Att tillitsdeklarera

Tillitsgranskning är en metodutveckling som hjälper till att vidareutveckla ett existerande säkerhetsarbete. Att tillitsgranskas är därför ett naturligt steg i arbetet med säkerhet. Nedan hittar du information som kan vara till nytta vid tillitsdeklarationen.

En tillitsdeklaration är en självdeklaration över hur den sökande lever upp till de krav som anges i Sambi Bilaga 3 – Tillitsramverk v2.02. Den sökande behöver bifoga dokument som styrker information angiven i deklarationen enligt följande:

  • Riskanalys – visar vilka säkerhetsåtgärder som behövs
  • Införande av ledningssystem för informationssäkerhet (LIS) – anger riktlinjer och regler för säkerheten (baseras lämpligen på ISO/IEC 27001)
  • Revision – visar om och hur de säkerhetsåtgärder som riskanalysen påvisade är uppfyllda

Att tillitsdeklarera består av fem steg;

  1. Avgränsa område
  2. Ingå tillitsgranskningsavtal
  3. Fyll i tillitsdeklarationsmallen
  4. Anmäl att tillitsdeklaration är klar
  5. Sänd tillitsdeklarationen

Dessa steg är beskrivna i mer detalj här nedanför. Längst ner på sidan finns ytterligare information som kan vara till hjälp inför och under arbetet att tillitsdeklarera

Vid frågor kring tillitsdeklarationen och det förberedande arbetet eller om ni önskar boka in ett förberedande möte, kontakta oss gärna på e-post tillit@sambi.se.

Som Användarorganisation kan man även låta ett Sambiombud sköta Tillitsgranskningen som genom att paketera en teknisk och administrativ tjänst inom Sambis ramar och bistå Användarorganisationen med att leva upp till kraven i Sambis Tillitsramverk.

1. Avgränsa området som ska tillitsgranskas

–   Vilken del av er organisation ska granskas?

Sökande bör avgränsa tillitsdeklarationen till den del av organisationen som härrör till verksamhetens funktion i Sambi. Genom att avgränsa blir det tydligare vad som ska ingå i tillitsdeklarationen och även mer hanterbart.

–   Omfattar granskningen flera tjänster och/eller flera underleverantörer?

I de fall sökanden ansöker om flera tjänster, eller använder flera utfärdare av e-legitimation, ska var och en av dessa redovisas. Om sökande till exempel har SITHS och en egen utgivning av kort/dosor eller dylikt ska samtliga redovisas i tillitsgranskningen.

Observera att om sökanden har delar i sin lösning, exempelvis SITHS, och som redan har tillitsdeklarerats av någon annan, räcker det med att hänvisa till en redan godkänd deklaration i tillitsdeklarationen. Här finns information om vilka som är godkända.

2. Ingå tillitsgranskningsavtal

Innan en sökande kan skicka in en tillitsdeklaration behöver sökande först ingå ett tillitsgranskningsavtal med federationsoperatören och anmäla en kontaktperson för tillitsgranskningsprocessen.

3. Fyll i tillitsdeklarationsmallen

Denna tillitsdeklarationsmall ska fyllas i av den sökande utifrån vilken sorts part den sökande är.

I tillitsdeklarationsmallen ingår nedanstående områden A-E. All information under rubriken ’A. Generella krav’ ska fyllas i (av alla). Därefter fylls endast aktuella avsnitt i beroende på vilken typ av part den sökande är.

  1. Generella krav
  2. E-legitimationsutfärdare
  3. Attribututgivare
  4. Identitetsintygsutgivare
  5. Tjänsteleverantör

4. Anmälan att skicka in tillitsdeklarationen

När arbetet med att fylla i tillitsdeklarationen och ta fram de kompletterande underlag som styrker det som beskrivs i deklarationen är färdigt, är det dags att skicka in tillitsdeklarationen.

Federationsoperatören hanterar allt inkommet underlag för en tillitsgranskning som konfidentiellt. Det är därmed viktigt att överföringen av data sker säkert. Därför behöver sökande först anmäla att de är redo att sända in tillitsdeklarationen via e-post till: tillit@sambi.se.

Tillitsadministratören kommer då att skapa ett konto i filöverföringssystemet Sambi dokumenttransport samt meddelar den sökande hur överföringen av dokumenten kommer att ske.

5. Skicka in tillitsdeklarationen

Så snart den sökande tagit emot inloggningsuppgifter till systemet för överföring av filer, Sambi dokumenttransport, kan tillitsdeklarationen med tillhörande dokument skickas in till federationsoperatören.

Sökande får svar inom 10 arbetsdagar om den inskickade tillitsdeklarationen är fullständig eller ifall det kan behövas någon komplettering av innehållet, innan granskare kan utses och en tillitsgranskning påbörjas.

Mer information om tillitsgranskningens tidsramar finns här.

 

Information som kan vara till hjälp

Här nedan finns en samling länkar till dokument och kortfattad information som kan vara till hjälp när man som sökande står inför att tillitsdeklarera.

Tillitsdeklarationsmall

För att tillitsdeklarera ska sökanden använda en tillitsdeklarationsmall. Mallen fylls i utefter vilka delar som är aktuella beroende på vilken typ av part man tillitsdeklarerar för.

Tillitsramverk

Sambi kräver att alla medlemmar lever upp till de säkerhetskraven som ställts av federationen och som finns samlat i Sambi Bilaga 3 – tillitsramverk.

Granskarnas granskningsinstruktioner och checklista

Granskarnas granskningsinstruktion och checklista för tillitsdeklaration kan ge en fördjupad insyn i vad som som ska granskas.

Riskanalys och hotkatalog

Sambi ställer krav på att dess medlemmar ska bedriva ett aktivt informationssäkerhetsarbete som omfattar de delar av verksamheten som berörs av Sambi. Grundläggande för ett strukturerat informationssäkerhetsarbete (ISO/IEC 27001 , ledningssystem för informationssäkerhet, LIS, eller motsvarande) är att regelbundet genomföra en riskanalys. Riskanalysen används för att utforma skyddet så att det passar verksamhetens informationstillgångar. Om man inte känner till vilka risker som finns är det svårt att utforma ett säkert och kostnadseffektivt skydd. För att genomföra en riskanalys behövs en aktuell lista över relevanta hot. För att underlätta arbetet för Sambis medlemmar har denna ”hotkatalog” tagits fram: Hotkatalog_2015-10-27_v1.1.pdf.

Information och ett praktiskt stöd

För att etablera och driva ett systematiskt informationssäkerhetsarbete finns information och ett praktiskt stöd på webbplatsen informationssakerhet.se. Webbplatsen tillhandahålls av MSB, Myndigheten för samhällsskydd och beredskap i samverkan med andra myndigheter.

Frågor och svar

I frågor och svar finns mer information om tillitsgranskningen.

Delta i kurs

Vi erbjuder två kurser i Sambi, en grundkurs och en tillitsdeklarationskurs. För mer information om kurstillfällen, innehåll och anmälan besök gärna kalendariet. Det är inte ett måste att gå båda kurserna.