Tillitsgranskning är en metodutveckling som hjälper till att vidareutveckla ett existerande säkerhetsarbete. Att tillitsgranskas är därför ett naturligt steg i arbetet med säkerhet. Nedan hittar du information som kan vara till nytta vid tillitsdeklarationen.
En tillitsdeklaration är en självdeklaration över hur den sökande lever upp till de krav som anges i Sambi Bilaga 3 – Tillitsramverk v2.02. Den sökande behöver bifoga dokument som styrker information angiven i deklarationen enligt följande:
Att tillitsdeklarera består av fem steg;
Dessa steg är beskrivna i mer detalj här nedanför. Längst ner på sidan finns ytterligare information som kan vara till hjälp inför och under arbetet att tillitsdeklarera
Vid frågor kring tillitsdeklarationen och det förberedande arbetet eller om ni önskar boka in ett förberedande möte, kontakta oss gärna på e-post tillit@sambi.se.
Som Användarorganisation kan man även låta ett Sambiombud sköta Tillitsgranskningen som genom att paketera en teknisk och administrativ tjänst inom Sambis ramar och bistå Användarorganisationen med att leva upp till kraven i Sambis Tillitsramverk.
– Vilken del av er organisation ska granskas?
Sökande bör avgränsa tillitsdeklarationen till den del av organisationen som härrör till verksamhetens funktion i Sambi. Genom att avgränsa blir det tydligare vad som ska ingå i tillitsdeklarationen och även mer hanterbart.
– Omfattar granskningen flera tjänster och/eller flera underleverantörer?
I de fall sökanden ansöker om flera tjänster, eller använder flera utfärdare av e-legitimation, ska var och en av dessa redovisas. Om sökande till exempel har SITHS och en egen utgivning av kort/dosor eller dylikt ska samtliga redovisas i tillitsgranskningen.
Observera att om sökanden har delar i sin lösning, exempelvis SITHS, och som redan har tillitsdeklarerats av någon annan, räcker det med att hänvisa till en redan godkänd deklaration i tillitsdeklarationen. Här finns information om vilka som är godkända.
Innan en sökande kan skicka in en tillitsdeklaration behöver sökande först ingå ett tillitsgranskningsavtal med federationsoperatören och anmäla en kontaktperson för tillitsgranskningsprocessen.
Denna tillitsdeklarationsmall ska fyllas i av den sökande utifrån vilken sorts part den sökande är.
I tillitsdeklarationsmallen ingår nedanstående områden A-E. All information under rubriken ’A. Generella krav’ ska fyllas i (av alla). Därefter fylls endast aktuella avsnitt i beroende på vilken typ av part den sökande är.
När arbetet med att fylla i tillitsdeklarationen och ta fram de kompletterande underlag som styrker det som beskrivs i deklarationen är färdigt, är det dags att skicka in tillitsdeklarationen.
Federationsoperatören hanterar allt inkommet underlag för en tillitsgranskning som konfidentiellt. Det är därmed viktigt att överföringen av data sker säkert. Därför behöver sökande först anmäla att de är redo att sända in tillitsdeklarationen via e-post till: tillit@sambi.se.
Tillitsadministratören kommer då att skapa ett konto i filöverföringssystemet Sambi dokumenttransport samt meddelar den sökande hur överföringen av dokumenten kommer att ske.
Så snart den sökande tagit emot inloggningsuppgifter till systemet för överföring av filer, Sambi dokumenttransport, kan tillitsdeklarationen med tillhörande dokument skickas in till federationsoperatören.
Sökande får svar inom 10 arbetsdagar om den inskickade tillitsdeklarationen är fullständig eller ifall det kan behövas någon komplettering av innehållet, innan granskare kan utses och en tillitsgranskning påbörjas.
Mer information om tillitsgranskningens tidsramar finns här.
Här nedan finns en samling länkar till dokument och kortfattad information som kan vara till hjälp när man som sökande står inför att tillitsdeklarera.
För att tillitsdeklarera ska sökanden använda en tillitsdeklarationsmall. Mallen fylls i utefter vilka delar som är aktuella beroende på vilken typ av part man tillitsdeklarerar för.
Sambi kräver att alla medlemmar lever upp till de säkerhetskraven som ställts av federationen och som finns samlat i Sambi Bilaga 3 – tillitsramverk.
Granskarnas granskningsinstruktion och checklista för tillitsdeklaration kan ge en fördjupad insyn i vad som som ska granskas.
Sambi ställer krav på att dess medlemmar ska bedriva ett aktivt informationssäkerhetsarbete som omfattar de delar av verksamheten som berörs av Sambi. Grundläggande för ett strukturerat informationssäkerhetsarbete (ISO/IEC 27001 , ledningssystem för informationssäkerhet, LIS, eller motsvarande) är att regelbundet genomföra en riskanalys. Riskanalysen används för att utforma skyddet så att det passar verksamhetens informationstillgångar. Om man inte känner till vilka risker som finns är det svårt att utforma ett säkert och kostnadseffektivt skydd. För att genomföra en riskanalys behövs en aktuell lista över relevanta hot. För att underlätta arbetet för Sambis medlemmar har denna ”hotkatalog” tagits fram: Hotkatalog_2015-10-27_v1.1.pdf.
För att etablera och driva ett systematiskt informationssäkerhetsarbete finns information och ett praktiskt stöd på webbplatsen informationssakerhet.se. Webbplatsen tillhandahålls av MSB, Myndigheten för samhällsskydd och beredskap i samverkan med andra myndigheter.
I frågor och svar finns mer information om tillitsgranskningen.
Vi erbjuder två kurser i Sambi, en grundkurs och en tillitsdeklarationskurs. För mer information om kurstillfällen, innehåll och anmälan besök gärna kalendariet. Det är inte ett måste att gå båda kurserna.