.FILE 2G 3G 4G 5G
Till startsidan

Tillitsgranskning

Att tillitsgranska är en viktig del av Sambi. Som tjänsteleverantör ska ni kunna lita på användarorganisationens funktion som identitetsintygutgivare (IdP) inklusive e-legitimationer och attribut.

För användarens organisation är det viktigt att kunna lita på att anslutna tjänsteleverantörer hanterar användares personuppgifter väl. Din organisation tillitsgranskas endast för de delar som rör Sambi. Läs mer om tillitsdeklarationen längre ner på sidan.

Väljer du att bli medlem med hjälp av Sambiombud är det ombudets rutiner som gäller.

Hand med provrör

Återgranskning

Federationsoperatören återgranskar alla medlemmar regelbundet enligt avtal och beslut.

Återgranskningen, som går till på samma sätt som den initiala granskningen, är en viktig del av medlemskapet eftersom den upprätthåller tilliten mellan medlemmarna.

När du blir medlem på egen hand är det Sambi som tillitsgranskar och då är processen i fyra steg:

  1. Teckna tillitsgranskningsavtal.
  2. Fyll i tillitsdeklarationen och skicka in.
  3. Sambi granskar och beslutar.
  4. Skriv under anslutningsavtal om medlemskap i Sambi.

1. Teckna tillitsgranskningsavtal

För att teckna tillitsgranskningsavtal behöver federationsoperatören få in en anmälan för tillitsgranskning. När vi mottagit din anmälan skapas ett tillitsgranskningsavtal som skickas till er avtalstecknare via e-signeringstjänsten Scrive. Avtalet skrivs under med Bank-id. Här kan du läsa tillitsgranskningsavtalet som pdf.

Tillitsgranskningsavtalet är till för att formalisera Sambis tillitsgranskningsuppdrag och tecknas med Sambis federationsoperatör, Internetstiftelsen.

2. Fyll i tillitsdeklarationen och skicka in

En tillitsdeklaration betyder att ni redovisar den faktiska situationen inom er organisation. Federationen Sambi bygger på tillit. Det är därför viktigt att en anslutande organisation kan redovisa att de delar i organisationen som berör Sambi når den tillitsnivå som gäller i Sambi.

Här finns tillitsdeklarationsmallen som ska fyllas i och skickas in.

3. Sambi granskar och beslutar

När ni har skickat in er tillitsdeklaration är det Sambis oberoende granskare som granskar tillitsdeklarationen. Federationsoperatören (Internetstiftelsen) fattar beslut om godkännande och skickar sedan beslutet till er.

4. Skriv under medlemsavtal om medlemskap i Sambi

Fyll i ansökningsformuläret här. Ta del av avtal och bilagor i menyn. 

Sambi går igenom ansökan och skickar avtalet för underskrift genom tjänsten Scrive. Avtalet skrivs under med Bank-id.

När avtalet är underskrivet och ansökan är behandlad får er kontaktperson en bekräftelse från oss att ni är medlemmar. Er tekniska kontakt får samtidigt åtkomst till Federationsadmin där ni hanterar ert metadata.

Mer om tillitsdeklarationen

Sambi tillitsgranskar endast de delar som rör Sambi.

En tillitsdeklaration är till för att medlemmar i Sambi ska kunna lita på att alla organisationer som har genomgått en godkänd tillitsgranskning, har och upprätthåller ett strukturerat säkerhetsarbete för identitet- och behörigheter för de användare som kommer åt e-tjänster som finns i Sambi, med hjälp av Sambis federationsinfrastruktur. Den fullständiga tillitsdeklarationen ska bland annat innehålla:

  • Beskrivning av era riskanalyser kopplat till identitets- och behörighetshantering.
  • Beskrivning av ert strukturerade informationssäkerhetsarbete (LIS).
  • Beskrivning av er internrevision, det vill säga det uppföljningsarbete som ni gör för att upprätthålla säkerhetsarbetet kopplat till Sambi.

För de delar av organisationen som berör Sambi ska ett regelverk för säkerhetsåtgärder finnas. Det viktigaste kravet i regelverket är sektionen A.3 i tillitsdeklarationen. Enklast och bäst är att följa standarden ISO/IEC 27001. Förutom att vi rekommenderar att följa standarden har även Myndigheten för civilt försvar (MCF) publicerat ett metodstöd för systematiskt informationssäkerhetsarbete. Den finns att ladda ner här.

Strukturerat säkerhetsarbete

Säkerhetsarbetet består av en riskanalys som syftar till att ta reda på vad som är viktigast att åtgärda, samt ett regelverk som beskriver de säkerhetsåtgärder behövs och innefattar skydd mot de risker som man har identifierat och slutligen en internrevision som kontrollerar att regelverket verkligen följs. Detta motsvarar punkt (a), (b) och (c) i krav A.3. Svaret i tillitsdeklarationen ska visa att den sökande har gjort detta.

a) riskanalys

En riskanalys ska ta upp de hot och risker som kan påverka Sambi samt innehålla en bedömning av sannolikheter för risker och hot, och vilka konsekvenser dessa kan medföra. För de risker med högst bedömning ska en åtgärd beskrivas, datum för när åtgärden ska vara genomförd och en ansvarig person. Allt detta kan göras relativt enkelt och redovisas i till exempel ett excelblad. Notera att den färdiga riskanalysen inte behöver skickas in till Sambi, den innehåller ofta känslig information, men vi vill att ni bifogar dokumentation som styrker att en riskanalys är genomförd.

De åtgärdsförslag som riskanalysen kommer fram till ska utgöra en grund för det strukturerade säkerhetsarbetet.

b) regelverk

Regelverket, ofta kallat Ledningssystem för informationssäkerhet, LIS, ska beskriva de skyddsåtgärder som organisationen ska vidta. Bland dessa ska ingå de skyddsåtgärder som riskanalysen har visat är viktiga. Regelverket bör följa ISO/IEC 27001. Denna ger en bra struktur åt skyddsåtgärderna och innehåller en uttömmande lista över lämpliga och valfria åtgärder.

Regelverket bör bifogas ansökan, men det kan också vara möjligt att på annat sätt visa att detta finns och är av god kvalitet.

c) internrevision

Syftet med internrevision är att visa att säkerhetsåtgärderna fungerar i verkligheten och att organisationen följer regelverket. Det kan man göra genom en kontroll av kännedom och följsamhet till reglerna, helst utförd av någon utanför de berörda delarna av organisationen. Revisionen ska resultera i en rapport och förbättringsplan som även den ska bifogas tillitsdeklarationen.

För de organisationer som är certifierade enligt ISO/IEC 27001 räcker det med att bifoga certifikatet.

Underleverantör

Oavsett om den sökande lägger ut delar av den funktion tillitsdeklarationen avser på en underleverantör så gäller samma säkerhetskrav. Det är detta som är avsikten med krav A.6. Den sökande ska på något sätt visa att detta är uppfyllt, till exempel genom att styrka att underleverantören är ISO/IEC 27001-certifierad, alternativt kunna visa att underleverantören uppfyller Sambis krav, särskilt krav A.3.

Sambi granskar och beslutar

När ni har skickat in er tillitsdeklaration är det Sambis oberoende granskare som granskar tillitsdeklarationen. Styrk tillitsdeklarationen genom att bifoga nödvändiga dokument eller genom att redovisa att dokumenten finns med datum, dokumentnamn och beskrivning av dem. Då blir det enklare för granskarna att bedöma och skapa sig en uppfattning om din organsiations säkerhetsarbete, och att kunna ge federationsoperatören rekommendationer för beslut. Federationsoperatören (Internetstiftelsen) fattar sedan beslut om godkännande och skickar sedan beslutet till er.

Här finns checklistan som Sambis granskare använder vid tillitsgranskningar:

Sambiombud granskas mot Bilaga 5 - Föreskrifter för Sambiombud.

Sambis nyhetsbrev

Sambis nyhetsbrev

Håll dig uppdaterad om vad som händer inom federationen. Prenumerera på våra nyhetsbrev och få intressant och viktig information.

Välj vilket nyhetsbrev du vill ha
Jag samtycker till att ta emot nyhetsbrev och har tagit del av integritetspolicyn
Sambis nyhetsbrev

Sambis nyhetsbrev

Håll dig uppdaterad om vad som händer inom federationen. Prenumerera på våra nyhetsbrev och få intressant och viktig information.

Välj vilket nyhetsbrev du vill ha
Jag samtycker till att ta emot nyhetsbrev och har tagit del av integritetspolicyn