SITHS RA-dag 2014-11-25
Agenda Hur långt har vi kommit med upphandlingen? Avropsmall Kammarkollegiet kortupphandling. Varför kan vi inte köpa vilka kort som helst? Erfarenheter från RA-personer informationsutbyte i sjukvårdsregionerna Information om årets revision Status RAPS Förändringar i funktionscertifikat Massutbyte av SITHS- kort och certifikat hur gör man?
Inledning!
Personer som arbetar med SITHS på Inera? Team SITHS Jessica Nord, Ansvarig SITHS Rolf Åström, Projekt, inför mottagande av SITHS upphandling Christoffer Johansson, Teknikansvarig, funktionscert Ulla Kihlås, Dispascher, support, testkort Therese Odmar, Domänvalidering, grovgranskning RAPS Katrine Streng, Förvaltningsstöd, revison av anslutna kunder Sandra Jarlö, Utbildning, fingranskning RAPS Ulrika Nilsson, Utvecklingsansvarig
SITHS Förvaltningsgrupp/ SITHS Policy Authority Kerstin Arvedson, Ordförande, Stockholms läns landsting Wlodzimiertz Bislawski, Stockholms läns landsting Fredrik Rasmusson, Västra Götalands regionen Johan Zenk, Landstinget i Östergötland Lena Lander Johansson, Landstinget i Jönköping Susanne Danielsson, Landstinget i Kalmar län Kerstin Hörstedt, Region Skåne Jessica Nord, Inera AB
Landsting/regioner i samverkan för e-hälsa Sveriges landsting och regioner Styrelse Presidium Beredningsgrupp Inera Programråd Förvaltningsgrupper Förvaltningsgrupper Förvaltningsgrupper Förvaltningsgrupper Projektstyrgrupper Projektstyrgrupper Projektstyrgrupper Projektstyrgrupper
Upphandling och Kortavrop
Deltagare i projektet Kent Wärme acando Kerstin Arvedson SLL Lars-Ola Bohlin Markaryd Fredrik Rasmusson VGR Malin Allard Mawell Christoffer Johansson Inera Rolf Åström Inera Marie Thorsell Affärsconcept Johan Breidemalm Affärsconcept
Identifieringstjänst Innehåll: Vad är ett SITHS-kort? Vad används SITHS-kort till? Varför kan man lita på SITHS-kort? SITHS konceptet idag och med kammarkollegiets avtal Upphandling/Avrop av kort Tidplan
Vad är ett SITHS-kort? Det är en Identifieringstjänst som kallas SITHS SITHS är en tjänstelegitimation för både fysisk och elektronisk identifiering. Ett ordinarie SITHS-kort innehåller ett personligt Telia e-leg som visar vem du är, och ett SITHS-certifikat som visar identiteten i din yrkesroll.
Vad används SITHS-kort till? Inloggning till datorer, olika system, e-tjänster framförallt inom vården, men också hos myndigheter. Fysisk och elektronisk ID-handling, både i tjänsten och privat. Elektronisk signering av avtal, fakturor, journalhandlingar, recept, med mera. Signering samt kryptering av e-postmeddelanden. Inpassering och utskrifter med mera.
Varför kan man lita på SITHS-kort? SITHS är en säker identifiering därför att: SITHS-kort med tillhörande e-legitimationer utfärdas efter SITHS regelverk. samtliga kortutfärdare följer SITHS regelverk och kontrolleras både via interna revisioner och av extern revisionsbyrå. SITHS är en WebTrust-certifierad Certificate Authority (CA), vilket innebär att SITHS CA följer ett av de globala regelverk som krävs för att man ska kunna ansöka om att bli globalt betrodd hos vissa systemleverantörer.
Hur projektet arbetat över tid Kravdokument Certification Authority (CA) PKI, spärrtjänster Administrationsverktyg PKI-klient Migrering Vidmakthållande/förvaltning Service desk Införande 14
SITHS konceptet idag: Regelverk Policy Central Förvaltning RA-organisationer Kort och certifikat
SITHS konceptet med kort från Kammarkollegiet Regelverk Policy Central Förvaltning RA-organisationer Kort Kort Kort Kort Kort Certifikat
Upphandling/Avrop av kort Den part som upphandlar eller avropar kort där avsikten är att använd det som SITHS-kort måste i sin kravspecifikation ta med krav som bygger på policy, regelverk och tekniska krav som definieras av projektet. Om något av de krav som definierats inte tas med vid upphandling/avrop kommer kortet inte att godkännas. Policy och rutiner för att beställa, producera och lämna ut SITHS-kort kommer att kontrolleras både via interna revisioner och av extern revisionsbyrå.
Tidplan Identifieringstjänst AKTIVITET TIDPLAN veckonummer och månadsskifte 28-apr 02-jun 30-jun 04-aug 01-sep 29-sep 03-nov 01-dec 29-dec 2015 Nr Beskrivning 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 1 2 3 4 5 6 7 8 9 10 11 12 13 1 1.1 Kravanalys Kravanalys CA och admin funktionella krav 1.1.1 1.2 Kvalitetssäkring av funktionella krav Icke funktionella krav 1.2.1 Krav på migrering 1.2.1.1 Samarbete kort- och CA-lev 1.2 Kravanalys; underlag för kortavrop 1.2.2 Kvalitetssäkring underlag för kortavrop 1.3 Kravställa affärsmodell 1.3.1 Inhämta och förstå affärsmodell 1.3.2 Analysera affärsmodel och kravställa 2 2.1 Upprätta Förfrågningsunderlag Kvalitetssäkring av Förfrågningsunderlag 3 3.1 3.2 3.3 Annonsera Anbudstid (ingen aktivitet) Besvara frågor från presumtiva anbudsgivare Bjuda in anbudsgivare för frågor och svar 4 Öppna anbud Ö 5 5.1 5.2 5.3 5.4 6 6.1 Prövning och utvärdering av anbud Kvalificering av anbudsgivare Ta in referenser Utvärdering av anbud Anbudsgivare presenterar sin lösning Beslut Skriva och skicka tilldelningsbeslut B 6.2 Överprövningstid (ingen aktivitet) 7 Avtal 7.1 7.2 Upprätta avtal Skriva under avtal 02-feb 02-mar 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 1 2 3 4 5 6 7 8 9 10 11 12 13 28-apr 02-jun 30-jun 04-aug 01-sep 29-sep 03-nov 01-dec 29-dec 2015 02-feb 02-mar
Tidplan Identifieringstjänst AKTIVITET TIDPLAN veckonummer och månadsskifte 28-apr 02-jun 30-jun 04-aug 01-sep 29-sep 03-nov 01-dec 29-dec 2015 Nr Beskrivning 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 1 2 3 4 5 6 7 8 9 10 11 12 13 1 1.2.1.1 Kravanalys Samarbete kort- och CA-lev 1.2 Kravanalys; underlag för kortavrop 1.2.2 Kvalitetssäkring underlag för kortavrop 1.3.2 Analysera affärsmodel och kravställa 2 3 3.1 3.2 3.3 Upprätta Förfrågningsunderlag Annonsera Anbudstid (ingen aktivitet) Besvara frågor från presumtiva anbudsgivare Bjuda in anbudsgivare för frågor och svar 4 Öppna anbud Ö 5 6 6.1 Prövning och utvärdering av anbud Beslut Skriva och skicka tilldelningsbeslut B 6.2 Överprövningstid (ingen aktivitet) 7 Avtal 7.2 Skriva under avtal 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 1 2 3 4 5 6 7 8 9 10 11 12 13 28-apr 02-jun 30-jun 04-aug 01-sep 29-sep 03-nov 01-dec 29-dec 2015 02-feb 02-mar 02-feb 02-mar
Frågor?
Fråga och bensträckare!
Prenumererar ni på nyhetsbrev?
I huvudet på en RA
Indelning arbetsgrupper Gruppindelning 1-6
Input till bikuporna I vilka konstellationer ser ni man skulle kunna samarbeta? Hur får man igång ett samarbete? Inom vilka frågor tror ni man kan samarbeta? Vilka är de största svårigheterna i ert arbete idag?
LUNCH
Redovisning
Revision
Har ni gjort internrevision i år?
Revision SITHS 2014
Revision 2014 - Tidplan 31
Metoder Revision 2014 Enkät Ladda upp rutindokument Redogör för processer Kontrollkörningar/stickprov SITHS Aktiva kort för personer som slutat Kvittenser för utgivna kort Två besök och en telefonintervju 32
Områden Revision 2014 A. HSA B. Kontrollkörningar och stickprov HSA C. SITHS D. SITHS Stickprovskontroll E. Intern revision 33
SITHS-områden Revision 2014 Identifieringsrutiner Identifieringssätt Godkända id-handlingar Intygsgivning SITHS Kontrollkörningar/stickprovskontroller Kvittenser för alla utlämnade reservkort Kvittenser för ordinarie kort med status Utlämnat Aktiva SITHS-kort men personpost saknas i HSA 34
Identifiering och bedömning av brister Hög (allvarlig) ej uppfyllt regelverk eller omfattande /allvarlig gällande kvalitetssäkrings-/identifieringsrutiner Mellan delvis uppfyllt regelverk eller begränsad brist i omfattning eller allvarlighetsgrad Låg endast mindre justeringar eller kontroller Åtgärdad brist identifierad vid Ineras kontrollkörningar men åtgärdad vid besöket eller när enkäten skickades tillbaka
Totalt antal brister (104 st.) Fördelning per allvarlighetsgrad 3 15 39 Hög (allvarlig) Mellan Låg 47 Åtgärdad 36
Totalt antal brister per organisation Fördelning per allvarlighetsgrad 20 15 10 5 0 5 7 3 6 2 7 2 9 1 5 3 8 1 6 4 4 2 0 2 2 5 0 0 0 0 0 1 3 1 2 0 2 2 2 1 1 2 0 0 A B C D E F G H I J Hög (allvarlig) Mellan Låg Åtgärdad 37
Brister SITHS (44 st) exempel på allvarliga brister 23 1 1 19 Ej godkänd RAPS (5 org.) Rutinbeskrivningar saknas (identifieringsrutin, intygsgivning, etc.) Otillåten id-handling har använts i identifieringsprocessen EU-pass Fel persons id-handling registreras i SITHS Admin vid distansutgivning av reservkort (3 org.) Fel kvittensrutin då reservkort inte har kvitterats på papper 38
Brister stickprovskontroll SITHS exempel på allvarliga brister Efterfrågade kortkvittenser saknas (2 org.) Samma reservkort har lämnats ut till flera olika personer i produktionsmiljö (skarp miljö) Användes i utbildningssyfte 1 0 1 3 39
Brister Intern revision (12 st) exempel på allvarliga brister 10 2 0 0 Ingen intern revision har genomförts gällande SITHS de senaste 12 månaderna (4 org.) Inget dokument har laddats upp i enkäten som påvisar genomförd intern revision, kan inte styrkas att det gjorts senaste 12 månaderna Ej genomfört intern revision på korrekt sätt kan inte godkännas som gjord intern revision Bifogat dokument visade ingen kontroll av efterlevnad av rutiner 40
Reflektioner från årets revision Det är färre antal brister i år Vi får svar på våra frågor i större utsträckning Brister åtgärdas i snabbare takt än tidigare Anslutna organisationer och tjänster förstår vikten av revision och dess syfte 41
Kommande arbete Revision 2014 28 brister inom SITHS kvarstår Uppföljning av åtgärdsplaner: 15 november deadline för åtgärdsplaner Följs upp kvartalsvis Identifierade Prio 1-brister ska vara åtgärdade senast 2015-03-30 42
Revision 2013 aktuell status 12 organisationer valdes ut 141 brister identifierades totalt 2 brister inom SITHS kvarstår Sista Prio 1-bristen åtgärdades 20 november
Revision 2010 2012 Avslutade Samtliga identifierade brister har åtgärdats 44
RAPS
Status RAPS samt Rutiner Statistik framtagen: 2014-11-24 Totalt antal organisationer: 127 3 Godkända 42 62 Under granskning Grovgodkända 4 16 Hos kund för åtgärd Icke aktiva
Eskalerings processen Efter 3 månaders inaktivitet försöker vi kontakta organisationen via telefon under en vecka. Om ingen kontakt kan etableras skickad ett brev om eskalering ut till organisationen. Från den dagen brevet skickas har organisationen fyra veckor på sig att skicka in sina dokument. Har organisationen inte inkommit med efterfrågade dokument inom fyra veckor går ärendet vidare till högre instans för ev tvångsförvaltning.
Eskalerade ärenden 18 6 Eskalerade ärenden Inkommit efter eskalering
Hantering i Easy 1. Markera raden: 1. Lämplighet och anställning 2. Bocka i: Uppfyllt 3. Spara genom att klicka på disketten
Hantering i Easy 4. Markera raden: Självdeklaration för XX Organisationens namn 5. Klicka på fliken: Självdeklaration 6. Klicka på: Publicera den besvarade Självdeklarationen
Frågor
PAUS
Förändringar i funktionscertifikat Genomförda och kommande
Varför gör vi förändringarna? För att leva upp till de krav som ställs på SITHS som en betrodd CA. Kraven formuleras i huvudsak av CA/Browser Forum. En grupp bestående av stora certifikatsutfärdare och företag som utvecklar browsers och annat som använder certifikat, till exempel är Microsoft, Apple, Mozzila och Google medlemmar
2014-09-16 Nu mer bara möjligt att utfärda funktionscertifikat där cn är en FQDN (fully qualified domain name) alltså ett fullständigt DNS namn eller mailadress. Exempel: www.inera.se Gäller både SITHS Type 2 CA v1 och SITHS Type 3 CA v1
Avveckling av SITHS Type 2 CA v1 det vill säga SHA-1 2014-12-31 Maximal giltighetstiden för certifikat som utfärdas från SITHS Type 2 CA v1 blir permanent 2016-12-31 2015-12-31 SITHS Type 2 CA v1 stängs för utfärdande av nya certifikat Januari 2017 Nedstängning av SITHS Type 2 CA v1
Framtiden för P12 SITHS Type 3 CA v1 kommer med största sannolikhet inte att anpassas så att den kan ge ut P12 Det betyder att alla måste börja beställa P10 senast 2015-12-31 Börja redan nu att fundera på om alla era system kan skapa CSR Om inte måste ni skapa den möjligheten utanför systemen
Rapporter för byte av kort och HCC
Två rapporter som presenterar vilka kort som har en viss nyckellängd - 1024 eller 2048 vilka HCC från SITHS CA v3 som kan bytas ut - kort som har nyckellängd 2048
Utbyte av kort
Korten presenteras här under förutsättning att kortet som har status utlämnat eller mottaget och vars giltighetstid inte har passerats de lämnats ut av den organisation som sökningen utgår från i sökkriterierna dvs Lisebergs vårdcentral
Utbyte av HCC
HCC presenteras här under förutsättning att kortet de ligger på har status utlämnat eller mottaget och vars giltighetstid inte har passerats de lämnats ut av den organisation som sökningen utgår från i sökkriterierna dvs Lisebergs vårdcentral HCC är utfärdade av den egna organisationen för alla ordinarie kort, även om kortet som HCC:t finns på är utlämnat av en annan organisation
I Stockholmsregionen byter vi ut ca 14 000 SITHS-kort
Vi har möjlighet att byta ut 26 000 HCC 10 organisationer/kontor ska byta fler än 800 HCC
Vad händer nu? Vi vet att antalet bara minskar över tiden Vi tror att mindre organisationer kommer att kunna hantera detta Vi vet inte om Hela massutbytesfunktionen kan utvecklas till en rimlig kostnad Det finns något annat alternativ för de stora organisationerna
Avrundning