...
Tekniskt ramverk konkretiserar – det får inte motsäga högre nivå.
Registreringspolicy får inte skapa nya materiella krav som saknar stöd i regler eller ramverk.
Tekniska anslutningsregler får inte smyga in avtalskrav.
Anslutningspolicy får inte smyga in tekniska implementationer.
6. Praktiska exempel
| Exempel | Var hör det hemma? | Varför? |
|---|---|---|
| “Aktören ska ha incidenthanteringsförmåga” | Anslutningspolicy | Organisationskrav |
| “Incidenter ska rapporteras inom 24h” | Tekniska anslutningsregler | Federationskrav på samverkan |
| “Byte av signeringscertifikat kräver ny registrering” | Registreringspolicy | Processregel |
| “SAML Assertions MUST be signed with RSA-3072” | Tekniskt ramverk | Protokollkrav |
7. Mental modell: Fyra olika målgrupper
Detta är ofta den tydligaste distinktionen:
| Dokument | Primär målgrupp |
|---|---|
| Anslutningspolicy | Juridik, ledning, styrning |
| Tekniska anslutningsregler | Säkerhetsarkitekter, federationsansvariga |
| Registreringspolicy | Onboarding-/driftansvariga |
| Tekniskt ramverk | Utvecklare och produktleverantörer |
Om fel målgrupp måste läsa dokumentet för att förstå det – då är något felplacerat.
...