Att tillitsgranska är en viktig del av Sambi. Som tjänsteleverantör ska ni kunna lita på användarorganisationens funktion som identitetsintygutgivare (IdP) inklusive e-legitimationer och attribut. För användarens organisation är det viktigt att kunna lita på att anslutna tjänsteleverantörer hanterar användares personuppgifter väl i sin Sambianslutna funktion (SP).
Din organisation tillitsgranskas endast för de delar som rör Sambi.
Börja med att bestämma om du vill ansluta din organisation med hjälp av ett Sambiombud eller om du vill ansluta din organisation på egen hand. Väljer du att ansluta genom Sambiombud är det ombudets rutiner som gäller.
Väljer du att ansluta på egen hand innebär processen tre steg:
Tillitsgranskningsavtalet är till för att formalisera Sambis tillitsgranskningsuppdrag och tecknas med Sambis federationsoperatör, Internetstiftelsen.
En Tillitsdeklaration betyder att ni redovisar den faktiska situationen inom er organisation. Federationen Sambi bygger på tillit. Det är därför viktigt att en anslutande organisation kan redovisa att de delar i organisationen som berör Sambi når den tillitsnivå som gäller i Sambi.
Här finns tillitsdeklarationsmallen som ska fyllas i och skickas in. Om ni är en kommun och är godkända för SITHS och HSA, och använder en betrodd identitetsutgivarfunktion (IdP), kan ni skicka in en förenklad tillitsdeklaration i stället för den fullständiga tillitsdeklarationen.
Den fullständiga tillitsdeklarationen ska bland annat innehålla:
Genomför en riskanalys för det som kan påverka Sambi, det vill säga identitets- och behörighetshanteringen. Sambi ställer inga formkrav men riskanalysen ska vara relevant och resultera i konkreta åtgärdsförslag. Riskanalysen ska bifogas Tillitsdeklarationen.
För de delar av organisationen som berör Sambi ska ett regelverk för säkerhetsåtgärder finnas. Enklast och bäst är att följa standarden ISO/IEC 27001. De åtgärdsförslag som riskanalysen kommer fram till, ska utgöra en grund för det strukturerade säkerhetsarbetet. Även detta regelverk ska bifogas tillitsdeklarationen. Myndigheten för samhällsskydd och beredskap (MSB) har publicerat ett metodstöd för systematiskt informationssäkerhetsarbete. Den finns att ladda ner här.
Syfte med internrevision är att visa att säkerhetsåtgärderna fungerar i verkligheten. Det kan man göra genom en kontroll av kännedom och följsamhet till reglerna, helst utförd av någon utanför de berörda delarna av organisationen. Revisionen ska resultera i en rapport och förbättringsplan som även den ska bifogas tillitsdeklarationen.
För de organisationer som är certifierade enligt ISO/IEC 27001 räcker det med att bifoga certifikatet.
När ni har skickat in er tillitsdeklaration är det Sambis granskare som granskar tillitsdeklarationen. Internetstiftelsen fattar beslut om godkännande och skickar sedan beslutet till er.
Här finns checklistan som Sambis granskare använder vid tillitsgranskningar:
Gruppföreträdare granskas dessutom mot Bilaga 5 – Föreskrifter för Gruppföreträdare och Sambiombud mot Bilaga 5 – Föreskrifter för Sambiombud.