För att säkerställa att Sambis medlemmar, godkända ombud och underleverantörer uppfyller kraven i tillitsramverket genomförs tillitsgranskningar.
Det finns två vägar att Tillitsgranskas. Antingen väljer man att Tillitsgranskas via Sambi direkt och då administreras tillitsdeklarationen av federationsoperatören IIS. Tillitsgranskningen utförs i sin tur av IIS:s utsedda oberoende granskare. Som Användarorganisation kan man även låta ett Sambiombud sköta Tillitsgranskningen som genom att paketera en teknisk och administrativ tjänst inom Sambis ramar och bistå Användarorganisationen med att leva upp till kraven i Sambis Tillitsramverk.
Det finns två former av tillitsgranskning, initial och återkommande. Återkommande granskning görs vart tredje år. Processen ser likadan ut oavsett om tillitsgranskningen är initial eller återkommande.
För nya sökanden inleds arbetet med att denne sänder in en intresseanmälan, varefter federationsoperatören påbörjar sin planering av uppdraget.
För återkommande tillitsgranskning av befintliga parter ska en tillitsgranskning ske var tredje år och hanteras på samma sätt som en ny. Federationsoperatören sänder ut en påminnelse senast fyra månader före utgångsdatumet för godkännandet som betrodd part.
När denna del är avslutad förväntas den sökande ha en god bild av vad arbetet omfattar, vad som krävs av dem, ha en övergripande plan och ha avsatta resurser för arbetet.
Syftet med detta steg är att formalisera granskningsuppdraget i ett påskrivet tillitsgranskningsavtal mellan den sökande och federationsoperatören. Tillitsgranskningsavtalet ska vara på plats innan tillitsgranskningen påbörjas.
I samband med att det undertecknade tillitsgranskningsavtalet returneras till den sökande faktureras också granskningsavgiften.
När tillitsgranskningsavtalet har skrivits under av båda parter instrueras den sökande att sända in sin tillitsdeklaration med tillhörande dokumentation.
Innan tillitsgranskningen startar görs följande:
När ett komplett granskningsunderlag är verifierat får utsedda granskare i uppdrag att genomföra tillitsgranskningen.
Tillitsgranskningen genomförs i enlighet med instruktionerna i dokumentet Granskningsinstruktion-och-checklista-för-tillitsdeklaration. Vid behov av förtydliganden eller kompletterande information, sänder granskarna en begäran till federationsoperatören som i sin tur begär in uppgifterna från sökande.
Förutom den ifyllda checklistan ska granskarna sammanfatta granskningsresultatet i en rapport tillsammans med en rekommendation till beslut. Rapporten sänds till federationsoperatören.
Granskarna måste uppfylla särskilda kompetens- och ansvarskrav enligt dokumentet Instruktioner för Sambis granskare. De förbinder sig utöver Ramavtalet (där en sekretessklausul finns specificerad) även till en separat sekretessförbindelse.
Beslut baseras på rapporten med granskningsresultat och rekommendation till beslut enligt något av följande:
Den sökande meddelas beslutet och Sambis fortsatta förväntningar på dennes säkerhetsarbete.
I det fall den sökande inte är nöjd med beslutet och önskar överklaga, ska överklagandet administreras av federationsoperatören som tar frågan vidare till Sambis styrgrupp.
För att läsa mer om hur arbetet med att tillitsdeklarera går till, läs här Att tillitsdeklarera.