Versions Compared

Old Version 61

changes.mady.by.user Christer Allskog

Saved on

compared with

New Version 62

changes.mady.by.user Anders Malmros

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Organisatoriska krav

IdKrav
Ena O.1

Medlem Part i Ena-federationen som inte är ett offentligt organ ska drivas som registrerad juridisk person samt teckna och vidmakthålla för verksamheten erforderliga försäkringar.

Ena O.2

Medlem Part i Ena-federationen ska ha en etablerad verksamhet, vara fullt operationell i alla delar som berörs i detta dokument, samt vara väl insatt i de juridiska krav som ställs på denne som medlem i Ena-federationen.

Ena O.3

Medlem i Ena-federationen ska ha förmåga att bära risken för skadeståndsskyldighet samt förfoga över tillräckliga ekonomiska medel för att kunna bedriva verksamheten i minst 1 år.

Ena O.4

Medlem Part i Ena-federationen ska inrätta och följa ett ledningssystem för informationssäkerhet (LIS) som i tillämpliga delar baseras på ISO/IEC 27001 eller motsvarande likvärdiga principer för ledning och styrning av informationssäkerhetsarbetet. Detta ska införas och användas för de delar av verksamheten som på något sätt är inblandad i drift, förvaltning, eller annat handhavande av komponent för vilken detta krav ska efterlevas.

Ena O.5

Medlem Part i Ena-federationen ska utse en person som ansvarar för organisationens anslutning till Ena-federationen.

Ena O.6

Medlem Part i Ena-federationen ska utse en person som ansvarar för varje komponent som organisationen väljer att ansluta till Ena-federationen.

Ena O.7

Medlem Part i Ena-federationen ska ha samtliga säkerhetskritiska, administrativa och tekniska processer dokumenterade och vilande på en formell grund, där roller, ansvar och befogenheter finns tydligt definierade.

Ena O.8

Medlem Part i Ena-federationen ska säkerställa att denne vid var tid har tillräckliga personella resurser till förfogande för att uppfylla sina åtaganden inom Ena-federationen.

Ena O.9

Medlem Part i Ena-federationen ska ha en process för riskhantering som på ett ändamålsenligt sätt, kontinuerligt eller minst var tolfte månad, analyserar hot och sårbarheter i verksamheten. Processen ska resultera i en förbättringsplan innehållande rekommenderade säkerhetsåtgärder.

Ena O.10

Medlem Part i Ena-federationen ska ha en process process som omfattar såväl incidentrapportering som hur lämpliga reaktiva och preventiva åtgärder vidtas för att lindra eller förhindra skada till följd av sådana händelserincidenter.

Ena O.11

Medlem Part i Ena-federationen ska upprätta och ha samt regelbundet testa en kontinuitetsplan som tillgodoser verksamhetens tillgänglighetskrav genom en förmåga att återställa kritiska processer och förmågor vid händelse av kris eller allvarliga incidenter.

Ena O.12

Medlem Part i Ena-federationen ska regelbundet utvärdera arbetet med informationssäkerheten och införa förbättringsåtgärder i ledningssystemet.

Ena O.13

Medlem Part i Ena-federationen som har lagt ut utförandet av en eller flera säkerhetskritiska processer på en underleverantör, ska definiera vilka processer som underleverantören är ansvarig för utförandet av, vilka krav som är tillämpliga på dessa, samt att underleverantören ska uppfylla dessa krav, samt samt säkerställa att detta regleras mellan parterna.

Ena O.14

En medlem Part i Ena-federationen ska, i tillämpliga delar, bevara:

  1. Avtal
  2. Styrande dokument
  3. Handlingar som rör förändringar av uppgifter hänförliga till Användare, Attribut och Metadata
  4. Övrig dokumentation som stöder efterlevnaden av de krav som ställs på denne, och som visar att de säkerhetskritiska processerna och kontrollerna fungerar.
Ena O.15

Tiden för bevarande av avtal, dokument och handlingar enligt krav Ena O.14 ska inte understiga fem år och material ska kunna tas fram i läsbar form under hela denna tid, såvida inte krav på gallring påkallas från integritetssynpunkt eller har stöd i lag eller annan författning.

Ena O.16

En medlem i Ena-federationen ska inrätta en funktion för internrevision som periodiskt granskar verksamheten enligt följande:

  1. Internrevisorn ska vara oberoende i utförandet av uppdraget på ett sätt som tryggar en objektiv och opartisk granskning och ha den kompetens och erfarenhet som krävs för uppdraget.
  2. Internrevisorn ska självständigt planera genomförandet av revisionen och dokumentera detta i en revisionsplan som sträcker sig över en 3-årsperiod.
  3. Varje enskild internrevisions omfattning ska väljas utifrån en risk- och väsentlighetsanalys och grundas i kraven som ställs på medlemmen inom Ena-federationen.
  4. Revisionsresultatet ska dokumenteras och vid förfrågan göras tillgänglig för ledningsaktör och operatörer.
Ena O.17

Medlem i Ena-federationen ska ha rutiner som säkerställer att endast behörig personal har åtkomst till de uppgifter som samlas in och bevaras i enlighet med Ena O.14.

Ena O.18

Medlem i Ena-federationen ska säkerställa att behörighetsgrundande information som behandlas ska skyddas emot obehörig åtkomst.

Ena O.19

Medlem i Ena-federationen ska vid incidenter som kan påverka tilliten till medlemmens roll i federationen, kommunicera detta enligt gällande incidentprocess. 

Ena O.20

Medlem i Ena-federationen ansvarar för att behörighetsgrundande information är korrekt, aktuell och verifierad mot ursprungskällor. Rutinen för detta ska finnas dokumenterad.

Ena O.21

Medlem i Ena-federationen ska i samband med incident skyndsamt vidta åtgärder för att återställa förtroende inom federationen.

Ena O.22

Medlem i Ena-federationen ska ta fram en tillitsdeklaration på överenskommet format för varje Ena-tillitsmärke man innehar per teknisk komponent.

Ena O.23

Medlem i Ena-federationen ska hålla sina tillitsdeklarationer för Ena-tillitsmärken uppdaterade och säkerställa att de reflekterar nuvarande förhållanden vid varje tidpunkt.

Ena O.24

Medlem i Ena-federationen ska lämna in ny tillitsdeklaration för sina Ena-tillitsmärken inom 24 månader från det att den senaste tillitsdeklarationen godkändes, oavsett om förändring skett eller inte.

Ena O.25

Medlem i Ena-federationen ska vid eventuella brister och avvikelser som påträffas vid en revision åtgärda dessa  skyndsamt. Tidsfrist meddelas av den part som står bakom revisionskraven.

Ena O.26

Medlem i Ena-federationen får endast använda behörighetsgrundande information inom ramen för avtal och överenskommelser för samverkan inom Ena-federationen om inte särskild överenskommelse finns med informationsägande organisation.

Ena O.27

Medlem i Ena-federationen ska säkerställa att information i beskrivningar och fritextfält ej är stötande eller kränkande. Den ska vara informativ och relevant utan värderingar och jämförelse med andra.

Ena O.28

Tillhandahållare av attributkälla ska säkerställa att personer registrerade i  attributkällan ska ha ett anställnings- eller uppdragsförhållande till den organisation de tillhör.

Ena O.29

Medlem i Ena-federationen ska säkerställa att systemanvändare registrerade i  attributkällan ska ha ett uppdragsförhållande till den organisation som ansvarar för dess förehavanden.

Ena O.30

Medlem i Ena-federationen ska verifiera systematiskt  och med en periodicitet enligt gällande regelverk från tillitsmärkesägare att anställning och/eller uppdragsförhållande mellan uppdragsgivare och individ i attributkällan finns.

Ena O.31

Medlem i Ena-federationen ska säkerställa att uppdragsförhållande mellan uppdragsgivare och systemanvändare (t.ex. RPA eller AI) i attributkällan verifieras systematiskt  med en periodicitet enligt gällande regelverk från tillitsmärkesägare.

Ena O.32

Medlem i Ena-federationen ska säkerställa att fingerade data i attributkällor, avsedda för testverksamhet, inte sprids externt.

Ena O.33

Medlem i Ena-federationen ska säkerställa att personer med skyddade personuppgifter informeras av informationsägaren om hur deras personuppgifter i attributkällan hanteras.

Ena O.34

Medlem i Ena-federationen ska ha en kontaktpunkt för tekniska ärenden

Ena O.35

Operatör i Ena-federationen åtar sig att tillhandahålla funktionsbrevlådor till följande roller i sin verksamhet för: 

  1. Avtal och administration
  2. Säkerhetsincidenter
  3. Support
Ena O.36

Operatörer i Ena-federationen ska på begäran tillhandahålla ledningsaktören sådan dokumentation eller avtal som behövs för att förtydliga anslutning och registreringsförfaranden och därmed de förtroendenivåer som krävs av metadata i infrastrukturen.

Ena O.37Operatör i Ena-federationen som vill avsluta sin verksamhet inom federationen, ska meddela anslutna kunder och ledningsaktör detta tolv månader i förväg. Operatörens tekniska komponenter kan avvecklas innan de tolv månaderna är till ända om inga anslutna kunder finns kvar.
Ena O.38

Operatör i Ena-federationen  som upphör med sin verksamhet ska hålla arkiverat material tillgängligt även efter verksamheten avvecklats. Tiden för bevarande ska inte understiga fem år och material ska kunna tas fram i läsbar form under hela denna tid, såvida inte krav på gallring påkallas ur integritetssynpunkt och har stöd i lag eller annan författning. 

...

  1. Operatören ska ha ett avtal eller motsvarande som definierar medlemskapet mellan operatören och dess medlemmar
  2. Operatören ska utan onödigt dröjsmål informera Ena federationsinfrastruktur (via Ena federationsråd samt sina supportkanaler) om förhållanden som påverkar operatörens möjligheter att tillhandahålla sina infrastrukturtjänster på ett tillfredsställande sätt
  3. Operatören kommer att ge sådant bistånd till andra deltagande operatörer som de rimligen kan begära rörande offentliggörandet eller användningen av metadata om entiteter. Ta med. Avtal eller krav ?
  4. Operatören kommer att på begäran tillhandahålla ledningsaktören sådan dokumentation eller avtal som behövs för att förtydliga anslutning och registreringsförfaranden och därmed de förtroendenivåer som kan krävas av metadata i infrastrukturen
  5. Varken förekomsten av denna deklaration, eller utbytet av information som tillåts genom den, ska skapa nya juridiska skyldigheter eller rättigheter mellan medlemmarna eller mellan operatörerna av någon federation. Juridiskt. Ta ej med.
  6. Skulle någon bestämmelse i denna deklaration befinnas vara ogiltig, olaglig eller otillåten i någon jurisdiktion ska detta inte påverka giltigheten, lagenligheten eller verkställigheten av någon annan bestämmelse. Federationen går med på att ersätta en sådan bestämmelse med en bestämmelse som har väsentligen samma verkan men som inte är ogiltig, olaglig eller ej verkställbar
  7. Begreppen i detta avtal ska ha den betydelse som anges i Ramverket för Enas federationsinfrastruktur.
  8. Såväl producenter som konsumenter kan agera ombud. En konsument kan bara agera ombud för en annan konsumerande organisation medan en producent kan agera ombud både för producerande och konsumerande organisationer.
  9. Samarbetsavtal som omfattar hanteringen i attributkälla, inklusive reglering av informationsägarskap och informationssäkerhetsansvar, ska finnas mellan ombud och  tredjepartsanslutna organisationer.
  10. Ombud ska ha en organiserad supportfunktion för tredjepartsanslutna organisationer.
  11. Om en aktör lejer ut delar av sin verksamhet till ombud, agent eller liknande ligger ansvaret för utförandet kvar på aktören.
  12. Medlem i Ena-federationen ska ha förmåga att bära risken för skadeståndsskyldighet samt förfoga över tillräckliga ekonomiska medel för att kunna bedriva verksamheten i minst 1 år.