig 1 etjänstekortets utformning etjänstekort används av samtliga anställda inom den landstingsdrivna sjukvården och inom landstingsstyrelsens förvaltning. Kortet kan också utfärdas till uppdragstagare inom SLL. etjänstekort och e-tjänstelegitimationer utgör en del av landstingets säkerhetsinfrastruktur och är en tjänst för säker identifiering av vårdgivare, anställda och uppdragstagare. Säker identifiering av användare är en förutsättning för att kunna åstadkomma god informationssäkerhet eftersom andra informationssäkerhetsrelaterade tjänster, till exempel loggning och behörighetskontroll, blir meningslösa om inte användarens identitet säkert kan fastställas. En stor del av den nytta som etjänstekort tillför handlar om att upprätthålla tilltro till tjänsten, både internt inom SLL och nationellt: att säkerställa att tjänsten följer givna regler att upprätta kontroll över riktighet och spårbarhet att tillgodose krav på integritet och sekretess Den centrala etjänstekortsförvaltningen, SLLeT, ansvarar för att SLL följer nationella krav och regler kring etjänstekort, till exempel gentemot Inera AB, andra landsting och regioner samt DNV. De centrala kraven på SLL och hur de efterlevs finns beskrivet i etjänstekortsmodellen och i RAPS för SLL. Förvaltningar och organisationer som hanterar etjänstekort och e-tjänstelegitimationer
ansvarar för att säkerhetskraven efterlevs vid användning av kortet samt vid utfärdandeoch spärrningsprocesser. Denna ansvarsförbindelse beskriver dessa säkerhetsregler. 4 (13) 1.2 Bakgrund SLL har tecknat avtal med Inera AB om rätt att utnyttja e-tjänstelegitimationer inom SLL. I avtalet åtar sig SLL att upprätthålla en organisation för utgivning, administration och återkallande av etjänstekort och etjänstelegitimationer som följer givna nationella regler. Den centrala etjänstekortförvaltningen, SLLeT, ansvarar på uppdrag av systemägaren för denna landstingsgemensamma organisation. Ansvaret omfattar även förvaltning av avtal med Inera AB och upphandlad tjänsteleverantör. I ansvaret ingår att säkerställa att lokal utgivning av etjänstekort följer gällande regelverk. Tjänsten etjänstekort inom SLL, dess organisation med roller och ansvar samt hur administration av etjänstekort, reservkort, e-tjänstelegitimationer och funktionscertifikat sker beskrivs utförligt i etjänstekortsmodellen [1] och i Rutiner för etjänstekort [2]. Figur 2 etjänstekortorganisation för tjänsten etjänstekort inom SLL De regler som styr administration och hantering av etjänstekort är inarbetade i etjänstekortsmodellen, såsom krav ifrån SITHS CA-policy [3] och RA-policy [4], RAPS för SLL [5] samt krav på arbetsgivare som utfärdar SIS-godkända id-kort förvaltade av DNV, SBC151 [6].
5 (13) 1.3 Syfte Denna ansvarsförbindelse syftar till att tydliggöra den lokala verksamhetens ansvar kring användning, utgivning och administration av etjänstekort och e-legitimationer så att ett effektivt samarbete mellan SLLeT och de lokala organisationer kan uppnås. 1.4 Dokumentets uppbyggnad Ansvarsförbindelsen består av detta dokument samt följande bilagor: etjänstekortsmodellen [1] Rutiner för etjänstekort [2] Kontinuitetsplan för etjänstekort [7]
6 (13) 2 Omfattning Denna ansvarsförbindelse omfattar ansvar för användning, utgivning och administration av etjänstekort inom avtalspartens verksamhet, i denna ansvarsförbindelse kallad lokal verksamhet. Det ansvar som åligger den lokala verksamhetsföreträdaren framgår av denna ansvarsförbindelse. 2.1 Parter Ansvarsförbindelsen tecknas mellan följande parter: Namn Roll/Titel Kontaktuppgifter Företrädare för SLLeT: Kerstin Arvedson RA för SLL e-post: RAfunktionen@sll.se Adress: SLLeT, SLLIT, Box 22550, 104 22 Stockholm Besöksadress: Norra Stationsg. 69 Lokal verksamhetsföreträdare: [Adress, telefon och e-post] 2.2 Organisatoriskt ansvarsområde Denna ansvarsförbindelse gäller för följande verksamhet/verksamheter som nyttjar etjänstekort. Verksamhetsområde: [Namn på organisatoriskt verksamhetsområde] [Organisationsnummer] 2.3 Funktionellt ansvar etjänstekortsmodellen [1] beskriver vilka regler som gäller vid användning, utgivning, administration och hantering av etjänstekort. Rutiner för etjänstekort [2] beskriver hur administrationen ska ske. Regler och rutiner i dessa dokument skall följas av den lokala verksamheten. Lokal verksamhetsföreträdare ska säkerställa att etjänstekortsmodellen och fastställda rutiner för etjänstekort efterföljs både vad gäller användning och administration av etjänstekort. I nedanstående stycke beskriver den lokala verksamheten vilka kort som ska användas i den lokala verksamheten samt hur utfärdande och administration av etjänstekort sker.
7 (13) etjänstekort som används: SIS-godkända etjänstekort OSIS-kortet, företagskort med foto Reservkort Beskrivning av utfärdande och administration Utfärdande sker inte i egen regi. Tjänsteavtal ska tecknas med SLLeT om användning av SLL et-kontor. Utfärdande sker i egen lokal verksamhet. Följande kontor finns i den egna verksamheten: [Här anges kontor]. Dessa kontor ingår i SLL:s et-kontors samverkan: Ja Nej Administrationskostnad för att utfärda SIS- och OSISkort till andra verksamheter faktureras med 300 kr utöver den grundkostnad på 450 kr som korten kostar. För utfärdande av reservkort till andra verksamheter faktureras 120 kr utöver grundkostnaden på 120 kr. Kommentar [UN1]: Detta kan tas bort eftersom det finns i tjänsteavtalet. Ev. kan hela tabellen tas bort. 2.4 Ansvarsroller Den lokala verksamhetsföreträdaren ansvarar för att tillsätta en etjänstekortsansvarig för samordning av administration och information i den egna verksamheten. I övrigt beskrivs samtliga ansvars- och administratörsroller för den lokala etjänstekortsförvaltningen i etjänstekortsmodellen [1] och förvaltningsplanen [8]. etjänstekortsansvarig i den lokala verksamheten [Namn och kontaktuppgifter (postadress, e-postadress och telefonnr)] ORA-överenskommelse kommer att tecknas mellan SLLeT och den lokala verksamhetens etjänstekortsansvarige.
8 (13) 3 Informationssäkerhetskrav Följande krav på lokal verksamhet kompletterar landstingets generella krav på informationssäkerhet. 3.1 Administrativa krav Lokal verksamhetsföreträdare ansvarar för att säkerställa att bland annat följande centrala krav ifrån etjänstekortsmodellen efterlevs: 1. att identitet och tjänsteuppgifter för anställda/uppdragstagare är säkerställd innan etjänstekort utfärdas. Personposten ska vara kvalitetssäkrad i EK. 2. att personal som administrerar etjänstekort är utbildad, har rätt behörighet och är medvetna om säkerhetskraven inom aktuellt område. 3. att avregistrering av kort sker omedelbart vid begäran eller vid avslut av anställning/uppdrag. 4. att utan dröjsmål meddela SLLeT då förändringar som påverkar denna ansvarsförbindelse sker. För verksamheter med eget utfärdarkontor för etjänstekort och/eller reservkort gäller även: 5. att identifieringsrutiner beskrivna i rutindokumentet skall följas så att man i varje situation kan vara säker på att ett etjänstekort tillhör rätt innehavare. 6. att utfärdandet av etjänstekort, i varje led i hanteringen, är utformat så att riskerna för felhantering minimeras. 7. att den fysiska säkerheten beaktas vid utlämnande av kort och koder 8. att etjänstekort, reservkort och tillhörande pin- och pukkodsbrev samt övriga motsvarande underlag och handlingar skall förvaras inlåst i kassaskåp. 3.2 Revision SLLeT genomför kontinuerlig intern revision för att kontrollera att säkerhetskrav kring administration, rutiner och hantering av etjänstekort, e-tjänstelegitimationer och reservkort sker enligt regler och riktlinjer samt att denna ansvarsförbindelse efterlevs. Den lokala verksamhetsföreträdaren skall arbeta aktivt för att dessa kontroller kan genomföras och om brister påträffas är den lokala verksamhetsföreträdaren skyldig att utreda och åtgärda dessa brister. 3.3 Kontinuitet Den förvaltningsövergripande kontinuitetsplanen för etjänstekort [7] beskriver hur kontinuitet i tjänsten etjänstekort kan säkerställas. Den lokala verksamheten ansvar för att implementera denna och planera för den egna verksamhetens kontinuitet i händelse
9 (13) av administrativa eller verifieringsmässiga avbrott i tjänsten etjänstekort. Kontinuitetsplaner på central och lokal nivå skall revideras, samordnas och testas regelbundet. 3.4 Hantering av incidenter och missbruk I händelse av incidenter eller missbruk av etjänstekort och e-tjänstelegitimationer i den lokala verksamheten skall detta omgående rapporteras till SLLeT. Omfattningen av incidenten eller missbruket skall därefter utredas och åtgärdas i den lokala verksamheten.
10 (13) 4 Avtalsperiod Denna ansvarsförbindelse gäller från det att den undertecknats av båda parter och tills vidare. Vid förändring av etjänstekortansvarig och verksamhetschef ska detta meddelas skriftligt till rafunktionen@sll.se. Avveckling av ansvar skall alltid ske skriftligt. Vid avveckling av ansvar skall båda parterna komma överens om hur tjänsten ska hanteras under avvecklingen. Parternas ansvar enligt denna ansvarsförbindelse gäller under hela avvecklingsperioden. 5 Hantering av tvist Om oenighet uppstår inom ramen för denna ansvarsförbindelse skall det i första hand lösas i samråd mellan parterna, och i andra hand mellan systemägare för etjänstekort och företrädare för lokal verksamhet. Vid lösande av tvist skall alltid en helhetssyn finnas och hänsyn skall i första hand tas till gällande regelverk och SLL:s övergripande behov. 6 Undertecknas Genom att underteckna denna ansvarsförbindelse åtar sig undertecknad lokal verksamhetsföreträdare att ansvara för att användning, utgivning och administration av etjänstekort inom den lokala verksamheten sker enligt denna ansvarsförbindelse. Denna överenskommelse har upprättats i två exemplar varav parterna fått var sitt exemplar. Datum Datum Företrädare för SLLeT central förvaltning: Lokal verksamhetsföreträdare: Kerstin Arvedson [Namnförtydligande]
11 (13) Referenser och hänvisningar [1] etjänstekortsmodellen [2] Rutiner för etjänstekort [3] SITHS CA-Policy [4] SITHS RA-Policy [5] RAPS för SLL [6] SBC 151 [7] Kontinuitetsplan för etjänstekort [8] Förvaltningsplan för etjänstekort
12 (13) Termer och begrepp CA-policy/Certifikatpolicy certifikat DNV elektroniskt id-kort EK/Elektronisk Katalog e-legitimation et etjänstekort etjänstekortsorganisation Funktionscertifikat etjänstekortshandläggare etjänstekortsadministratör Personlig e-legitimation En namngiven uppsättning regler för framställning, utgivning och spärrning av certifikat och som reglerar tillämpligheten av certifikaten inom ett specifikt användningsområde. Ett digitalt signerat intyg av en publik nyckels tillhörighet till en specifik nyckelinnehavare (NI). Kallas även ibland för e-legitimation. Organisation som bland annat utfärdar SIS-tillstånd för utfärdare av identitetskort. DNV kontrollerar även att utfärdandet av SIS- godkända id-kort sker enligt gällande regler, SCB151. Elektroniska id-kort i form av ett aktivt kort innehållande certifikat och nycklar samtidigt som kortets framsida kan utgöra en visuell id- handling. Den för SLL interna verksamhetskatalogen. En elektronisk motsvarighet till en vanlig legitimation. Innehavaren använder den för att legitimera sig och att skriva under. Se etjänstekort. Elektronisk id-handling med e-legitimation och HCC utställd av SLL. SLL:s organisation för administration av etjänstekort, reservkort, e- legitimationer och HCC. Certifikat som utfärdas till en funktion/server inom SLL. Administratör som beställer, lämnar ut, spärrar och återkallar själva etjänstekortet. Administratör som administrerar reservkort och beställning av e-tjänstelegitimationer till befintliga kort. E-legitimation som innehåller personliga identitetsuppgifter, t ex personnummer. Det är Telia som ger ut e-legitimationer för SLL. RA-policy/Registration Authority policy En namngiven uppsättning regler för RA:s roll i framställning, utgivning och spärrning av certifikat och som reglerar tillämpligheten av certifikaten inom ett specifikt användningsområde.
13 (13) RAPS/Registration Authority Practice Statement Reservkort SBC151 SIS En dokumentation av hur en RA tillämpar en RA-policy. Kort som används tillfälligt eller då etjänstekort inte kan utfärdas. Reservkortet har ett transportcertifikat som primärcertifikat istället för en personlig e-legitimation. Regelverk för tillverkare och utfärdare av SIS- godkända identitetskort Swedish Standards Institute brukar förkortas SIS eftersom deras gamla namn var Standardiseringskommissionen i Sverige. SIS är en industriorganisation som arbetar för standardisering och utger dokumentserien svensk standard SS.