Page History

Medlem i Ena-federationen som inte är ett offentligt organ ska drivas som registrerad juridisk person samt teckna och vidmakthålla för verksamheten erforderliga försäkringar.

Medlem i Ena-federationen ska ha en etablerad verksamhet, vara fullt operationell i alla delar som berörs i detta dokument, samt vara väl insatt i de juridiska krav som ställs på denne som medlem i Ena-federationen.

Medlem i Ena-federationen ska ha förmåga att bära risken för skadeståndsskyldighet samt förfoga över tillräckliga ekonomiska medel för att kunna bedriva verksamheten i minst 1 år.

Medlem i Ena-federationen ska för de delar av verksamheten som berörs genom tillitsramverket inrätta ska inrätta och följa ett ledningssystem för informationssäkerhet (LIS) som i tillämpliga delar baseras på ISO/IEC 27001 eller motsvarande likvärdiga principer för ledning och styrning av informationssäkerhetsarbetet. Detta ska införas och användas för de delar av verksamheten som på något sätt är inblandad i drift, förvaltning, eller annat handhavande av komponent för vilken detta krav ska efterlevas.

Medlem i Ena-federationen ska utse en person som ansvarar för organisationens anslutning till Ena.

Medlem i Ena-federationen ska utse en person som ansvarar för respektive komponent som organisationen väljer att ansluta till Ena

Samtliga Medlem i Ena-federationen ska ha samtliga säkerhetskritiska, administrativa och tekniska processer ska vara dokumenterade och vila vilande på en formell grund, där roller, ansvar och befogenheter finns tydligt definierade.

Medlem i Ena-federationen ska säkerställa att denne vid var tid har tillräckliga personella resurser till förfogande för att uppfylla sina åtaganden (inom federationen).

Medlem i Ena-federationen ska inrätta en process för riskhantering som på ett ändamålsenligt sätt, kontinuerligt eller minst var tolfte månad, analyserar hot och sårbarheter i verksamheten, och ska leda till en förbättringsplan innehållande rekommenderade säkerhetsåtgärder.

Medlem i Ena-federationen ska inrätta en process för incidenthantering som systematiskt säkerställer kvaliteten i verksamheten, samt etablerar former för vidarerapportering och att lämpliga reaktiva och preventiva åtgärder vidtas för att lindra eller förhindra skada till följd av sådana händelser.

Medlem i Ena-federationen ska upprätta och regelbundet testa en kontinuitetsplan som tillgodoser verksamhetens tillgänglighetskrav genom en förmåga att återställa kritiska processer vid händelse av kris eller allvarliga incidenter.

Medlem i Ena-federationen ska regelbundet utvärdera arbetet med informationssäkerheten och införa förbättringsåtgärder i ledningssystemet.

Medlem i Ena-federationen som på annan part har lagt ut utförandet av en eller flera säkerhetskritiska processer på en underleverantör, ska genom avtal definiera vilka kritiska processer som underleverantören är ansvarig för och vilka krav som är tillämpliga på dessa, och att underleverantören ska uppfylla dessa krav, samt tydliggöra avtalsförhållandet.

En medlem i Ena-federationen ska, i tillämpliga delar, bevara:(a) avtal,
(b) styrande dokument,
(c) handlingar

1. Avtal
2. Styrande dokument
3. Handlingar som rör förändringar av uppgifter hänförliga till Användare,

1. Attribut och Metadata

2. Övrig dokumentation som stöder efterlevnaden av de krav som ställs på denne, och som visar att de säkerhetskritiska processerna och kontrollerna fungerar.

Tiden för bevarande av avtal, dokument och handlingar enligt krav Ena O.14 ska inte understiga fem år och material ska kunna tas fram i läsbar form under hela denna tid, såvida inte krav på gallring påkallas från integritetssynpunkt och har stöd i lag eller annan författning.

En medlem i Ena-federationen ska inrätta en funktion för internrevision som periodiskt granskar verksamheten . enligt följande:

1. Internrevisorn ska vara oberoende i utförandet av uppdraget på ett sätt som tryggar en objektiv och opartisk granskning och ha den kompetens och erfarenhet som krävs för uppdraget.

2. Internrevisorn ska självständigt planera genomförandet av revisionen och dokumentera detta i en revisionsplan som sträcker sig över en 3-årsperiod.

2. Varje enskild internrevisions omfattning ska väljas utifrån en risk- och väsentlighetsanalys och grundas i kraven som ställs på medlemmen inom Ena-federationen.
3. Revisionsresultatet ska dokumenteras och vid förfrågan göras tillgänglig för ledningsaktör och operatörer.

Medlem i Ena-federationen ska ha rutiner som säkerställer att endast behörig personal har åtkomst till de uppgifter som samlas in och bevaras i enlighet med Ena O.714.

Personuppgifter Medlem i Ena-federationen ska säkerställa att personuppgifter som behandlas av medlem i Ena-federationen ska skyddas emot obehörig åtkomst.

Personuppgifter som behandlas av medlem Medlem i Ena-federationen ska säkerställa att personuppgifter som behandlas inte användas används för andra syften än inhämtande av behörighetsgrundande information och behörighetsstyrning.

Medlem i Ena-federationen ska vid incidenter som kan påverka tilliten samt vid förändring av kontaktpersoner och eller registrerad metadata, informera tillits- och anslutningsoperatörer som medlemmen har avtal med.

Medlem i Ena-federationen ansvarar för att behörighetsgrundande information är korrekt, aktuell och verifierad mot ursprungskällanursprungskällor. Rutinen för detta ska finnas dokumenterad.

Medlem i Ena-federationen ska i samband med incident skyndsamt vidta åtgärder för att återställa förtroende inom federationen.

Identiteter och behörighetsgrundande information som påverkats av incidenten en incident ska, beroende på incidentens karaktär, kommuniceras enligt gällande incidentprocess.

Varje ansluten part till medlem i Ena-federationen ska ta fram en tillitsdeklaration på överenskommet format för varje tillitsmärke man innehar per teknisk komponent.

Tillitsdeklarationer ska hållas uppdaterade och reflektera Medlem i Ena-federationen ska hålla sina tillitsdeklarationer uppdaterade och säkerställa att de reflekterar nuvarande förhållanden vid varje tidpunkt.

Ny tillitsdeklaration ska inlämnas Medlem i Ena-federationen ska lämna in ny tillitsdeklaration inom 24 månader från det att den senaste tillitsdeklarationen godkändes, oavsett om förändring skett eller inte.

Behörighetsgrundande information Medlem i Ena-federationen får endast användas använda behörighetsgrundande information inom ramen för avtal och överenskommelser för samverkan inom Ena-federationen om inte särskild överenskommelse finns med den informationsägande organisationenorganisation.

Information Medlem i Ena-federationen ska säkerställa att information i beskrivningar och fritextfält får ej vara är stötande eller kränkande. Den ska vara informativ och relevant utan värderingar och jämförelse med andra.

Personer Medlem i Ena-federationen ska säkerställa att personer registrerade i  attributkällan ska ha ett anställnings- eller uppdragsförhållande till den organisation de tillhör.

Systemanvändare Medlem i Ena-federationen ska säkerställa att systemanvändare registrerade i  attributkällan ska ha ett uppdragsförhållande till den organisation som ansvarar för dess förehavanden.

Anställning Medlem i Ena-federationen ska verifiera systematiskt  och med en periodicitet enligt gällande policyer att anställning och/eller uppdragsförhållande mellan uppdragsgivare och individ i attributkällan ska verifieras systematiskt  med en periodicitet enligt gällande policyer .

Uppdragsförhållande Medlem i Ena-federationen ska säkerställa att uppdragsförhållande mellan uppdragsgivare och systemanvändare (t.ex. RPA eller AI) i attributkällan ska verifieras systematiskt  med en periodicitet enligt gällande policyer.

Fingerade Medlem i Ena-federationen ska säkerställa att fingerade data i attributkällor får inte spridas sprids externt.

Personer Medlem i Ena-federationen ska säkerställa att personer med skyddade personuppgifter ska  informeras informeras av informationsägaren om hur deras personuppgifter i attributkällan hanteras.