Tillitsgranskning

Att tillitsgranska är en viktig del av Sambi. Som tjänsteleverantör ska ni kunna lita på användarorganisationens funktion som identitetsintygutgivare (IdP) inklusive e-legitimationer och attribut. För användarens organisation är det viktigt att kunna lita på att anslutna tjänsteleverantörer hanterar användares personuppgifter väl i sin Sambianslutna funktion (SP).

Din organisation tillitsgranskas endast för de delar som rör Sambi.  

Hur går en tillitsgranskning till?

Börja med att bestämma om du vill ansluta din organisation med hjälp av ett Sambiombud eller om du vill ansluta din organisation på egen hand. Väljer du att ansluta genom Sambiombud är det ombudets rutiner som gäller.

Väljer du att ansluta på egen hand innebär processen tre steg:

  1. Teckna tillitsgranskningsavtal
  2. Tillitsdeklarera och skicka in
  3. Sambi granskar och beslutar

Teckna tillitsgranskningsavtal

Tillitsgranskningsavtalet är till för att formalisera Sambis tillitsgranskningsuppdrag och tecknas med Sambis federationsoperatör, Internetstiftelsen.

Tillitsdeklarera och skicka in

En Tillitsdeklaration betyder att ni redovisar den faktiska situationen inom er organisation. Federationen Sambi bygger på tillit. Det är därför viktigt att en anslutande organisation kan redovisa att de delar i organisationen som berör Sambi når den tillitsnivå som gäller i Sambi.

Här finns tillitsdeklarationsmallen som ska fyllas i och skickas in. Om ni är en kommun och är godkända för SITHS och HSA, och använder en betrodd identitetsutgivarfunktion (IdP), kan ni skicka in en förenklad tillitsdeklaration i stället för den fullständiga tillitsdeklarationen.

Mer om tillitsdeklarationen

Den fullständiga tillitsdeklarationen ska bland annat innehålla:

  • Beskrivning av era riskanalyser kopplat till identitets- och behörighetshantering
  • Beskrivning av ert strukturerade informationssäkerhetsarbete (LIS)
  • Beskrivning av er internrevision, det vill säga det uppföljningsarbete som ni gör för att upprätthålla säkerhetsarbetet kopplat till Sambi

Riskanalys

Genomför en riskanalys för det som kan påverka Sambi, det vill säga identitets- och behörighetshanteringen. Sambi ställer inga formkrav men riskanalysen ska vara relevant och resultera i konkreta åtgärdsförslag. Riskanalysen ska bifogas Tillitsdeklarationen.

Strukturerat säkerhetsarbete

För de delar av organisationen som berör Sambi ska ett regelverk för säkerhetsåtgärder finnas. Enklast och bäst är att följa standarden ISO/IEC 27001. De åtgärdsförslag som riskanalysen kommer fram till, ska utgöra en grund för det strukturerade säkerhetsarbetet. Även detta regelverk ska bifogas tillitsdeklarationen.

Internrevision

Syfte med internrevision är att visa att säkerhetsåtgärderna fungerar i verkligheten. Det kan man göra genom en kontroll av kännedom och följsamhet till reglerna, helst utförd av någon utanför de berörda delarna av organisationen. Revisionen ska resultera i en rapport och förbättringsplan som även den ska bifogas tillitsdeklarationen.

För de organisationer som är certifierade enligt ISO/IEC 27001 räcker det med att bifoga certifikatet.

Sambi granskar och beslutar

När ni har skickat in er tillitsdeklaration är det Sambis granskare som granskar tillitsdeklarationen. Internetstiftelsen fattar beslut om godkännande och skickar sedan beslutet till er. Om ni är gruppföreträdare är det Sambis styrgrupp som fattar beslut om godkännande.