BILAGA 3 Tillitsramverk Version: 1.2

Relevanta dokument
BILAGA 3 Tillitsramverk Version: 1.3

BILAGA 3 Tillitsramverk

BILAGA 3 Tillitsramverk Version: 2.02

BILAGA 3 Tillitsramverk Version: 2.1

Tillitskrav för Valfrihetssystem 2017 E-legitimering

Tillitsramverk för Svensk e-legitimation. 1 (11) Ref.nr: ELN-0700-v1.2 Tillitsramverk för Svensk e-legitimation

Tillitsramverk för Svensk e-legitimation

Tillitsramverk ÄRENDENUMMER: Tillitsramverk. för kvalitetsmärket Svensk e-legitimation. Version digg.se 1

BILAGA 3 Tillitsramverk Version 0.8

Version: Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 1.3.1

Allmänna villkor för infrastrukturen Mina meddelanden

Allmänna villkor för infrastrukturen Mina meddelanden

BILAGA 2 Tillitsramverk Version 1.0

Version: 2.0 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.01

Granskningsinstruktion och checklista för Tillitsdeklaration

Granskningsinstruktioner och checklista för Tillitsgranskare

Tillitsdeklaration Version: 2.1 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.1

Tillitsramverk. Identifieringstjänst SITHS

Säkerhet och Tillit vid elektronisk identifiering. Fredrik Ljunggren

BILAGA 1 Definitioner

BILAGA 1 Definitioner Version: 2.01

Tillitsramverk för E-identitet för offentlig sektor

BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1

Tillitsramverket. Detta är Inera-federationens tillitsramverk.

BILAGA 1 Definitioner Version: 2.02

Sambis tillitsarbete Staffan Hagnell, Internetstiftelsen

Innehåll 1(14) Granskningsdokumentation

BILAGA 1 Definitioner

Svensk e-legitimation

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Strukturerat informationssäkerhetsarbete

Mötesunderlag till Sambis arbetsgrupp

Målgrupper för Sambi ... Privata omsorgsgivare Apoteksaktörer. Kommuner. Veterinärer Landsting. Tandläkare Privata vårdgivare.

Tillitsramverk och granskning April 2014

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Lennart Beckmanä Beckman Security.

Lennart Beckmanä Beckman Security.

Sammansta llning av remissvar och rekommendation till nytt Tillitsramverk fo r Sambi

Myndigheten för samhällsskydd och beredskaps författningssamling

Lennart Beckmanä Beckman Security.

BILAGA 4 - Fo reskrifter fo r Sambis Federationsoperato r

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Anslutningsavtal för medlemskap i Sambi

Frågor och svar. Frågor kring åtkomstlösning

Sambi och Sambis roll Håkan Josefsson Service Manager, Apotekens Service AB

Finansinspektionens författningssamling

BILAGA 4 - Fö reskrifter fö r Sambis Federatiönsöperatö r Versiön: 2.0.1

ehälsomyndighetens nya säkerhetslösning

Introduktion. September 2018

Anslutningsavtal för medlemskap i Sambi

Myndigheten för samhällsskydd och beredskaps författningssamling

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Säkerhetsgranskning

Tillitsgranskningsavtal

Skåne läns författningssamling

Koncernkontoret Enheten för säkerhet och intern miljöledning

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Sambiombudsavtal. 1 Inledning

Mö tesanteckningar fra n Sambis arbetsgrupp

Vägledning till uppfyllande av tillitsramverkets krav för Svensk e-legitimation. Version

Finansinspektionens författningssamling

Tillitsgranskningsavtal

Policy för informations- säkerhet och personuppgiftshantering

TJÄNSTEBESKRIVNING FÖR SAMBIS TILLITSGRANSKNINGSTJÄNST

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Finansinspektionens författningssamling

Tillitsregler för Valfrihetssystem 2018 E-legitimering

ISO/IEC och Nyheter

TJÄNSTEBESKRIVNING FÖR SAMBIS FEDERATIONSTJÄNST

Informationssäkerhetspolicy inom Stockholms läns landsting

Finansinspektionens författningssamling

Vad händer här och nu? E-legitimationsnämndens aktiviteter

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Finansinspektionens författningssamling

Strategi för dokument och arkivhantering i Sundsvalls kommunkoncern

Förklarande text till revisionsrapport Sid 1 (5)

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

Bilaga Personuppgiftsbiträdesavtal

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Södertörns brandförsvarsförbund

Policy för behandling av personuppgifter

AVTAL FÖR MEDLEMSKAP I SKOLFEDERATION För Tjänsteleverantör

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA /1121 Håkan Lövblad

Datum: Version: Författare: Christina Danielsson Senast ändrad:

Personuppgiftsbiträdesavtal

BILAGA Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Nya krav på systematiskt informationssäkerhets arbete

Finansinspektionens författningssamling

GDPR Presentation Agenda

Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.

Vägledning till uppfyllande av tillitsramverkets krav för Svensk e-legitimation. Version

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Punkt 15: Riktlinje för internrevision

Samma krav gäller som för ISO 14001

Omfattning och syfte Denna policy gäller för Volvo Cars-koncernens (kallad Volvo Cars eller vi ) behandling av kunders personuppgifter.

Transkript:

BILAGA 3 Tillitsramverk Version: 1.2 Innehåll Revisionshistorik... 1 Allmänt... 2 A. Organisation och styrning... 2 Övergripande krav på verksamheten... 2 Villkor för användning av Leverantörer... 3 Handlingars bevarande... 3 Granskning och uppföljning... 3 B. Fysisk, administrativ och personorienterad säkerhet... 4 C. Teknisk säkerhet... 4 D. Information... 5 E. Elektronisk identitetsutfärdare... 5 F. Attribututgivare... 5 G. Identitetsintygsutgivare... 6 Revisionshistorik Version Datum Författare Kommentar 1.0 2013-09-23 Staffan Hagnell Första utgåva 1.1 2014-11-04 Staffan Hagnell Ändringar enligt arbetsgruppens förslag 1.2 2014-11-26 Staffan Hagnell Sista stycket under Allmänt tillagt V. 1.2 Sida 1 av 6

Allmänt De olika roller som en Medlem kan inneha är Elektronisk identitetsutfärdare Identitetsintygsutgivare Attribututgivare Tjänsteleverantör Krav i avsnitt A till D gäller för samtliga roller. Krav i avsnitt E, F och G gäller enbart för angiven roll. Dessa roller och andra termer av speciell betydelse för denna bilaga finns definierade i Bilaga 1 Definitioner. Medlemmen ska under Avtalsperioden bedriva ett aktivt arbete för att uppfylla kraven i Tillitsramverket. Som en del i detta arbete ska medlemmen upprätta en Tillitsdeklaration som beskriver hur Medlemmen uppfyller Tillitsramverket. Tillitsdeklarationen ska vara baserad på den mall som Federationsoperatören tillhandahåller. A. Organisation och styrning Övergripande krav på verksamheten A.1 Medlem som inte är ett offentligt organ ska drivas som registrerad juridisk person samt teckna och vidmakthålla för verksamheten erforderliga försäkringar. A.2 Medlem ska ha en etablerad verksamhet, vara fullt operationell i alla delar som berörs i detta dokument, och vara väl insatt i de legala krav som ställs på denne som medlem i Sambi. A.3 Medlem ska ha förmåga att bär risken för skadeståndsskyldighet samt förfoga över tillräckliga ekonomiska medel för att kunna bedriva verksamheten i minst 1 år. A.4 Medlem ska för de delar av verksamheten som berörs av tillitsramverket ha ett ledningssystem för informationssäkerhet (LIS) som baseras på ISO/IEC 27001 eller motsvarande. (a) Samtliga säkerhetskritiska administrativa och tekniska processer ska dokumenteras och vila på en formell grund, där roller, ansvar och befogenheter finns tydligt definierade. V. 1.2 Sida 2 av 6

(b) Medlem ska säkerställa att denne vid var tid har tillräckliga personella resurser till förfogande för att uppfylla sina åtaganden. (c) Medlem ska inrätta en process för riskhantering som på ett ändamålsenligt sätt, kontinuerligt eller minst var tolfte månad, analyserar hot och sårbarheter i verksamheten, och som genom införande av säkerhetsåtgärder balanserar riskerna till acceptabla nivåer. (d) Medlem ska inrätta en process för incidenthantering som systematiskt säkerställer kvaliteten i tjänsten, former för vidarerapportering och att lämpliga reaktiva och preventiva åtgärder vidtas för att lindra eller förhindra skada till följd av sådana händelser. (e) Medlem ska upprätta och testa en kontinuitetsplan som tillgodoser verksamhetens tillgänglighetskrav genom en förmåga att återställa kritiska processer vid händelse av kris eller allvarliga incidenter. (f) Medlem ska regelbundet utvärdera informationssäkerhetsskyddet och införa förbättringsåtgärder i ledningssystemet och säkerhetskontroller. Villkor för användning av Leverantörer A.5 En Medlem som på Leverantör har lagt ut utförandet av en eller flera säkerhetskritiska processer, ska genom avtal definiera vilka kritiska processer som Leverantören är ansvarig för och vilka krav som är tillämpliga på dessa, samt tydliggöra detta i Medlemmens Tillitsdeklarationen. Handlingars bevarande A.6 Medlem ska, i tillämpliga delar, bevara (a) avtal, (b) styrande dokument, (c) handlingar som rör förändringar av uppgifter hänförliga till Användare, Attribut och Metadata, och (d) övrig dokumentation som stöder efterlevnaden av de krav som ställs på Medlem, och som visar att de säkerhetskritiska processerna och kontrollerna fungerar. A.7 Tiden för bevarande ska inte understiga tre år och material ska kunna tas fram i läsbar form under hela denna tid, såvida inte krav på gallring påkallas från integritetssynpunkt och har stöd i lag eller annan författning. Granskning och uppföljning A.8 Ledningssystemet för informationssäkerhet och efterlevnaden av de krav som ställs på Medlem ska under en treårsperiod vara föremål för internrevision, utförd av V. 1.2 Sida 3 av 6

oberoende kontrollfunktion, såvida inte organisationens storlek eller annan försvarbar orsak motiverar att revision sker på annat sätt. B. Fysisk, administrativ och personorienterad säkerhet B.1 Verksamhetens centrala delar ska skyddas fysiskt mot skada som följd av miljörelaterade händelser, otillåten åtkomst eller andra yttre störningar. Tillträdeskontroll ska tillämpas så att åtkomst till känsliga utrymmen är begränsad till behörig personal. B.2 Innan en person antar någon av de roller som identifierats i enlighet med A.4(a), och som är av särskild betydelse för säkerheten, ska Medlem ha genomfört bakgrundskontroll i syfte att förvissa sig att personen kan anses vara pålitlig samt att personen har de kvalifikationer och den utbildning som krävs för att på ett tillfredsställande, korrekt och säkert sätt utföra de arbetsuppgifter som följer av rollen. B.3 Medlem ska ha rutiner som säkerställer att endast särskilt bemyndigad personal har åtkomst till de uppgifter som samlas in och bevaras i enlighet med A.6. C. Teknisk säkerhet C.1 Medlem ska säkerställa att de tekniska skyddsåtgärder som finns införda är tillräckliga för att uppnå den nödvändiga skyddsnivån och att dessa kontroller fungerar och är effektiva. C.2 Kommunikation mellan Medlemmar över allmänna telekommunikationsnät eller andra kommunikationslänkar som inte är fysiskt skyddade i enlighet med B.1, ska autentiseras och skyddas mot insyn, manipulation och återuppspelning. C.3 Medlems hantering av känsligt kryptografiskt nyckelmaterial ska skyddas så att (a) åtkomst begränsas, logiskt och fysiskt, till de roller och de tillämpningar som oundgängligen kräver det, (b) nyckelmaterialet aldrig lagras i klartext på beständigt lagringsmedia, (c) nyckelmaterialet skyddas när det inte är under användning, direkt eller indirekt, via kryptografisk hårdvarumodul, eller motsvarande, med aktiva säkerhetsmekanismer som skyddar mot både fysiska och logiska försök att röja nyckelmaterialet, (d) säkerhetsmekanismerna för skydd av nyckelmaterial är genomlysta och baserade på erkända och väletablerade standarder, och (e) aktiveringsdata för skydd av nyckelmaterial hanteras genom flerpersonkontroll. V. 1.2 Sida 4 av 6

C.4 Medlem ska ha dokumenterade och fungerande processer för styrning och ändring av IT-miljön och som innefattar kontinuerlig omvärldsbevakning av de produkter och tekniker som används i tjänsten, samt ändamålsenlig beredskap för förändrade risknivåer. D. Information D.1 Medlem ska tillhandahålla uppgifter om avtal, villkor samt anknytande uppgifter och eventuella begränsningar i användandet av tjänsten till Användare, Tjänsteleverantörer och andra som kan komma att förlita sig på Medlemmens tjänst. D.2 Medlem ska tillhandahålla en Tillitsdeklaration som innefattar bl.a. (a) Medlemmens identitet och kontaktuppgifter (b) beskrivning av de regler och rutiner som Medlemmen tillämpar för att uppfylla kraven i Tillitsramverket (c) villkor förknippade med den tillhandahållna tjänsten (d) tillvägagångssätt för att ändra villkor eller andra förutsättningar för den tillhandahållna tjänsten samt metoder för att informera om förändringen (e) information om insamling, registrering, lagring, bearbetning, och spridning eller samkörning av personuppgifter, och i vilken mån detta sker. D.3 Medlem ska på begäran av Federationsoperatören eller annan som har ett berättigat intresse lämna uppgifter om hur verksamheten ägs och styrs. D.4 Medlem ska på ett tydligt sätt informera berörda Användare, Medlemmar och Federationsoperatören om villkor för tjänsten vid nyteckning eller ändring av tjänsten. D.5 En Medlem som upphör med sin verksamhet ska informera berörda Användare, Medlemmar och Federationsoperatören. Medlemmen ska hålla arkiverat material tillgängligt i enlighet med A.6 och A.7. E. Elektronisk identitetsutfärdare E.1 Elektronisk identitetsutgivare ska följa E-legitimationsnämndens tillitsramverk för Utfärdare av Svensk e-legitimation. F. Attribututgivare F.1 Informationsinnehållet i Attribut ska vara korrekt, aktuellt samt verifierat mot ursprungskällan. V. 1.2 Sida 5 av 6

F.2 Förändringar av informationsinnehållet i Attribut ska gå att spåra avseende tidpunkt för förändring och vem som utfört förändringen. G. Identitetsintygsutgivare G.1 Medlem som tillhandahåller tjänst för utgivning av Identitetsintyg ska se till att denna tjänst har god tillgänglighet och att utlämnande av Identitetsintyg föregås av en tillförlitlig kontroll att den angivna Användarens Elektroniska identitet och Attribut är giltiga. G.2 Lämnade Identitetsintyg ska vara giltiga endast så länge som det krävs för att Användaren ska få tillgång till den efterfrågade E-tjänsten. G.3 Identitetsintyg ska skyddas så att informationen endast är läsbar för den mottagande Tjänsteleverantören och att denne kan kontrollera att mottagna intyg är äkta. G.4 Identifierade Användares anslutningar mot intygsutgivningstjänsten ska tidsbegränsas, varefter en ny identifiering av Användaren ska ske i enlighet med G.1. V. 1.2 Sida 6 av 6

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss