Tillitsgranskning

Att tillitsgranska är en del av Sambis tillitsarbete. Som anslutna parter i federationen Sambi är det viktigt att kunna lita på varandras Identitetsintygutgivare (IdP), e-legitimationer, attribututgivare och digitala tjänster. I Sambi finns avtal med bilagor som hjälper er att avgränsa, beskriva och specificera era funktioner i Sambi. Att avgränsa innebär att er organisation tillitsgranskas endast för de delar som rör Sambi.

Återkommande granskning av en godkänd part görs var tredje år.

Hur går en tillitsgranskning till?

Börja med att bestämma om du vill ansluta din organisation med hjälp av ett Sambiombud här finns alla Sambis godkända sambiombud eller om du vill ansluta din organisation på egen hand. Väljer du ansluta genom Sambiombud är det ombudets rutiner som gäller. Väljer du att ansluta på egen hand innebär processen tre steg:

• Teckna tillitsgranskningsavtal
• Tillitsdeklarera och skicka in
• Sambi granskar och beslutar

På sidan Avtal och bilagor finns tillitsgranskningsavtal som ni behöver teckna och bilagor som ni behöver intyga att ni tagit del av.

Teckna tillitsgranskningsavtal

Tillitsgranskningsavtalet är till för att formalisera Sambis tillitsgranskningsuppdrag och tecknas med Sambis federationsoperatör, Internetstiftelsen.

Skicka en tillitsdeklaration

En Tillitsdeklaration betyder att ni redovisar den faktiska situationen inom er organisation. Federationen Sambi bygger på tillit och det är viktigt att en anslutande organisation redovisar att de delar i organisationen som berör Sambi också når den tillitsnivå som gäller i Sambi. Här finns tillitsdeklarationsmallen som ska följas.

En tillitsdeklaration ska bland annat innehålla:

• Riskanalys
• Beskrivning av ert strukturerade informationssäkerhetsarbete (LIS)
• Internrevision som redovisar uppföljningsarbetet som ni gör för att upprätthålla säkerhetsarbetet kopplat till Sambi.

Riskanalys

Genomför en riskanalys för det som kan påverka Sambi, det vill säga identitets- och behörighetshanteringen. Sambi ställer inga formkrav men riskanalysen ska vara relevant och resultera i konkreta åtgärdsförslag. Riskanalysen ska bifogas Tillitsdeklarationen.

Strukturerat säkerhetsarbete

För de delar av organisationen som berör Sambi ska ett regelverk för säkerhetsåtgärder finnas. Enklast och bäst är att följa standarden ISO/IEC 27001. De åtgärdsförslag som riskanalysen kommer fram till, ska utgöra en grund det strukturerade säkerhetsarbetet. Även detta regelverk ska bifogas tillitsdeklarationen.

Internrevision

Syfte med internrevision är att visa att säkerhetsåtgärderna fungerar i verkligheten. Det kan man göra genom en kontroll av kännedom och följsamhet till reglerna, helst utförd av någon utanför de berörda delarna av organisationen. Revisionen ska resultera i en rapport och förbättringsplan som även den ska bifogas tillitsdeklarationen.

För de organisationer som är certifierade enligt ISO/IEC 27001 räcker det med att bifoga certifikatet.

Sambi granskar och beslutar

När ni har skickat er tillitsdeklaration är det Sambis granskare som granskar tillitsdeklarationen. Internetstiftelsen fattar beslut om godkännande och skickar sedan beslutet till er.