Versions Compared

Old Version 21

changes.mady.by.user Christer Allskog

Saved on

compared with

New Version 22

changes.mady.by.user Anders Malmros

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Kraven nedan är uppdelade i fyra olika kategorier i enighet med de fyra teman av säkerhetskontroller som presenteras i ISO/IEC 27001:2022, bilaga A: 1) Organisatoriska krav, 2) Personrelaterade krav, 3) Fysiska krav, 4) Tekniska krav.

Table of Contents

Organisatoriska krav


IdKrav
1
Ena O.1
Organisation

Medlem i Ena-federationen som inte är ett offentligt organ ska drivas som registrerad juridisk person samt teckna och vidmakthålla för verksamheten erforderliga försäkringar.

O

2
Ena O.2
Organisation

Medlem i Ena-federationen ska ha en etablerad verksamhet, vara fullt operationell i alla delar som berörs i detta dokument, samt vara väl insatt i de juridiska krav som ställs på denne som medlem i Ena-federationen.

O3

Ena O.3
Organisation

Medlem i Ena-federationen ska ha förmåga att bära risken för skadeståndsskyldighet samt förfoga över tillräckliga ekonomiska medel för att kunna bedriva verksamheten i minst 1 år.

O4

Ena O.4
Organisation

Medlem i Ena-federationen ska för de delar av verksamheten som berörs genom tillitsramverket inrätta och följa ett ledningssystem för informationssäkerhet (LIS) som i tillämpliga delar baseras på ISO/IEC 27001 eller motsvarande likvärdiga principer för ledning och styrning av informationssäkerhetsarbetet.

O

5
Ena O.
4.1Organisation
5

Medlem i Ena-federationen ska utse en person som ansvarar för organisationens anslutning till Ena.

O6
Ena O.
4.2Organisation
6

Medlem i Ena-federationen ska utse en person som ansvarar för respektive komponent som organisationen väljer att ansluta till Ena

O7

Ena O.
4.3
7
Organisation
8

Samtliga säkerhetskritiska, administrativa och tekniska processer ska vara dokumenterade och vila på en formell grund, där roller, ansvar och befogenheter finns tydligt definierade.

O
Ena O.
4.4Organisation
8

Medlem i Ena-federationen ska säkerställa att denne vid var tid har tillräckliga personella resurser till förfogande för att uppfylla sina åtaganden (inom federationen).

O9

Ena O.
4.5Organisation
9

Medlem i Ena-federationen ska inrätta en process för riskhantering som på ett ändamålsenligt sätt, kontinuerligt eller minst var tolfte månad, analyserar hot och sårbarheter i verksamheten, och ska leda till en förbättringsplan innehållande rekommenderade säkerhetsåtgärder.

O

10
Ena O.
4.6Organisation11
10

Medlem i Ena-federationen ska inrätta en process för incidenthantering som systematiskt säkerställer kvaliteten i verksamheten, samt etablerar former för vidarerapportering och att lämpliga reaktiva och preventiva åtgärder vidtas för att lindra eller förhindra skada till följd av sådana händelser.

O
Ena O.
4.7Organisation
11

Medlem i Ena-federationen ska upprätta och regelbundet testa en kontinuitetsplan som tillgodoser verksamhetens tillgänglighetskrav genom en förmåga att återställa kritiska processer vid händelse av kris eller allvarliga incidenter.

O12

Ena O.
4.8
12
Organisation

Medlem i Ena-federationen ska regelbundet utvärdera arbetet med informationssäkerheten och införa förbättringsåtgärder i ledningssystemet.

O13
Ena O.
6
13
Organisation

Medlem i Ena-federationen som på annan part har lagt ut utförandet av en eller flera säkerhetskritiska processer, ska genom avtal definiera vilka kritiska processer som underleverantören är ansvarig för och vilka krav som är tillämpliga på dessa, och att underleverantören ska uppfylla dessa krav, samt tydliggöra avtalsförhållandet.

O14

Ena O.
7Organisation
14

En medlem i Ena-federationen ska, i tillämpliga delar, bevara:
(a) avtal,
(b) styrande dokument,
(c) handlingar som rör förändringar av uppgifter hänförliga till Användare, Attribut
och Metadata, och
(d) övrig dokumentation som stöder efterlevnaden av de krav som ställs på denne, och som visar att de säkerhetskritiska processerna och kontrollerna fungerar.

O15

Ena O.
8
15
Organisation
16

Tiden för bevarande ska inte understiga fem år och material ska kunna tas fram i läsbar form under hela denna tid, såvida inte krav på gallring påkallas från integritetssynpunkt och har stöd i lag eller annan författning.

O
Ena O.
9
16
Organisation

En medlem i Ena-federationen ska inrätta en funktion för internrevision som periodiskt granskar verksamheten. 

Internrevisorn ska vara oberoende i utförandet av uppdraget på ett sätt som tryggar en objektiv och opartisk granskning och ha den kompetens och erfarenhet som krävs för uppdraget. 
Internrevisorn ska självständigt planera genomförandet av revisionen och dokumentera detta i en revisionsplan som sträcker sig över en 3-årsperiod. 
Varje enskild internrevisions omfattning ska väljas utifrån en risk- och väsentlighetsanalys och grundas i kraven som ställs på medlemmen inom Ena-federationen.
Revisionsresultatet ska dokumenteras och vid förfrågan göras tillgänglig för ledningsaktör och operatörer.

Ena O
.17

Medlem i Ena-federationen ska ha rutiner som säkerställer att endast behörig personal har åtkomst till de uppgifter som samlas in och bevaras i enlighet med Ena O.7.

Ena O.18

Personuppgifter som behandlas av medlem i Ena-federationen ska skyddas emot obehörig åtkomst.

Ena O.19

Personuppgifter som behandlas av medlem i Ena-federationen ska inte användas för andra syften än inhämtande av behörighetsgrundande information och behörighetsstyrning.

Ena O.20

Medlem i Ena-federationen ska vid incidenter som kan påverka tilliten samt vid förändring av kontaktpersoner och registrerad metadata, informera tillits- och anslutningsoperatörer som medlemmen har avtal med.

Ena O.21

Medlem i Ena-federationen ansvarar för att behörighetsgrundande information är korrekt, aktuell och verifierad mot ursprungskällan. Rutinen för detta ska finnas dokumenterad.

Ena O.22

Medlem i Ena-federationen ska i samband med incident skyndsamt vidta åtgärder för att återställa förtroende inom federationen.

Ena O.23

Identiteter och behörighetsgrundande information som påverkats av incidenten ska beroende på incidentens karaktär kommuniceras enligt gällande incidentprocess.

Ena O.24

Varje ansluten part till Ena-federationen ska ta fram en tillitsdeklaration på överenskommet format för varje tillitsmärke man innehar per teknisk komponent.

Ena O.25

Tillitsdeklarationer ska hållas uppdaterade och reflektera nuvarande förhållanden vid varje tidpunkt

Ena O.26

Ny tillitsdeklaration ska inlämnas inom 24 månader från det att den senaste tillitsdeklarationen godkändes, oavsett om förändring skett eller inte.

Ena O.27

Behörighetsgrundande information får endast användas inom ramen för avtal och överenskommelser för samverkan inom Ena-federationen om inte särskild överenskommelse finns med den informationsägande organisationen.

Ena O.28

Information i beskrivningar och fritextfält får ej vara stötande eller kränkande. Den ska vara informativ och relevant utan värderingar och jämförelse med andra.

Ena O.29

Personer registrerade i  attributkällan ska ha ett anställnings- eller uppdragsförhållande till den organisation de tillhör.

Ena O.30

Systemanvändare registrerade i  attributkällan ska ha ett uppdragsförhållande till den organisation som ansvarar för dess förehavanden.

Ena O.31

Anställning och/eller uppdragsförhållande mellan uppdragsgivare och individ i attributkällan ska verifieras systematiskt  med en periodicitet enligt gällande policyer.

Ena O.32

Uppdragsförhållande mellan uppdragsgivare och systemanvändare (t.ex. RPA eller AI) i attributkällan ska verifieras systematiskt  med en periodicitet enligt gällande policyer.

Ena O.33

Fingerade data i attributkällor får inte spridas externt.

Ena O.34

Personer med skyddade personuppgifter ska  informeras av informationsägaren om hur deras personuppgifter i attributkällan hanteras.


Personrelaterade krav

IdKrav
Ena P.1
Ena F.1

Fysisk
Verksamhetens centrala delar ska skyddas fysiskt mot skada som följd av miljörelaterade händelser, otillåten åtkomst eller andra yttre störningar genom att:

1. Åtkomst till känsliga utrymmen är begränsad till behörig personal
2. Informationsbärande media förvaras, hanteras och avvecklas på ett säkert sätt
3. Tillträde till dessa skyddade utrymmen kontinuerligt övervakas

F18Ena F.2Person

Medlem i Ena-federationen ska ha genomfört bakgrundskontroll för de personer som innehar roll av särskild betydelse för säkerheten. Detta i syfte att förvissa sig om att personen kan anses vara pålitlig samt att personen har de kvalifikationer och den utbildning som krävs för att på ett säkert och betryggande sätt utföra de arbetsuppgifter som följer av rollen.

P19Ena F.3Organisation

Fysiska krav

IdKrav
Ena F.1

Verksamhetens centrala delar ska skyddas fysiskt mot skada som följd av miljörelaterade händelser, otillåten åtkomst eller andra yttre störningar genom att:

1. Åtkomst till känsliga utrymmen är begränsad till behörig personal
2. Informationsbärande media förvaras, hanteras och avvecklas på ett säkert sätt
3. Tillträde till dessa skyddade utrymmen kontinuerligt övervakas

Ena F.2

Medlem i Ena-federationen ska
ha rutiner som säkerställer att endast behörig personal har åtkomst till de uppgifter som samlas in och bevaras i enlighet med Ena O.7.O
säkerställa spårbarheten vid all fysisk åtkomst till känsliga IT-system. Åtkomst ska kunna härledas på individnivå, och identifieringen av individen ska ske på ett betryggande och säkert sätt.

Tekniska krav

IdKrav
20
Ena T.1
Teknik

Medlem i Ena-federationen ska säkerställa att de tekniska kontroller som finns införda är tillräckliga för att uppnå den skyddsnivå som bedöms nödvändig med hänsyn till verksamhetens art, omfattning och övriga omständigheter, och att dessa kontroller fungerar och är effektiva.

T21

Ena T.2
Teknik

Elektroniska kommunikationsvägar som nyttjas i verksamheten för överföring av känsliga uppgifter ska skyddas mot manipulation, insyn och annan otillåten åtkomst.

T22

Ena T.3
Teknik

Känsligt kryptografiskt nyckelmaterial som används för kryptering och signering ska skyddas.

T

23
Ena T.
3.1Teknik24
4

Åtkomst till känsligt kryptografiskt nyckelmaterial ska begränsas, logiskt och fysiskt, till de roller och de tillämpningar som kräver det.

T
Ena T.
3.2Teknik
5

Känsligt kryptografiskt nyckelmaterial får inte lagras i klartext på beständigt lagringsmedia..

T25

Ena T.
3.3
6
Teknik
26
Känsligt kryptografiskt nyckelmaterial ska skyddas genom användning av kryptografisk hårdvarumodul med aktiva säkerhetsmekanismer som motverkar mot både fysiska och logiska försök att röja nyckelmaterialet

T

Ena T.
3.4Teknik
7Säkerhetsmekanismerna för skydd av känsligt kryptografiskt nyckelmaterial är genomlysta och baserade på erkända och väletablerade standarder

T

27
Ena T.
3.5Teknik
8Aktiveringsdata för skydd av känsligt kryptografiskt nyckelmaterial hanteras
genom flerpersonkontroll
genom flerpersonkontroll.
T28
Ena T.
4
9
Teknik
29

Medlem i Ena-federationen ska ha infört dokumenterade rutiner som säkerställer att erforderlig skyddsnivå i IT-miljön kan upprätthållas över tid för att möta förändrade risknivåer eller andra typer av förändringar. Rutinen ska innefatta regelbundna sårbarhetsundersökningar samt beskriva ändamålsenlig beredskap för att hantera inträffade incidenter.

T
Ena T.
5Teknik
10

Medlem i Ena-federationen ska säkerställa att verifieringen av identiteter sker med adekvata kontroller för den tillitsnivå som förmedlas.

T30

Ena T.
6Teknik31
11

Medlem i Ena-federationen ska säkerställa att säkerhetsmekanismer implementerats i hanteringen av digitala identiteter på ett sätt som gör det osannolikt att någon utomstående kan gissa eller räkna ut den konfidentiella information som ligger till grund för den elektroniska identifieringen, ens på maskinell väg.

T
Ena T.
7Teknik
12

Utställande av intyg ska föregås av en tillförlitlig identifiering på den tillitsnivå som förmedlas.

T32
Ena T.
8Teknik
13

Intyg som ställs ut ska vara knutna till kryptografiskt nyckelmaterial som utfärdaren verifierat att endast innehavaren förfogar över.

T33

Ena T.
9.1
14
Teknik
34

Utställda intyg ska vara giltiga endast så länge som det krävs för att innehavaren ska kunna bereda sig tillgång till den efterfrågade resursen. 

T
Ena T.
9.2
15
Teknik

Utställda intyg ska ska skyddas mot obehörig åtkomst.

T35

Ena T.
9.3Teknik
16

Utställda intyg ska utfärdas på ett sådant sätt att dess äkthet kan valideras. 

T36

Ena T.
10
17
Teknik

Komponenter i Ena-federationen som ställer ut intyg ska, med hänsyn till riskerna för missbruk av intygstjänsten, begränsa den tidsperiod inom vilken flera på varandra följande intyg kan ställas ut för en viss innehavare, innan denne på nytt ska autentiseras.

T37

Ena T.
11Teknik
18

Uppdatering av behörighetsgrundande information i ursprungskällan och eventuella temporära mellanlager ska gå att spåra avseende tidpunkt för förändringen och vem (person och system) som utfört förändringen.

T38

Ena T.
12Teknisk
19

Tillitsnivå för ett intyg ska anges i intyget. Nivån ska anges enligt gällande specifikation och regelverk inom Ena - Sveriges digitala infrastruktur.

T39

Ena T.
13
20
Teknik

Medlem i Ena-federationen ska ha publicerad dokumentation över krav för åtkomst till skyddade resurser. Dessa krav ska inkludera:

(1) vilken behörighetsgrundande information behöver förmedlas i åtkomstförfrågan

(2) vilket krav på tillitsnivå för intyg i vilket denna behörighetsgrundande information förmedlas föreligger

T
Ena T.21

Medlem i Ena-federationen ska

40Ena T.14

Organisation
Personuppgifter som behandlas av medlem i Ena-federationen ska skyddas emot obehörig åtkomst.

O41Ena T.15

Organisation
Personuppgifter som behandlas av medlem i Ena-federationen ska inte användas för andra syften än inhämtande av behörighetsgrundande information och behörighetsstyrning.

O42Ena A.1

Organisation
Medlem i Ena-federationen ska vid incidenter som kan påverka tilliten samt vid förändring av kontaktpersoner och registrerad metadata, informera tillits- och anslutningsoperatörer som medlemmen har avtal med.

O43Ena A.2

Organisation
Medlem i Ena-federationen ansvarar för att behörighetsgrundande information är korrekt, aktuell och verifierad mot ursprungskällan. Rutinen för detta ska finnas dokumenterad.

O44Ena A.3

Organisation
Medlem i Ena-federationen ska i samband med incident skyndsamt vidta åtgärder för att återställa förtroende inom federationen.

O45Ena A.3.1

Organisation
Identiteter och behörighetsgrundande information som påverkats av incidenten ska beroende på incidentens karaktär kommuniceras enligt gällande incidentprocess.

O46Teknik
Medlem i Ena-federationen ska 52Teknik

säkerställa spårbarheten vid all teknisk åtkomst till känsliga IT-system. Åtkomst ska kunna härledas på individnivå, och
identifieringen av individen ska ske på ett betryggande och säkert sätt

T47

Fysisk
Medlem i Ena-federationen ska säkerställa spårbarheten vid all fysisk åtkomst till känsliga IT-system. Åtkomst ska kunna härledas på individnivå, och
identifieringen av individen ska ske på ett betryggande och säkert sätt.

F48

Organisation
Varje ansluten part till Ena-federationen ska ta fram en tillitsdeklaration på överenskommet format för varje tillitsmärke man innehar per teknisk komponent.

O49

Organisation
Tillitsdeklarationer ska hållas uppdaterade och reflektera nuvarande förhållanden vid varje tidpunkt

O50

Organisation
Ny tillitsdeklaration ska inlämnas inom 24 månader från det att den senaste tillitsdeklarationen godkändes, oavsett om förändring skett eller inte.

O51

Organisation
Behörighetsgrundande information får endast användas inom ramen för avtal och överenskommelser för samverkan inom Ena-federationen om inte särskild överenskommelse finns med den informationsägande organisationen.

O
Ena T.22
54

Organisation
Personer registrerade i  attributkällan ska ha ett anställnings- eller uppdragsförhållande till den organisation de tillhör.

O55

Organisation
Systemanvändare registrerade i  attributkällan ska ha ett uppdragsförhållande till den organisation som ansvarar för dess förehavanden.

O56

Organisation
Anställning och/eller uppdragsförhållande mellan uppdragsgivare och individ i attributkällan ska verifieras systematiskt  med en periodicitet enligt gällande policyer.

O57

Organisation
Uppdragsförhållande mellan uppdragsgivare och systemanvändare (t.ex. RPA eller AI) i attributkällan ska verifieras systematiskt  med en periodicitet enligt gällande policyer.

O58Teknik

Det ska finnas rutiner för egenkontroll av att informationen i en attributkälla är riktig.

T53

Organisation
Information i beskrivningar och fritextfält får ej vara stötande eller kränkande. Den ska vara informativ och relevant utan värderingar och jämförelse med andra.

O
Ena T.23
Teknik

Processer för systematisk verifiering av attributs korrekthet ska finnas tydligt dokumenterade

Ena T.24
59

Attributs korrekthet ska verifieras systematiskt med den periodicitet som krävs av gällande lagstiftning och policyer för de tillämpningar där attributen används.

Ena T.25
60Teknik
61

Organisation
Fingerade data i attributkällor får inte spridas externt.

O62Teknik

Tilldelade pseudonymiserade personidentifierare ska lagras för spårning och uppföljning under en period som bestäms av gällande lagstiftning och policyer för de tillämpningar där personidentifierarna används.

T
Ena T.26
63

Organisation
Personer med skyddade personuppgifter ska  informeras av informationsägaren om hur deras personuppgifter i attributkällan hanteras.

O64Teknik

Förändringar av attribut ska loggas. Loggfiler ska innehålla information om vilken förändring som gjorts, om användaren/systemet som gjorde förändringen och tidpunkten för förändringen.

T65Teknik
Ena T.27

Skyddade personuppgifter ska märkas som sådana i attributkällor och mellanlager och hanteras enligt gällande lagstiftning och policyer.

T
Ena T.28

Åtkomst till information i attributkällan ska föregås av behörighetsbeslut utfört enligt ett med informationsägaren överenskommen åtkomstpolicy. Detta gäller både åtkomst direkt till attributkällan och även till mellanlager.

T