Anslutningsavtal. inom Infrastrukturen för Svensk e-legitimation. Bilaga 4 Rapporteringsrutiner. för Utfärdare av Svensk e-legitimation

Relevanta dokument
Anslutningsavtal. inom infrastrukturen för Svensk e-legitimation. Bilaga 4 Rapporteringsrutiner. för utfärdare av Svensk e-legitimation

Regelverk för identitetsfederationer för Svensk e-legitimation

Ledning och styrning av IT-tjänster och informationssäkerhet

BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1

för identitetsfederationer för Svensk e-legitimation

Sjunet Anslutningsavtal Förenklat regelverk för informationssäkerhet

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Informationssäkerhetspolicy

Ärendenr Regelverk. Valfrihetssystem 2017 E-legitimering. Sida 1 av 18

Riktlinjer för dataskydd

Regelverk. Valfrihetssystem 2017 E-legitimering

BILAGA 3 Tillitsramverk

BILAGA 3 Tillitsramverk Version: 2.02

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av it-incidenter 1

Vägledning om rapportering av incidenter för leverantörer av digitala tjänster enligt NISregleringen

Sweden Connect ÖVERENSKOMMELSE. med förlitande myndighet beträffande funktioner för elektronisk identifiering UTKAST kl.

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Utredningen om genomförande av NIS-direktivet

Regelverk. Infrastruktur för vidareförmedling av grundläggande uppgifter om företag. Version: 2.0

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Förvaltningsforum 20 maj maj

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Ledningssystem för IT-tjänster

Ärendenr Regelverk. Valfrihetssystem 2018 E-legitimering. Sida 1 av 19

PERSONUPPGIFTSBITRÄDESAVTAL

Finansinspektionens författningssamling

Personuppgiftsbiträdesavtal

Personuppgiftsbiträde

Riktlinjer för hantering av personuppgifter

(5)

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Informationssäkerhetspolicy för Ånge kommun

Avtal om Kundens användning av 1177 Vårdguiden på Telefon

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Svensk författningssamling

Bilaga - Personuppgiftsbiträdesavtal

BILAGA Personuppgiftsbiträdesavtal

Strukturerat informationssäkerhetsarbete

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Regelverk för identitetsfederationer för Svensk e-legitimation

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Regelverk. Infrastruktur för vidareförmedling av grundläggande uppgifter om företag. Version: 3.0

Normativ specifikation

Riktlinjer för informationssäkerhet

Svevac - Beskrivning och tjänstespecifika villkor

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

Informationssäkerhetspolicy för Ystads kommun F 17:01

Bilaga Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.

Informationssäkerhetspolicy inom Stockholms läns landsting

Infrastrukturen för Svensk e-legitimation

Policy för informationssäkerhet

Förfrågningsunderlag

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

för identitetsfederationer för Svensk e-legitimation

Personuppgiftsbiträdesavtal

Finansinspektionens författningssamling

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

AVTAL OM SAMVERKAN. för. gemensam uppföljning inom området för arbetsmarknadsinsatser för unga arbetssökande genom möjlighet att lämna statistik till

Regelverk för identitetsfederationer för Svensk e-legitimation

Tillägg om Zervants behandling av personuppgifter

Anslutningsavtal. inom Identitetsfederationen för offentlig sektor. för Leverantör av eid-tjänst

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

TILLÄMPNING. Hudiksvalls kommun. och. hantering av skyddade personuppgifter

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Myndigheten för samhällsskydd och beredskaps författningssamling

Finansinspektionens författningssamling

Regler och instruktioner för verksamheten

I n fo r m a ti o n ssä k e r h e t

Anslutningsavtal. inom identitetsfederationen för offentlig sektor. för leverantör av eid-tjänst

Koncernkontoret Enheten för säkerhet och intern miljöledning

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhet för samhällsviktiga och digitala tjänster

Tillitsregler för Valfrihetssystem 2018 E-legitimering

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Årsrapport Itincidentrapportering

Personuppgiftsbiträdesavtal

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Förändringar i regelverket avseende införande av intygskonverteringstjänst och alternativt tekniskt anslutningsförfarande

LRF Konsult AB, , är personuppgiftsansvarig för företagets behandling av personuppgifter.

Riktlinjer för informationssäkerhet

Bilaga 1: Personuppgiftsbiträdesavtal 1/10

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Gunnebo Industriers Integritetspolicy för kunder och leverantörer

Överenskommelse om myndighetssamverkan

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Riktlinjer för informationssäkerhet

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser

Sjunet standardregelverk för informationssäkerhet

Transkript:

1 (5) Anslutningsavtal för Utfärdare av Svensk e-legitimation inom Infrastrukturen för Svensk e-legitimation Bilaga 4 Rapporteringsrutiner

2 (5) 1. Bakgrund och syfte 1.1 Detta dokument är en bilaga till huvudtexten i Anslutningsavtalet för Utfärdare av Svensk e-legitimation (Avtalet). De begrepp som definieras i huvudtexten har samma betydelse i denna bilaga. 1.2 Bilagan redovisar de rutiner som ska gälla avseende rapportering av fel, övriga störningar och incidenter samt statistik enligt vad som framgår av Avtalet. 2. Definitioner I denna bilaga betyder 1. Allvarlig incident: Incident som innebär en betydande störning för verksamheten eller för de som använder tjänsten, 2. Incident: oplanerat avbrott i en tjänst, en minskning i kvaliteten hos en tjänst eller en händelse som ännu inte har påverkat leveransen av en tjänst till kunden. Med incident avses här också fel och andra störningar. En incident är öppen fram till dess incidenten är åtgärdad och tjänsten är verifierat återställd, 3. Informationssäkerhetsincident: en enskild eller en serie av oönskade eller oväntade informationssäkerhetshändelser som har en signifikant sannolikhet att äventyra verksamheten och hota informationssäkerheten, och 4. Känt fel: identifierad grundorsak till en eller flera Incidenter eller en metod för att reducera eller eliminera Incidentens påverkan på tjänsten genom en tillfällig lösning. 3. Kontaktvägar 3.1 Utfärdaren ska rapportera till E-legitimationsnämnden. 3.2 Utfärdaren ska etablera och upprätthålla kontaktvägar för rapportering till och från E-legitimationsnämnden,

3 (5) hålla E-legitimationsnämnden underrättad om aktuella kontaktvägar och kontaktuppgifter för denna rapportering. 3.3 Rapportering och återkoppling ska ske med elektroniska medel enligt E-legitimationsnämndens vid var tidpunkt gällande instruktion. 4. Incidentrapportering 4.1 Allvarliga incidenter och Informationssäkerhetsincidenter ska rapporteras snarast utan onödig fördröjning. 4.2 Så länge en Incident, som är rapporterad enligt punkt 4.1, är öppen ska Utfärdaren hålla E-legitimationsnämnden uppdaterad om Incidenten. 4.3 Incidentrapport ska omfatta (c) (d) (e) (f) (g) (h) Utfärdarens namn (rapportör), kort beskrivande benämning på Incidenten (namn), unik referens för Incidenten (referens), status på Incidenten (status), kategorisering av Incidenten (kategorisering), när Incidenten inträffade eller den uppskattade tidpunkten för den (tidpunkt), när Utfärdaren upptäckte Incidenten (upptäckt), beskrivning av Incidenten (beskrivning), och (i) bedömning av Incidentens omfattning och konsekvenser samt annan information som kan vara av värde för övriga parter inom infrastrukturen för Svensk e-legitimation (analys). Rapportens struktur och format ska följa E-legitimationsnämndens vid var tidpunkt gällande instruktioner. Om Utfärdaren inte har fullständiga uppgifter i alla delar för rapporten vid rapporteringsögonblicket kan rapporten kompletteras vid senare tillfälle.

4 (5) I vissa fall kan det vara lämpligt eller nödvändigt att lämna begränsat med information i incidentrapporten. Det kan till exempel gälla om Incidenten polisanmäls eller för att inte känslig information ur ett informationssäkerhetsperspektiv ska avslöjas. Se även avsnitt 7 om allmän handling. 4.4 På anmodan av E-legitimationsnämnden ska Utfärdaren komplettera inlämnade uppgifter om en incident med de uppgifter som behövs för att klarlägga hur incidenten kan påverka säkerheten i informationshanteringen inom infrastrukturen för Svensk e-legitimation. 4.5 Om Utfärdaren använder sig av underleverantör för att utföra del av tjänst, ska Utfärdaren genom avtal med underleverantören säkerställa att Incidenter kan hanteras och rapporteras på sätt som framgår av denna bilaga. 5. Statistik 5.1 Utfärdaren ska varje månad sammanställa och redovisa följande statistik: (c) antal personer som har någon giltig e-legitimation antal giltiga e-legitimationer per typ och tillitsnivå antal e-legitimationer per typ och tillitsnivå som under månaden: (i) (ii) (iii) utfärdats spärrats/upphört att gälla pga. att giltighetstiden löpt ut spärrats av annat skäl 5.2 Utfärdaren ska rapportera in statistik till E-legitimationsnämnden månadsvis. 5.3 Statistikrapporten för Utfärdaren ska avse kalendermånad och rapporteras senast den 15:e i efterföljande månad. Av rapporten ska framgå vilken månad som avses för rapporterad statistik. 5.4 Statistikrapporternas struktur och format ska följa E-legitimationsnämndens vid var tidpunkt gällande instruktioner.

5 (5) 5.5 Rapporterat statistikunderlag ska inte medge att det går att härleda enskilda transaktioner mellan användare och e-tjänst. 6. E-legitimationsnämndens återkoppling 6.1 E-legitimationsnämnden ska ge återkoppling till Utfärdaren vad som framkommit av incidentrapporteringen och E-legitimationsnämndens arbete i övrigt avseende informationssäkerhet och nya hot- och risker. 6.2 Återkoppling ska ges regelbundet och i övrigt när det behövs för skyddet inom infrastrukturen för Svensk e-legitimation. 7. Allmän handling, sekretess, persondataskydd, etc. 7.1 Information som inkommer till eller lämnas ut av E-legitimationsnämnden blir allmän handling hos myndigheten. Allmän handling kan begäras utlämnad. Vid utlämnade ska en sekretessprövning ske. Men även om myndigheten bedömer att handlingen inte kan lämnas ut på grund av att handlingen innehåller uppgifter som omfattas av sekretess kan det inte garanteras att handlingen inte kommer att lämnas ut, eftersom myndighetens beslut kan komma att prövas i domstol. Rapportering till och från E-legitimationsnämnden bör därför inte omfatta information som kan skada informationssäkerheten inom identitetsfederationen eller annat typ av information som kan betraktas som affärshemlig. 7.2 Behandling av personuppgifter regleras av personuppgiftslagen. För det fallet att någon part lämnar ut personuppgifter till annan part i samband med rapportering kan den mottagande parten bli ansvarig gentemot den rapporterande parten för den vidare behandlingen av personuppgifterna. Personuppgifter bör i så liten omfattning som möjligt ingå i rapporteringen mellan parterna.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss