SITHS information 2009-08-20 Thomas Näsberg Sjukvårdsrådgivningen www.siths.se se siths@sjukvardsradgivningen.se 1
Agenda om SITHS Vad är SITHS SITHS Införande SITHS Avtal Val av teknik och produkter SITHS i praktiken
Vad är SITHS? Den korta versionen: Ett kort (en fysisk ID-handling) Ett certifikat (en elektronisk ID-handling) Den längre versionen: Nationell säkerhetslösning för svensk vård & omsorg. Utförare = Sjukvårdsrådgivningen Beställare = Sveriges Kommuner och Landsting Fokus är yrkesutövare inom sektorn vård & omsorg,, men kan införas inom hela organisationen, t ex miljökontoret inom en kommun. Anställda kommer att utrustas med personliga e-legitimationer och elektroniska tjänstecertifikat lagrade på personliga id-kort. E-legitimationerna på SITHS-kortet möjliggör säker elektronisk identifiering av personal vid inloggning i IT-system, digital signering av elektroniskt lagrad information och säker överföring av information mellan personer, organisationer eller system och är ett krav för nationell/regional samverkan.
Vad är SITHS? Ett förtroende en Tillit Huvudmännen litar på varandra En huvudman (kommun/landsting) ger garantier för att en medarbetare är just den medarbetare han/hon utger sig för att vara. En annan huvudman ger likaså garantier för att en medarbetare är just den medarbetare han/hon utger sig för att vara. Denna tillitsprocess administreras centralt av Sjukvårdsrådgivningen SITHS CA. Samtliga huvudmän kan med en trygg och säker certifieringsordning förlita sig på varandra. Därför gäller SITHS kort och certifikat som fysiska och elektroniska ID-handlingar över huvudmannagränserna. Att varje huvudman fortlöpande upprätthåller de krav som ställs på tilliten följs upp genom ständiga revisioner inom det egna huvudmannaområdet och av oberoende huvudmän.
Vad är SITHS?
Vad är SITHS? Hur långt har vi nått med SITHS? 15 av 20 landsting har avtal (några arbetar fortfarande med uppkopplingen ) Kommuner är på väg in med stora steg. Privata vårdgivare och Tjänsteleverantörer är på väg in. 20 landsting 290 kommuner 15 landsting 8 kommuner 65 000 kort 100 000 certifikat
Vad är SITHS? Till vad används SITHS? Fysisk ID-handling Inpassering Säker E-post Inloggning till datorer (AD/domän) Inloggning till HSA Inloggning till SITHS Inloggning till Sjunet Inloggning till Patient Översikten
Vad är SITHS? Primärcertifikat Certifikatsmängd Telia eid Personlig E-legitimation Identifieringscertifikat Signeringscertifikat Sekundärcertifikat Certifikatsmängd SITHS eid Elektronisk tjänstelegitimation Identifieringscertifikat Signeringscertifikat SITHS består av flera certifikat! E-legitimation och etjänstelegitimation.
Vad är SITHS? SITHS hanterar identifiering! Vilka rättigheter man har hanteras av andra system.
Agenda om SITHS Vad är SITHS SITHS Införande SITHS Avtal Val av teknik och produkter SITHS i praktiken
SITHS Införande Initiering Uppstart - Avtal Produktion 3 12 1 2 4 5 6 7 8 9 10 11 Tid 0 v 1-3 v 8 v 10 v 12 v
SITHS Införande 1 1. Direkt anslutning Kommun1 2. Tredjeparts anslutning LT5 Kommun2 Sjunet LT4 LT3 2 Kommun4 Kommun3 LT2 LT1 SLA Kommun5 Kommun6
SITHS Införande En medarbetares väg i HSA/SITHS En anställning påbörjas HSA Nationell Toppnod Kort- och certifikataktiviteter En anställning avslutas Intern katalog HSA LtB HSA Kataloghotell HSA m.fl. HSA VGR HSA Skåne HSA Halland HSA Sthlm HSA m.fl.
SITHS Införande 1. LANDSTINGET ANSVARAR Landstinget sköter all nationell avtalsteckning och administration av personer i HSA samt kortutgivning. Avtal tecknas mellan landstinget och respektive kommun
SITHS Införande 2. DELAT ANSVAR Landstinget sköter all nationell avtalsteckning. Kommunen sköter administrationen av personer i HSA samt kortutgivningen. Avtal tecknas mellan landstinget och respektive kommun.
SITHS Införande 3. KOMMUNENS EGET ANSVAR Egen anslutning. Kommunen sköter all nationell avtalsteckning och administration av personer i HSA samt kortutgivning.
SITHS Införande Skapa säkra och aktuella underlag till e-legitimation och e-tjänstelegitimation. Organisationen garanterar alltså uppgifterna om medarbetaren.
Granskningsdokument Tillämpningsanvisning RAPS Skriftliga rutiner till Handläggare Layout på kort (och baksidestext) Informationsfolder till Medarbetare Kvittenstext för Medarbetare (inkl Telia)
SITHS Införande
Agenda om SITHS Vad är SITHS SITHS Införande SITHS Avtal Val av teknik och produkter SITHS i praktiken
Avtal
Avtal Grundavtal för IT tjänster Tjänsteavtal Sjunet Tjänsteavtal HSA SITHS CA Policy SITHS RA Policy Telia CPS HCC specifikation Mifare Specifikation Formalia med avtal Granskningsdokument Tjänsteavtal SITHS (RAPS Telia Leveransavtal RAPS, Kontaktpersoner, Utgivningsrutiner för kort/certifikat) (Kundunika villkor, Beställning, Tilläggsbeställning, Annullering, Kortspecifikationer, information om Handläggare) SIS godkännande (Om SIS kort) Utfärdartillstånd (Standardkort)
SITHS Avtal 1 3 2 Förvaltning 5 4 Kund 6 8 7 1. Kund efterfrågar avtal. 2. Förvaltningen kompletterar avtalshandlingar med kundunika uppgifter. 3. Avtal omformateras till PDF-formulär och skickas till kund. 4. Avtalshandlingar kompletteras och skrivs ut för undertecknande. 5. Avtal sänds elektroniskt och per post till Sjukvårdsrådgivningen. 6. Avtalshandlingar kompletteras med vårt undertecknande. 7. Kundens originalhandlingar g återsänds undertecknade. 8. Sjukvårdsrådgivningens originalhandlingar arkiveras (elektroniskt/papper).
Agenda om SITHS Vad är SITHS SITHS Införande SITHS Avtal Val av teknik och produkter SITHS i praktiken
Teknik och produkter Organisationens logga Chip för lagring av e-legitimationer Inbyggd funktion för beröringsfri inpassering (RFID-chip) Baksida: Magnetremsa för t ex inpassering Baksida: Streckkod
Teknik och produkter RFID - Mifare RF Interface (ISO 14443 A) ( ) HiCo magnetband med 3 spår - ISO standard 7811 1-6
Teknik och produkter SITHS Admin SIS Capture Station
Teknik och produkter Vem kan få ett SITHS-kort? anställd av organisationen med uppdrag åt organisationen (konsult eller liknande) olika egenskaper hanteras med olika kortprodukter
Teknik och produkter Val av kortprodukt SISS kort Rese rvkort Företagskort
Teknik och produkter Val av kortprodukter
Agenda om SITHS Vad är SITHS SITHS Införande SITHS Avtal Val av teknik och produkter SITHS i praktiken
SITHS i Praktiken Förvaltning av SITHS Central Förvaltning - sprida beslut -samla in behov Lokal förvaltning (eller vad innebär RA-uppdraget?) - supportuppdrag (kontaktvägar, Kundtjänst, lokal säljare) ) - ansvar för information lokalt - ansvar för utbildning - ansvar för införande - ansvar för uppföljning
Förvaltningsstyrning av SITHS SITHS i Praktiken
SITHS i Praktiken Registrering i Ärendebevakning Kontrollfrågor (FAQ, 10-topp ) Atlk Avtal, kontaktlistor tktlit Verksamhet lokal firstline support Telia Second line support Kontrollfrågor (FAQ, 10-topp ) Avtal Grundavtal för IT-tjänster Tjänsteavtal SITHS Bilaga Kontaktuppgifter
SITHS i Praktiken Varje RA-organisation bemannas med ett antal roller för att effektivisera och decentralisera dess arbete.
SITHS i Praktiken RA (Registration Authority eller kort/certifikat utfärdare) Huvudansvarig, behörighetsadministration, konfigurering och intern revision ORA (Områdes RA) delansvarig, behörighetsadministration KRA (Kort RA eller Handläggare ) utgivning och återlämning av fotoförsedda kort LRA (Lokal RA) utgivning av reservkort och elektroniska tjänstelegitimationer Dessutom Säkerhetsansvarig Registeransvarig
Vad gör en RA? Ett övergripande ansvar: att RA-organisation följer CA-, RA-policy och RAPS att RAPS tas fram samt uppdateras vid förändringar i CA- och RA-policy samt i den egna verksamheten att upprätta och underhålla kontinuitetsplaner att informationsspridning och förankringsarbeten genomförs att utse behöriga ORA personer och ge roller i SITHS Admin att utse behöriga KRA/LRA personer och ge roller i SITHS Admin att upprätta och underhålla förteckning över rollinnehavare att konfigurera organisationens parametrar att konfigurera verksamhetens e-post och kvittensmallar att initial kortbeställning genomförs (minst till en KRA) att beställa/spärra HCC Organisation eller HCC Funktion att arkivera avtal, förteckningar och kvittenser (funktions- o organisations certifikat)
Vad gör en KRA/LRA? Ett operativt ansvar: att beställa kort/certifikat att genomföra avregistrering g och spärr av kort/certifikat att relevant information sprids, t ex rutiner vid spärrning och felanmälan att registerutdrag och arkivering genomförs
Vad gör en Säkerhetsansvarig? Ett övergripande ansvar för säkerhetsarbetet: att planering av intern/extern revision genomförs att xra ej har annat uppdrag som kan stå i konflikt med uppdraget att xra kan anses dugliga och ej innebära riskfaktorer i uppdraget att xra har utbildning för att fullgöra sina arbetsuppgifter på ett säkert sätt att arbetsplatsen inte lämnas med SITHS-kort obevakat att arbetsplatsen är inom låsbart utrymme med låsbara skåp för förvaring av arkivmaterial eller annat känsligt material
Vad gör en Registeransvarig? Ett övergripande ansvar för registerarbetet: t t att arkiv- och registervård genomförs att medverka vid revisionsarbeten att register över undertecknade kort- och certifikat kvittenser underhålls
Agenda om SITHS Vad är SITHS SITHS Införande SITHS Avtal Val av teknik och produkter SITHS i praktiken - kortbeställning
SITHS i Praktiken SITHS Admin SIS Capture Station Beställning och utgivning av kort och certifikat 1. Ett Beställningsuppdrag skapas 2. Ett Beställningsunderlag skapas 3. En Beställning genomförs 4. En Kortutlämning genomförs 5. En avregistrering och en spärr av kort/certifikat genomförs Arkivering sker under några steg
Beställningsunderlag Beställningsuppdrag Återlämna kort Beställning Lämna ut kort
SITHS i Praktiken Identifieringskrav Vi ger ut ID-handlingar. Det finns därför ett krav på att kontrollera vem mottagaren egentligen är.
SITHS i Praktiken Skede 1 Beställningsuppdrag 45
Beställningsuppdrag Skede 1 Exempel Pär Olsson, 18911011-9808, 9808, Företagskort, 5 år Ove Andersson, 18911013-9806, 9806 Företagskort, 5 år
Beställningsunderlag Skede 2 Skede 2 Beställningsunderlag 47
Beställningsunderlag Skede 2 Exempel Pär Olsson, 18911011-9808, 9808, Företagskort, 5 år Ove Andersson, 18911013-9806, 9806 Företagskort, 5 år
Beställningsunderlag Skede 2 Beställningsunderlag kan genomföras innan g g g medarbetaren anländer till Handläggaren
Beställning Skede 3 Skede 3 Beställning 50
Beställning Skede 3 Identifieringskrav 1. Handling från medarbetaren -plockas ut ur fodral, edyl av medarbetaren. 2. Personbedömning - finns det en anledning till att vara misstänksam? 3. Titta först på individen - därefter på ID-handlingen. 4. Kontrollera ID-handling - ej ändrad/skadad/giltighetstid/notering av NID, SIS, KK eller EU-Passnummer. 5. (Kontroll av kort för betalning - utgår då vi ej hanterar VISA-kort eller liknande) 6. Kontroll av namnteckning - en namnteckning på ett kvitto skall överensstämma med ID-handlingens namnteckning. 7. Återlämna handling Vid misstanke; djupare kontroll, behåll om möjligt ID-handling, fotografera om möjligt medarbetaren, samråd med närmaste chef, larma polisen via 112.
Beställning Skede 3
Beställning Skede 3 En inskannad namnteckning kan hamna upp o ned. Detta åtgärdar du med funktionen Rotera.
Beställning Skede 3 Är du nöjd med foto o namnteckning samt att övriga uppgifter är korrekta, så aktiverar du Godkänn. Är något oklart, aktivera Godkänn ej.
Aktivera Skicka beställning(ar). Signera beställningen Beställning Skede 3
Beställning Skede 3 När beställningen är genomförd, så erbjuds du att spara foton som skapats för denna beställning. Du får upp en vanlig filbrowser och kan då fritt välja fram den mapp (lokalt eller centralt) som du har tillgång till. Du kan även skapa nya undermappar för en bättre struktur.
Lämna ut kort/certifikat Skede 4 Skede 4 Lämna ut kort/certifikat 57
Lämna ut kort/certifikat Skede 4 Ett kort måste alltid Lämnas ut. Även ett reservkort måste lämnas ut för att en medarbetare skall kunna ladda ned ett SITHS certifikat.
Avregistrering/spärr av kort/certifikat Skede 5 Skede 5 Återlämna och spärra kort/certifikat 59
Avregistrering/spärr av kort/certifikat Skede 5 Återlämning av ett SITHS-kort eller reservkort till Korthandläggaren ska ske då personen slutar sin anställning eller sitt uppdrag. Det är chefen eller uppdragsgivaren för den anställde som ansvarar för att detta sker. Återlämning sker också då identitetsuppgifterna på SITHS kortet och/eller i den personliga e-legitimationen på kortet har blivit ogiltiga, t ex då giltighetstiden på kortet och e-legitimationen gått ut eller om det är något tekniskt fel på kortet. Vid återlämning av SITHS kort spärras tillhörande giltiga g e-legitimationer och själva kortet klipps genom chippet. Reservkort återlämnas då det har använts i väntan på ett SITHS kort. Skälet till återlämning/spärr skall registreras.
Arkivering Arkivering 61
Arkivering I samband med beställning och utlämning av SITHS kort och certifikat finns det krav på arkivering. Det som ska arkiveras är beställningsunderlag för SITHS kort (hanteras elektroniskt) och kortkvittenser som skrivs på i samband med utlämning av SITHS kort (hanteras elektroniskt). Kvittensunderlag för Funktionscertifikat skrivs ut på papper och undertecknas. Dessa underlag skickas till registeransvarig som arkiverar det enligt gällande regler.
Arkivering Kortkvittenser till Företagskort arkiveras under Företagskortets giltighetstid och tio år därefter. SIS kräver kortets giltighetstid och ett år därefter. Registret skall förvaras med betryggande säkerhet, exempelvis valv, värdeskåp eller annat väl skyddat utrymme. Eller elektroniskt. Registret får endast vara tillgängligt för register- och säkerhetsansvarig personal samt handläggare och vid kontrollbesök även för Driftleverantörens kontrollant. Tips! Manuella kortkvittenser arkiveras förslagsvis i ordning efter födelsedag exempelvis i pärmar Tips! Manuella kortkvittenser arkiveras förslagsvis i ordning efter födelsedag, exempelvis i pärmar. Registret skall vara i sådan ordning att telefonförfrågningar om uppgifternas riktighet omgående kan besvaras. Normalt sker arkiveringen av kort/certifikat elektroniskt i form av SITHS Admin.