Versions Compared

Old Version 47

changes.mady.by.user Anders Malmros

Saved on

compared with

New Version 48

changes.mady.by.user Anders Malmros

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Ena är Sveriges digitala infrastruktur – en samling tjänster, standarder och regelverk som gör det möjligt för offentliga och privata aktörer att samverka säkert. För att skydda ekosystemet krävs att alla anslutna organisationer uppfyller Ena Tillitsramverk, som ställer krav inom organisatoriska, personorienterade, fysiska och tekniska områden. Revision inom Samordnad identitet och behörighet omfattar hela den digitala kedjan, från ledningssystem till tjänstespecifika krav. Revision behöver etableras och genomföras på olika nivå, både operatörer och medlemmar ansluten part behöver revideras utifrån ett efterlevandeperspektiv.

...

  1. Ledningsaktören
    1. är juridiskt ansvarig för federationsinfrastrukturen
    2. reviderar federationsoperatörer
    3. godkänner tillitsmärkesägare
  2. Federationsoperatören
    1. tillhandahåller ett tillitsankare för sitt federationskontext
    2. registrerar godkända tillitsmärken inom federationskontexten
    3. reviderar anslutningsoperatörer och tillitsmärkesutfärdare inom federationskontexten
  3. Tillitsmärkesägare
    1. äger och ansvarar för ett eller flera tillitsmärken som kopplar en eller flera egenskaper till en teknisk komponent
    2. genomför efterlevnadskontroll av federationsmedlemmar tekniska komponenter och relaterad verksamhet gentemot deras uppfyllnad av kraven för tillitsmärken.
      Efterlevnaden kan involvera:
      1. uppföljning av internrevision
      2. uppföljning av externt genomförd revision, via en av tillitsmärkesägaren godkänd revisor
      3. uppföljning av annan genomförd relevant revision
    3. tar beslut om att tilldela den tekniska komponenten ett tillitsmärke
    4.  uppdrar till en av federationsoperatören godkänd tillitsmärkesutfärdare att utfärda ett tillitsmärke till den tekniska komponenten
  4. Anslutningsoperatör
    1. ansvarar för federationsmedlemmars organisatoriska anslutning (avtalsskrivning) till federationsinfrastrukturen och ett eller flera federationskontext
    2. ansvarar för anslutning av federationsmedlemmar tekniska komponenters och registrering av metadata
  5. Tillitsmärkesutfärdare
    1. stämplar tillitsmärken och tillför dem till metadata för tekniska komponenter
  6. Ansluten partFederationsmedlem
    1. är en aktör som i federationsinfrastrukturen ansvarar för en eller flera tekniska komponenter involverade i hantering av identiteter och behörigheter. Identifierade komponenttyper är klient, identitetsintygstjänst, attributkälla, åtkomstintygstjänst, e-tjänst och resursserver.
    2. tecknar avtal med en anslutningsoperatör
    3. anskaffar tillitsmärken från en tillitsmärkesägare
    4. anlitar extern revisor för de efterlevnadskontroller som kräver det

draw.io Board Diagram
borderfalse
diagramNameNamnlöst diagram-1761666096657
simpleViewerfalse
width
linksauto
tbstyleinline
lboxtrue
diagramWidth589
height568
revision1718

Tillitskedjan ur ett revisionsperspektiv

...

En central revisionsfunktion bör sättas upp inom Federationen och revisionsarbetet bör styras därifrån. Metoderna för att hantera och genomföra revision inom Ena bör vara enhetliga och uppföljningsbara på alla nivåer. Eventuellt behöver specialistkompetens upphandlas för delar av själva revisionsgenomförandet. Detta hanteras och styrs då från revisionsfunktionen.

Denna centrala funktion bör också tillhandahålla det AI-stöd som krävs för revisionen.

Revisionsprogram

Revisionsprogrammet beskriver i vilken omfattning och i vilken frekvens revisioner skall genomföras. Kravnivåer mappade mot revisionskriterier och hur detta täcks under en 3-årsperiod behöver framgå i programmet. Kravnivån ligger till grund för revisionsprogrammets omfattning och aktuella revisionskriterier. Även bedömningen av avvikelser och mognadsgrad är beroende av definierade kravnivåer.

...