Granskningsprocess

För att säkerställa att Sambis medlemmar, godkända ombud och underleverantörer uppfyller kraven i tillitsramverket genomförs tillitsgranskningar.

Det finns två  vägar att Tillitsgranskas. Antingen väljer man att Tillitsgranskas via Sambi direkt  och då administreras tillitsdeklarationen av federationsoperatören IIS. Tillitsgranskningen utförs i sin tur av IIS:s utsedda oberoende granskare. Som Användarorganisation kan man även låta ett Sambiombud sköta Tillitsgranskningen som genom att paketera en teknisk och administrativ tjänst inom Sambis ramar och bistå Användarorganisationen med att leva upp till kraven i Sambis Tillitsramverk.

Det finns två former av tillitsgranskning, initial och återkommande.  Återkommande granskning görs vart tredje år. Processen ser likadan ut oavsett om tillitsgranskningen är initial eller återkommande.

Tillitsgranskningsprocess2

Uppstart

För nya sökanden inleds arbetet med att denne sänder in en intresseanmälan, varefter federationsoperatören påbörjar sin planering av uppdraget.

För återkommande tillitsgranskning av befintliga parter ska en tillitsgranskning ske var tredje år och hanteras på samma sätt som en ny. Federationsoperatören sänder ut en påminnelse senast fyra månader före utgångsdatumet för godkännandet som betrodd part.

  • Den sökande får information om tillitsgranskningen och möjlighet att delta i kurser.
  • Möte bokas vid behov, antingen fysiskt eller via nätet.
  • Det klargörs vad tillitsgranskningen avser, om man ska granskas som användarorganisation, tjänsteleverantör, ombud eller underleverantör.

När denna del är avslutad förväntas den sökande ha en god bild av vad arbetet omfattar, vad som krävs av dem, ha en övergripande plan och ha avsatta resurser för arbetet.

Tillitsgranskningsavtal

Syftet med detta steg är att formalisera granskningsuppdraget i ett påskrivet tillitsgranskningsavtal mellan den sökande och federationsoperatören. Tillitsgranskningsavtalet ska vara på plats innan tillitsgranskningen påbörjas.

I samband med att det undertecknade tillitsgranskningsavtalet returneras till den sökande faktureras också granskningsavgiften.

När tillitsgranskningsavtalet har skrivits under av båda parter instrueras den sökande att sända in sin tillitsdeklaration med tillhörande dokumentation.

Förberedelser

Innan tillitsgranskningen startar görs följande:

  • Kontroll av att den sökandes kundens granskningsunderlag är komplett
  • Vid behov begärs kompletteringar
  • Granskare utses utifrån en rotationsprincip i kombination med hänsyn till eventuella jävrisker

När ett komplett granskningsunderlag är verifierat får utsedda granskare i uppdrag att genomföra tillitsgranskningen.

Tillitsgranskning

Tillitsgranskningen genomförs i enlighet med instruktionerna i dokumentet Granskningsinstruktion-och-checklista-för-tillitsdeklaration. Vid behov av förtydliganden eller kompletterande information, sänder granskarna en begäran till federationsoperatören som i sin tur begär in uppgifterna från sökande.

Förutom den ifyllda checklistan ska granskarna sammanfatta granskningsresultatet i en rapport tillsammans med en rekommendation till beslut. Rapporten sänds till federationsoperatören.

Granskarna måste uppfylla särskilda kompetens- och ansvarskrav enligt dokumentet Instruktioner för Sambis granskare. De förbinder sig utöver Ramavtalet (där en sekretessklausul finns specificerad) även till en separat sekretessförbindelse.

Beslut

Beslut baseras på rapporten med granskningsresultat och rekommendation till beslut enligt något av följande:

  • Godkänd
  • Godkänd med krav på komplettering. Den del anges som ska återgranskas
  • Ej godkänd

Den sökande meddelas beslutet och Sambis fortsatta förväntningar på dennes säkerhetsarbete.

I det fall den sökande inte är nöjd med beslutet och önskar överklaga, ska överklagandet administreras av federationsoperatören som tar frågan vidare till Sambis styrgrupp.

För att läsa mer om hur arbetet med att tillitsdeklarera går till, läs här Att tillitsdeklarera.