...
Organisation som är undantagen från registreringsskyldighet (t.ex. statlig myndighet, börsnoterat bolag, kommun , eller region eller enskild eller enskild näringsidkare) ska på begäran kunna redogöra för sin kontrollstruktur eller motsvarande behörighetsordning.
...
Operatören ska, baserat på riskanalys, fastställa och dokumentera vilka out-of-band-metoder som används och under vilka förutsättningar de bedöms tillräckliga (se avsnitt 14).
Avgränsning mot åtkomst- och verksamhetsbeslut
Denna policy innehåller endast krav för identitets- och organisationsverifiering. Federationsmedlemmar ansvarar fortsatt för egna åtkomst- och verksamhetsbedömningar.
Livscykelhantering — verifiering över tid
För att säkerställa att organisationsidentiteten förblir korrekt över tid ska anslutningsoperatören tillämpa en kombination av periodisk re-verifiering, händelsestyrd uppföljning och kontinuerlig/automatisk övervakning enligt nedan.
Re-verifiering ska omfatta samma verifieringsobjekt och kontrollpunkter som vid anslutning enligt avsnitt 6. Det innebär att kontroller ska genomföras på federationsmedlemsnivå (juridisk person) och, i den utsträckning som är relevant, även omfatta beställare/tillhörighet, kvalificering, behörig företrädare/avtalstecknare samt utsedda kontaktpersoner/delegationer.
Re-verifiering kan initieras periodiskt eller händelsestyrt (triggers). Resultat ska dokumenteras enligt spårbarhetskraven.
Periodisk re-verifiering
Anslutningsoperatören ska re-verifiera Federationsmedlems anslutning minst en gång per år.
Händelsestyrd re-verifiering
Omgående re-verifiering ska initieras vid incidenter eller andra händelser som kan påverka tillförlighet till organisationsveriferingen. Detta kan exempelvis vara:
...
Om automatisk övervakning inte är möjlig ska operatören säkerställa att motsvarande informationsinhämtning sker genom andra rutiner med dokumenterad riskbedömning.
Incidenthantering och åtgärdstrappor
Vid upptäckt av att Federationsmedlem inte kan re-verifieras ska operatören:
...
| Panel | ||||||
|---|---|---|---|---|---|---|
| ||||||
Behöver uppdateras - behöver uppdateras i takt med att övriga regelverket tar form Vem är det som fattar beslut om t.ex. avregistrering/uppsägning? |
Ändring av behöriga kontaktpersoner
Kontaktpersoner kan endast ändras av behörig företrädare för ansluten federationsmedlem. Varje ändring ska dokumenteras enligt avsnitt 12. I övrigt gäller samma regler som anges i avsnitt 6.4.
Dokumentation av process och rutin för tillämpning av anslutningspolicy
Operatören ska ha skriftlig dokumentation som beskriver process och rutin för hur anslutningspolicyn tillämpas.
Dokumentationen ska inkludera operatörens riskbedömning och motivering av valda verifieringsmetoder (inkl. oberoende kanalbekräftelse), samt kriterier för när kompletterande kontroller krävs.
Uppsägning och avslut av anslutning
Anslutningsoperatören ska skyndsamt informera federationsoperatören om brister upptäcks avseende federationsmedlemens förutsättningar för anslutning i enlighet med denna policy.
...