...
Föreslagen artefakt-arkitektur (lager + ansvar)
Tänk “lager” från mest övergripande (policy) till mest specifikt (tekniska profiler):
...
Avtalsvillkor
Sanktioner
Organisationskrav
Allmänna säkerhetsprinciper utan teknisk konkretisering
Snabbtest:
...
3. Beslutsträd (snabbklassificering)
...
Tekniskt ramverk konkretiserar – det får inte motsäga högre nivå.
Registreringspolicy får inte skapa nya materiella krav som saknar stöd i regler eller ramverk.
Tekniska anslutningsregler får inte smyga in avtalskrav.
Anslutningspolicy får inte smyga in tekniska implementationer.
6. Praktiska exempel
| Exempel | Var hör det hemma? | Varför? |
|---|---|---|
| “Aktören ska ha incidenthanteringsförmåga” | Anslutningspolicy | Organisationskrav |
| “Incidenter ska rapporteras inom 24h” | Tekniska anslutningsregler | Federationskrav på samverkan |
| “Byte av signeringscertifikat kräver ny registrering” | Registreringspolicy | Processregel |
| “SAML Assertions MUST be signed with RSA-3072” | Tekniskt ramverk | Protokollkrav |
7. Mental modell: Fyra olika målgrupper
Detta är ofta den tydligaste distinktionen:
| Dokument | Primär målgrupp |
|---|---|
| Anslutningspolicy | Juridik, ledning, styrning |
| Tekniska anslutningsregler | Säkerhetsarkitekter, federationsansvariga |
| Registreringspolicy | Onboarding-/driftansvariga |
| Tekniskt ramverk | Utvecklare och produktleverantörer |
Om fel målgrupp måste läsa dokumentet för att förstå det – då är något felplacerat.Vill du att jag även formulerar 5–7 designprinciper som kan fungera som övergripande arkitekturprinciper för hela normstrukturen (t.ex. teknikneutralitet, minsta möjliga normering, spårbarhet, testbarhet, separering av styrning och implementation)?
Syfte
Detta dokument beskriver hur SIB:s dokumentpaket hänger ihop och var olika typer av krav ska uttryckas. Målet är att undvika dubbelreglering och göra det tydligt vad som styr styrning, krav, process och tekniska detaljer.
...