Granskningens omfattning

För samtliga sökande omfattar tillitsgranskningen de generella kraven i Sambis tillitsramverk. De utgörs av generella krav på verksamheten, säkerhetsarbetet, kryptografiska säkerhet, ansvar för underleverantörer, handlingars bevarande och tillhandahållande av information.

För användarorganisationer och deras underleverantörer granskas tillitsramverkets specifika krav på hanteringen av deras funktioner för e-legitimationsutfärdare, attribututgivare och identitetsintygsutgivare. För tjänsteleverantörer och deras underleverantörer granskas hur de uppfyller tillitsramverkets specifika krav för tjänsteleverantörer.

Tillitsgranskningen genomförs i form av en dokumentgranskning av sökandes tillitsdeklaration med kompletterande dokument. Tillitsdeklarationen är en självdeklaration och de bifogade dokumenten ska styrka påståenden i deklarationen. Tillsammans ska dessa dokument visa att sökanden uppfyller Sambis tillitsramverk i tillräckligt hög grad.

Under tillitsgranskningen kommer Sambis tillitsgranskare att använda sig av granskningsinstruktioner och checklista för tillitsdeklaration och därigenom säkerställa att alla tillitskrav kontrolleras. De utsedda granskarna ska bedöma:

1. Att informationen i tillhandahållna dokument är:

  • Fullständig (allt förväntat innehåll finns i dokumentet)
  • Korrekt (innehållet överensstämmer med andra pålitliga källor, t.ex. standarder, lagar och förordningar)
  • Konsekvent (dokumentet är i sig självt konsekvent och med anknytande dokument)
  • Aktuell (innehållet är uppdaterat)

2.  Att de dokument som granskas täcker kraven i tillitsramverket, att dokument enligt ISO27001 finns och uppfyller kraven, samt ger tillräcklig information för att stödja att organisationens tillitsdeklaration uppfyller Sambis tillitsramverk

3. Hur väl dokumentstyrningen fungerar inom den reviderade organisationens ledningssystem för informationssäkerhet

Det kan vara bra för sökanden att ta del av granskarnas granskningsinstruktion och checklista för tillitsdeklaration vilken både kan ge en fördjupad insyn i arbets-processen och underlätta arbetet att tillitsdeklarera.

I det fall det inte är möjligt för granskaren att enkelt fastställa granskningsslutsatser kan granskaren ställa kompletterande frågor som sökanden får möjlighet att besvara.