...
När två parter behöver utbyta information är det ofta krav på att respektive sida behöver säkerställa att motparten är den den utger sig att vara, och att denne är behörig att ta del av den information som delas. Det är informationsägaren som ansvarar för att säkerställa att den part som begär information är behörig innan informationen kan lämnas ut. I dessa fall krävs det säkerställd information om vilken organisation, vilket system och eventuellt vilken användare det är som begär åtkomst, samt vad som berättigar åtkomsten . Dessutom kan det krävas information om användarens tilldelade uppdrag eller roll inom organisationen. Det kan också ställas krav på att användaren har en specifik kvalifikation, eller agerar i en legitimerad eller skyddad yrkesroll. Man kan förenklat säga att det är en skala från inget behov alls till ett omfattande underlaget med hög tillförlitlighet som krävs för att ge behörighet. Var på skalan man är för en specifik åtkomst står normalt i direkt proportion till informationens känslighet och behov av skydd.
Inom ramen för detta dokument beskrivs ett ramverk för tillitshantering. Detta inkluderar krav för att försäkra sig om att förmedling och hantering av identiteter och behörighetsgrundande information sker på ett säkert sätt. Tillitshanteringen ämnar minimera risken för obehörig åtkomst till information. I dagens komplexa samverkan, där man ofta behöver hämta och behandla information från flera parter för att stödja verksamhetsbehov, behöver också tilliten upprätthållas i flera led mellan alla parter som tar fram underlaget för åtkomstbeslut. För att möjliggöra korrekta åtkomstbeslut krävs att tillit kan skapas till alla inblandade parter och komponenter. Enas tillitshantering innehåller dels en tillitsmodell, dels en realisering av modellen för användning inom Ena.
...