Att tillitsgranska är en viktig del av Sambi. Som tjänsteleverantör ska ni kunna lita på användarorganisationens funktion som identitetsintygutgivare (IdP) inklusive e-legitimationer och attribut.
För användarens organisation är det viktigt att kunna lita på att anslutna tjänsteleverantörer hanterar användares personuppgifter väl. Din organisation tillitsgranskas endast för de delar som rör Sambi.
Väljer du att bli medlem med hjälp av Sambiombud är det ombudets rutiner som gäller.
Återgranskning
Du vet väl att federationsoperatören återgranskar dig regelbundet enligt ditt avtal och beslut. Återgranskningen går till på samma sätt som för den initiala tillitsgranskningen.
När du blir medlem på egen hand är det Sambi som tillitsgranskar och då är processen i fyra steg:
- Teckna tillitsgranskningsavtal.
- Fyll i tillitsdeklarationen och skicka in.
- Sambi granskar och beslutar.
- Skriv under anslutningsavtal om medlemskap i Sambi.
1. Teckna tillitsgranskningsavtal
För att teckna tillitsgranskningsavtal behöver federationsoperatören få in en anmälan för tillitsgranskning. När vi mottagit din anmälan skapas ett tillitsgranskningsavtal som skickas till er avtalstecknare via e-signeringstjänsten Scrive. Avtalet skrivs under med Bank-id. Här kan du läsa tillitsgranskningsavtalet som pdf.
Tillitsgranskningsavtalet är till för att formalisera Sambis tillitsgranskningsuppdrag och tecknas med Sambis federationsoperatör, Internetstiftelsen.
2. Fyll i tillitsdeklarationen och skicka in
En tillitsdeklaration betyder att ni redovisar den faktiska situationen inom er organisation. Federationen Sambi bygger på tillit. Det är därför viktigt att en anslutande organisation kan redovisa att de delar i organisationen som berör Sambi når den tillitsnivå som gäller i Sambi.
Här finns tillitsdeklarationsmallen som ska fyllas i och skickas in.
3. Sambi granskar och beslutar
När ni har skickat in er tillitsdeklaration är det Sambis oberoende granskare som granskar tillitsdeklarationen. Federationsoperatören (Internetstiftelsen) fattar beslut om godkännande och skickar sedan beslutet till er.
4. Skriv under medlemsavtal om medlemskap i Sambi
Fyll i ansökningsformuläret här. Ta del av avtal och bilagor i menyn.
Sambi går igenom ansökan och skickar avtalet för underskrift genom tjänsten Scrive . Avtalet skrivs under med Bank-id.
När avtalet är underskrivet och ansökan är behandlad får er kontaktperson en bekräftelse från oss att ni är medlemmar. Er tekniska kontakt får samtidigt åtkomst till Federationsadmin där ni hanterar ert metadata.
Mer om tillitsdeklarationen
Den fullständiga tillitsdeklarationen ska bland annat innehålla:
- Beskrivning av era riskanalyser kopplat till identitets- och behörighetshantering.
- Beskrivning av ert strukturerade informationssäkerhetsarbete (LIS).
- Beskrivning av er internrevision, det vill säga det uppföljningsarbete som ni gör för att upprätthålla säkerhetsarbetet kopplat till Sambi.
Riskanalys
Genomför en riskanalys för det som kan påverka Sambi, det vill säga identitets- och behörighetshanteringen. Sambi ställer inga formkrav men riskanalysen ska vara relevant och resultera i konkreta åtgärdsförslag. Bifoga dokumentation som styrker att riskanalys är genomförd.
Strukturerat säkerhetsarbete
För de delar av organisationen som berör Sambi ska ett regelverk för säkerhetsåtgärder finnas. Enklast och bäst är att följa standarden ISO/IEC 27001. De åtgärdsförslag som riskanalysen kommer fram till, ska utgöra en grund för det strukturerade säkerhetsarbetet. Även detta regelverk ska bifogas tillitsdeklarationen. Myndigheten för samhällsskydd och beredskap (MSB) har publicerat ett metodstöd för systematiskt informationssäkerhetsarbete. Den finns att ladda ner här.
Internrevision
Syftet med internrevision är att visa att säkerhetsåtgärderna fungerar i verkligheten. Det kan man göra genom en kontroll av kännedom och följsamhet till reglerna, helst utförd av någon utanför de berörda delarna av organisationen. Revisionen ska resultera i en rapport och förbättringsplan som även den ska bifogas tillitsdeklarationen.
För de organisationer som är certifierade enligt ISO/IEC 27001 räcker det med att bifoga certifikatet.
Här finns checklistan som Sambis granskare använder vid tillitsgranskningar:
Gruppföreträdare granskas dessutom mot Bilaga 5 - Föreskrifter för Gruppföreträdare och Sambiombud granskas mot Bilaga 5 - Föreskrifter för Sambiombud.