Versions Compared

Old Version 18

changes.mady.by.user Christer Allskog

Saved on

compared with

New Version Current

changes.mady.by.user Anders Malmros

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Info

Detta dokument är ett pågående arbetsmaterial. Innehållet är under utveckling och ska ses som samverkansmaterial, inte som ett beslutat eller fastställt dokument. Formuleringar, beskrivningar och förslag kan komma att ändras under arbetets gång


Kraven nedan är uppdelade i fyra olika kategorier i enighet med de fyra teman av säkerhetskontroller som presenteras i ISO/IEC 27001:2022, bilaga A: 1) Organisatoriska krav, 2) Personrelaterade krav, 3) Fysiska krav, 4) Tekniska krav.

Table of Contents


Ena Tillitsmärken är avgränsade i två grupperingar

  1. Komponenter som innehar Ena Tillit Intygsutfärdande eller Ena Tillit Attributhantering ska även inneha ett av de fyra Ena Tillitsnivå-märkena
  2. Komponenter som innehar Ena Tillit Åtkomstbegäran eller Ena Åtkomstkontroll behöver inte inneha ett Ena Tillitsnivå-märke

Image Added


Info
titleTabellbeskrivning - färgkodning
FärgTolkning
beigeregleras i federationsavtal
grönregleras i samverkansavtal för specifikt samverkansområde.




IdKravO, P, T, F1
  Ena tillitsmärkenKommentar
Id

Organisatoriska krav

Intygs-
utfärdande		Attribut-
hantering		Tillitsnivå 1Tillitsnivå 2Tillitsnivå 3Tillitsnivå 4 Åtkomst-
begäran		Åtkomst-
kontroll		 
Ena O.1
Organisation
Medlem

Part i Ena-federationen som inte är ett offentligt organ ska drivas som registrerad juridisk person samt teckna och vidmakthålla för verksamheten erforderliga försäkringar.

O

x

x

 

 

 

 

 

x

x

 

2


Ena O.2
Organisation
Medlem

Part i Ena-federationen ska ha en etablerad verksamhet, vara fullt operationell

i alla delar som berörs i detta dokument

för samverkan inom federationen, samt vara väl insatt i de juridiska krav som ställs

på denne som medlem i Ena-federationen.

.

x

x

 

 

 

 

 

x

x

 

O3


Ena O.3
Organisation
Medlem

Part i Ena-federationen ska ha

förmåga att bära risken för skadeståndsskyldighet samt förfoga över tillräckliga ekonomiska medel för att kunna bedriva verksamheten i minst 1 år.

ett systematiskt och riskbaserat informationssäkerhetsarbete. Detta ska införas och användas för de delar av verksamheten som på något sätt är inblandad i drift, förvaltning, eller annat handhavande av komponent för vilken detta krav ska efterlevas.

 

 

x

x

 

 

 

x

x

 

O4


Ena O.4
Organisation
Medlem

Part i Ena-

federationen ska för de delar av verksamheten som berörs genom tillitsramverket inrätta

federationen ska inrätta och följa ett ledningssystem för informationssäkerhet (LIS) som i tillämpliga delar baseras på ISO/IEC 27001 eller motsvarande likvärdiga principer för ledning och styrning av informationssäkerhetsarbetet. Detta ska införas och användas för de delar av verksamheten som på något sätt är inblandad i drift, förvaltning, eller annat handhavande av komponent för vilken detta krav ska efterlevas.



 


 



 

O5


Ena O.
4.1Organisation
Medlem
5

Part i Ena-federationen ska utse en person som ansvarar för organisationens anslutning till Ena-federationen.

O

x

x

 

 

 

 

 

x

x

 

6


Ena O.
4.2Organisation
Medlem
6

Part i Ena-federationen ska utse en person som ansvarar för

respektive

varje komponent som organisationen väljer att ansluta till Ena

O

-federationen.

x

x

 

 

 

 

 

x

x

 

7


Ena O.
4.3Organisation
Samtliga
7

Part i Ena-federationen ska ha samtliga säkerhetskritiska, administrativa och tekniska processer

ska vara

dokumenterade och

vila

vilande på en formell grund, där roller, ansvar och befogenheter finns tydligt definierade.

O

x

x

 

 

 

 

 

x

x

 

8


Ena O.
4.4Organisation
Medlem
8

Part i Ena-federationen ska säkerställa att denne vid var tid har tillräckliga personella resurser till förfogande för att uppfylla sina åtaganden

(

inom Ena-federationen

)

.

O

x

x

 

 

 

 

 

x

x

 

senare, precisera åtaganden per märke (jmfr SC:s kravförtydliganden på "lätt svenska") i vägledningar.

9

Ena O.
4.5Organisation
Medlem
9

Part i Ena-federationen ska

inrätta

ha en process för riskhantering som på ett ändamålsenligt sätt, kontinuerligt eller minst var tolfte månad, analyserar hot och sårbarheter i verksamheten

, och ska leda till

. Processen ska resultera i en förbättringsplan innehållande rekommenderade säkerhetsåtgärder.

x

x

 

 

 

 

 

x

x

 

O10


Ena O.
4.6Organisation
Medlem
10

Part i Ena-federationen ska

inrätta en process för incidenthantering som systematiskt säkerställer kvaliteten i verksamheten, samt etablerar former för vidarerapportering och att lämpliga

ha en process som omfattar såväl incidentrapportering som hur lämpliga reaktiva och preventiva åtgärder vidtas för att lindra eller förhindra skada till följd av

sådana händelser

incidenter.

x

x

 

 

 

 

 

x

x

 

O11


Ena O.
4.7Organisation
Medlem
11

Part i Ena-federationen ska i samband med incident skyndsamt vidta åtgärder för att återställa förtroende inom federationen.

x

x

 

 

 

 

 

x

x

 


Ena O.12

Part i Ena-federationen ska

upprätta och regelbundet testa en kontinuitetsplan som tillgodoser verksamhetens tillgänglighetskrav genom en förmåga att återställa kritiska processer

vid

händelse av kris eller allvarliga incidenter.

incidenter som kan påverka tilliten till medlemmens roll i federationen, kommunicera detta enligt gällande incidentprocess. 

 

 

 

 

 

 

 

O12

Ena O.
4.8Organisation
Medlem
13

Part i Ena-federationen ska regelbundet utvärdera arbetet med informationssäkerheten och införa förbättringsåtgärder i ledningssystemet.

O

x

x

 

 

 

 

 

x

x

 

13


Ena O.
6
14
Organisation
Medlem

Part i Ena-federationen som

på annan part

har lagt ut utförandet av en eller flera säkerhetskritiska processer på en underleverantör, ska

genom avtal

definiera vilka

kritiska

processer som underleverantören är ansvarig för

och

utförandet av, vilka krav som är tillämpliga på dessa,

och

samt att underleverantören ska uppfylla dessa krav,

samt tydliggöra avtalsförhållandet.

samt säkerställa att detta regleras mellan parterna.

x

x

 

 

 

 

 

x

x

 


Ena O.15

Part i Ena-federationen ska ha en kontaktpunkt för tekniska ärenden

x

x






x

x

O14



Ena O.
7Organisation
En medlem
16

Part i Ena-federationen ska, i tillämpliga delar, bevara:

(a) avtal,
(b) styrande dokument,
(c) handlingar
  1. Avtal
  2. Styrande dokument
  3. Handlingar som rör förändringar av uppgifter hänförliga till Användare,
Attribut
och
  1. Attribut och Metadata
, och
(d) övrig
  2. Övrig dokumentation som stöder efterlevnaden av de krav som ställs på denne, och som visar att de säkerhetskritiska processerna och kontrollerna fungerar.
O

x

x

 

 

 

 

 

x

x

 

precisera "tillämpliga delar" per tillitsmärke i någon slags vägledning.

15

Ena O.
8Organisation
17

Tiden för bevarande av avtal, dokument och handlingar enligt krav Ena O.15 ska inte understiga fem år och material ska kunna tas fram i läsbar form under hela denna tid, såvida inte krav på gallring påkallas från integritetssynpunkt

och

eller har stöd i lag eller annan författning.

O

x

x

 

 

 

 

 

x

x

 

16


Ena O.
9Organisation
En medlem
18

Part i Ena-federationen ska

inrätta en

ha rutiner som säkerställer att endast behörig personal har åtkomst till de uppgifter som samlas in och bevaras i enlighet med Ena O.15.

x

x

 

 

 

 

 

x

x

 


Ena O.19

Part i Ena-federationen ska ha en funktion för internrevision som periodiskt granskar verksamheten

enligt följande:

  1. Internrevisorn ska vara oberoende i utförandet av uppdraget på ett sätt som tryggar en objektiv och opartisk granskning och ha den kompetens och erfarenhet som krävs för uppdraget.
 
  2. Internrevisorn ska självständigt planera genomförandet av revisionen och dokumentera detta i en revisionsplan som sträcker sig över en 3-årsperiod.
 
  2. Varje enskild internrevisions omfattning ska väljas utifrån en
risk-
  1. riskanalys och
väsentlighetsanalys och
  1. grundas i kraven som ställs på medlemmen inom Ena-federationen.
  2. Revisionsresultatet ska dokumenteras och vid förfrågan göras tillgänglig för ledningsaktör och operatörer.

x

x

 

 

 

 

 

x

x

 

Risk att slå ut småaktörer, tex enmansföretag


Är detta efterlevnad som ska hanteras på annan plats

Ena O.20

Part i Ena-federationen ska regelbundet genomgå revision enligt fastställd plan och tillgängliggöra den information och de resurser som krävs för att revisionen ska kunna genomföras.

x

x

 

 

 

 

 

x

x

 


Ena O
17Ena F.1

Fysisk
Verksamhetens centrala delar ska skyddas fysiskt mot skada som följd av miljörelaterade händelser, otillåten åtkomst eller andra yttre störningar genom att:

1. Åtkomst till känsliga utrymmen är begränsad till behörig personal
2. Informationsbärande media förvaras, hanteras och avvecklas på ett säkert sätt
3. Tillträde till dessa skyddade utrymmen kontinuerligt övervakas

F18Ena F.2Person
Medlem
.21

Part i Ena-federationen ska vid eventuella brister och avvikelser som påträffas vid en revision åtgärda dessa skyndsamt. Tidsfrist meddelas av den part som står bakom revisionskraven.

x

x






x

x



Ena O.22

Part i Ena-federationen får endast använda behörighetsgrundande information inom ramen för avtal och överenskommelser för samverkan inom Ena-federationen om inte särskild överenskommelse finns med informationsägande organisation.

x

x

 

 

 

 

 

x

x

 


Ena O.23

Part i Ena-federationen ska säkerställa att behörighetsgrundande information som behandlas ska skyddas emot obehörig åtkomst.

x

x

 

 

 

 

 

x

x

 


Ena O.24

Part i Ena-federationen ansvarar för att behörighetsgrundande information är korrekt, aktuell och verifierad mot ursprungskällor. Rutinen för detta ska finnas dokumenterad.

x

x

 

 

 

 






Ena O.25

Part i Ena-federationen ska säkerställa att det finns rutiner för egenkontroll av att informationen i en attributkälla är korrekt och aktuell.


x










Ena O.26

Part i Ena-federationen ska ha processer för systematisk verifiering av attributs korrekthet finns tydligt dokumenterad och implementerad.


x










Ena O.27

Part i Ena-federationen ska säkerställa att information i beskrivningar och fritextfält ej är stötande eller kränkande. Den ska vara informativ och relevant utan värderingar och jämförelse med andra.

x

x

 

 

 

 


x

x



Ena O.28

Tillhandahållare av attributkälla ska säkerställa att personer registrerade i attributkällan ska ha ett anställnings- eller uppdragsförhållande till den organisation de tillhör.


x

 

 

 

 






Ena O.32

Part i Ena-federationen ska säkerställa att data för verifikation i produktionsmiljö inte sprids externt.

x

x






x

x



Ena O.33

Part i Ena-federationen som hanterar personuppgifter (inklusive skyddade) inom ramen för Ena-samverkan ska ha en policy för detta.

x

x

 

 

 

 


x

x



Ena O.43

Part i Ena-federationen får inte göra påståenden om organisationer, system, eller användare  som man inte har rätt att företräda gällande aktuellt påstående.

x

x









Registrerad som "Öppen fråga 1.2 - Att kunna verifiera "rätten" att företräda någon annan"

Id

Personrelaterade krav

Intygs-
utfärdande		Attribut-
hantering		Tillitsnivå 1Tillitsnivå 2Tillitsnivå 3Tillitsnivå 4 Åtkomst-
begäran		Åtkomst-
kontroll		 Kommentar
Ena P.1

Part i Ena-federationen ska ha genomfört bakgrundskontroll för de personer som innehar roll av särskild betydelse för säkerheten. Detta i syfte att förvissa sig om att personen kan anses vara pålitlig samt att personen har de kvalifikationer och den utbildning som krävs för att på ett säkert och betryggande sätt utföra de arbetsuppgifter som följer av rollen.

x

x

 

 

 

 

 

x

x

 


Id

Fysiska krav

Intygs-
utfärdande		Attribut-
hantering		Tillitsnivå 1Tillitsnivå 2Tillitsnivå 3Tillitsnivå 4 Åtkomst-
begäran		Åtkomst-
kontroll		 Kommentar
P19
Ena F.
3
1
Organisation
Medlem

Part i Ena-federationen ska

ha rutiner som säkerställer att endast behörig personal har åtkomst till de uppgifter som samlas in och bevaras i enlighet med Ena O.7.

fysiskt skydda verksamhetens centrala delar mot skada som följd av miljörelaterade händelser, otillåten åtkomst eller andra yttre störningar genom att:

1. Åtkomst till känsliga utrymmen är begränsad till behörig personal
2. Informationsbärande media förvaras, hanteras och avvecklas på ett säkert sätt
3. Tillträde till dessa skyddade utrymmen kontinuerligt övervakas

x

x






x

x



Ena F.2

Part i Ena-federationen ska säkerställa spårbarheten vid all fysisk åtkomst till känsliga IT-system. Åtkomst ska kunna härledas på individnivå, och identifieringen av individen ska ske på ett betryggande och säkert sätt.xx     xx 
Id

Tekniska krav

Intygs-
utfärdande		Attribut-
hantering		Tillitsnivå 1Tillitsnivå 2Tillitsnivå 3Tillitsnivå 4 Åtkomst-
begäran		Åtkomst-
kontroll		 Kommentar
O20
Ena T.1
Teknik
Medlem

Part i Ena-federationen ska säkerställa att de tekniska kontroller som finns införda är tillräckliga för att uppnå den skyddsnivå som bedöms nödvändig med hänsyn till verksamhetens art, omfattning och övriga omständigheter, och att dessa kontroller fungerar och är effektiva.

x

x

 

 

 

 

 

x

x

 

T21


Ena T.2
Teknik
Elektroniska

Part i Ena-federationen ska säkerställa att elektroniska kommunikationsvägar som nyttjas i verksamheten för överföring av känsliga uppgifter ska skyddas mot manipulation, insyn och annan otillåten åtkomst.

x

x

 

 

 

 

 

x

x

 

T22


Ena T.3
Teknik
Känsligt

Part i Ena-federationen ska säkerställa att känsligt kryptografiskt nyckelmaterial som används för kryptering och signering ska skyddas.

x

x

 

 

 

 

 

x

x

 

T23


Ena T.
3.1Teknik
Åtkomst
4

Part i Ena-federationen ska säkerställa att åtkomst till känsligt kryptografiskt nyckelmaterial ska begränsas, logiskt och fysiskt, till de roller och de tillämpningar som kräver det.

x

x

 

 

 

 

 

x

x

 

T24


Ena T.
3.2

Teknik
Känsligt kryptografiskt nyckelmaterial får inte lagras i klartext på beständigt lagringsmedia..

T25Ena T.3.3Teknik
Känsligt kryptografiskt nyckelmaterial ska
5Part i Ena-federationen ska säkerställa att säkerhetsmekanismerna för skydd av känsligt kryptografiskt nyckelmaterial är genomlysta och baserade på erkända och väletablerade standarderx
 


 xx 


Ena T.6Part i Ena-federationen ska säkerställa att känsligt kryptografiskt nyckelmaterial skyddas genom användning av kryptografisk hårdvarumodul med aktiva säkerhetsmekanismer som
motverkar mot både fysiska och logiska försök att röja nyckelmaterialet
motverkar röjning av nyckelmaterial.

   x x 

 



Ena T.7Part i Ena-federationen ska säkerställa att aktiveringsdata

T

26Ena T.3.4Teknik
Säkerhetsmekanismerna för skydd av känsligt kryptografiskt nyckelmaterial är genomlysta och baserade på erkända och väletablerade standarder

T

27Ena T.3.5Teknik
Aktiveringsdata
för skydd av känsligt kryptografiskt nyckelmaterial hanteras
genom flerpersonkontroll
genom flerpersonkontroll.
T




x
28
x




Ena T.
4
8
Teknik
Medlem

Part i Ena-federationen ska ha infört dokumenterade rutiner som säkerställer att erforderlig skyddsnivå i IT-miljön kan upprätthållas över tid för att möta förändrade risknivåer eller andra typer av förändringar. Rutinen ska innefatta regelbundna sårbarhetsundersökningar samt beskriva ändamålsenlig beredskap för att hantera inträffade incidenter.

x

x

 

 

 

 

 

x

x

 

 

T29

Ena T.
5
9
Teknik
Medlem

Part i Ena-federationen ska säkerställa att

verifieringen av identiteter sker med adekvata kontroller för

 identifiering skett på den tillitsnivå som

förmedlas

krävs innan intyg ställs ut.

T

x

30











Ena T.
6
10
Teknik
Medlem

Part i Ena-federationen ska säkerställa

att säkerhetsmekanismer implementerats i hanteringen av digitala identiteter på ett sätt som gör det osannolikt

att

någon utomstående kan gissa eller räkna ut den konfidentiella information som ligger till grund för den elektroniska identifieringen, ens på maskinell väg.T31Ena T.7Teknik
Utställande av

intyg

ska föregås av en tillförlitlig identifiering på den tillitsnivå som förmedlas.T32Ena T.8Teknik
Intyg

som ställs ut ska vara knutna till kryptografiskt nyckelmaterial som utfärdaren verifierat att endast innehavaren förfogar över.

T





(x)

33

x






Ena T.
9.1Teknik
Utställda
11

Part i Ena-federationen ska säkerställa att utställda intyg ska vara giltiga endast så länge som det krävs för att innehavaren ska kunna bereda sig tillgång till den efterfrågade resursen. 

T

x

34








x



Ena T.
9.2Teknik
Utställda intyg ska ska
12

Part i Ena-federationen ska säkerställa att utställda intyg skyddas mot obehörig åtkomst.

T

x

35Ena T.9.3

Teknik
Utställda intyg ska utfärdas på ett sådant sätt att dess äkthet kan valideras. 

T36






 

x

x

 


Ena T.
10
14
Teknik
Komponenter

Part i Ena-federationen

som ställer ut intyg ska, med hänsyn till riskerna för missbruk av intygstjänsten, begränsa den tidsperiod inom vilken flera på varandra följande intyg kan ställas ut för en viss innehavare, innan denne på nytt ska autentiseras.T37Ena T.11Teknik
Uppdatering av behörighetsgrundande information i ursprungskällan och eventuella 38

ska säkerställa att uppdatering av behörighetsgrundande information i såväl ursprungskälla som i temporära mellanlager ska gå att spåra avseende tidpunkt för förändringen och vem (person och system) som utfört förändringen.

T


x










Ena T.
12
15
Teknisk

Tillitsnivå för ett intyg ska anges i intyget. Nivån ska anges enligt gällande specifikation och regelverk inom Ena - Sveriges digitala infrastruktur.

T39Ena T.13

Teknik
Medlem i Ena-federationen ska ha publicerad dokumentation över krav för åtkomst till skyddade resurser. Dessa krav ska inkludera:
(1) vilken behörighetsgrundande information behöver förmedlas i åtkomstförfrågan

(2) vilket krav på tillitsnivå för intyg i vilket denna behörighetsgrundande information förmedlas föreligger

T40Ena T.14

Organisation
Personuppgifter som behandlas av medlem i Ena-federationen ska skyddas emot obehörig åtkomst.

O41Ena T.15

Organisation
Personuppgifter som behandlas av medlem i Ena-federationen ska inte användas för andra syften än inhämtande av behörighetsgrundande information och behörighetsstyrning.

O42Ena A.1

Organisation
Medlem i Ena-federationen ska vid incidenter som kan påverka tilliten samt vid förändring av kontaktpersoner och registrerad metadata, informera tillits- och anslutningsoperatörer som medlemmen har avtal med.

O43Ena A.2

Organisation
Medlem i Ena-federationen ansvarar för att behörighetsgrundande information är korrekt, aktuell och verifierad mot ursprungskällan. Rutinen för detta ska finnas dokumenterad.

O44Ena A.3

Organisation
Medlem i Ena-federationen ska i samband med incident skyndsamt vidta åtgärder för att återställa förtroende inom federationen.

O45Ena A.3.1

Organisation
Identiteter och behörighetsgrundande information som påverkats av incidenten ska beroende på incidentens karaktär kommuniceras enligt gällande incidentprocess.

O46

Teknik
Medlem i Ena-federationen ska säkerställa spårbarheten vid all teknisk åtkomst till känsliga IT-system. Åtkomst ska kunna härledas på individnivå, och
identifieringen av individen ska ske på ett betryggande och säkert sätt

T47

Fysisk
Medlem i Ena-federationen ska säkerställa spårbarheten vid all fysisk åtkomst till känsliga IT-system. Åtkomst ska kunna härledas på individnivå, och
identifieringen av individen ska ske på ett betryggande och säkert sätt.

F48

Organisation
Varje ansluten part till Ena-federationen ska ta fram en tillitsdeklaration på överenskommet format för varje tillitsmärke man innehar per teknisk komponent.

O49

Tillitsdeklarationer ska hållas uppdaterade och reflektera nuvarande förhållanden vid varje tidpunkt

O50

Ny tillitsdeklaration ska inlämnas inom 24 månader från det att den senaste tillitsdeklarationen godkändes, oavsett om förändring skett eller inte.

O

(Under utredning)











Registrerad som "Öppen fråga 1.1 - 
Säkerställa förväntad tillitsnivå vid samverkan"
Ena T.16

Part i Ena-federationen ska ha dokumenterad åtkomstpolicy för skyddade resurser. 









x



Ena T.17

Part i Ena-federationen ska säkerställa att tilldelade pseudonymiserade personidentifierare

51

Behörighetsgrundande information får endast användas inom ramen för avtal och överenskommelser för samverkan inom Ena-federationen om inte särskild överenskommelse finns med den informationsägande organisationen.

O52

Det ska finnas rutiner för egenkontroll av att informationen i en attributkälla är riktig.

T53

Information i beskrivningar och fritextfält får ej vara stötande eller kränkande. Den ska vara informativ och relevant utan värderingar och jämförelse med andra.

O54

Personer registrerade i  attributkällan ska ha ett anställnings- eller uppdragsförhållande till den organisation de tillhör.

O55

Systemanvändare registrerade i  attributkällan ska ha ett uppdragsförhållande till den organisation som ansvarar för dess förehavanden.

O56

Anställning och/eller uppdragsförhållande mellan uppdragsgivare och individ i attributkällan ska verifieras systematiskt  med en periodicitet enligt gällande policyer.

O57

Uppdragsförhållande mellan uppdragsgivare och systemanvändare (t.ex. RPA eller AI) i attributkällan ska verifieras systematiskt  med en periodicitet enligt gällande policyer.

O58

Processer för systematisk verifiering av attributs korrekthet ska finnas tydligt dokumenterade

T59

Attributs korrekthet ska verifieras systematiskt med den periodicitet som krävs av gällande lagstiftning och policyer för de tillämpningar där attributen används.

T60Tilldelade pseudonymiserade personidentifierare ska

lagras för spårning och uppföljning under en period som bestäms av gällande lagstiftning och policyer för de tillämpningar där personidentifierarna används.


x










Ena T
61

Fingerade data i attributkällor får inte spridas externt.

O62Förändringar av attribut
.18

Part i Ena-federationen ska säkerställa att förändringar av behörighetsgrundande information ska loggas. Loggfiler ska innehålla information om vilken förändring som gjorts, om

användaren/systemet

användare och system som gjorde förändringen

och tidpunkten

, samt tidpunkt för förändringen.


x






x




Ena T
63

Personer med skyddade personuppgifter ska  informeras av informationsägaren om hur deras personuppgifter i attributkällan hanteras.

O64

Skyddade personuppgifter ska märkas som sådana i attributkällor och mellanlager och hanteras enligt gällande lagstiftning och policyer.

T65

Åtkomst till information i attributkällan ska föregås av behörighetsbeslut utfört enligt ett med informationsägaren överenskommen åtkomstpolicy. Detta gäller både åtkomst direkt till attributkällan och även till mellanlager.

.19

Part i Ena-federationen ska uppnå spårbarhet genom loggning av så väl systemanvändares som fysiska användares aktiviteter i organisationens anslutna tekniska komponenter.

x

x






x

x



Ena T.20

Part i Ena-federationen ska säkerställa att man varken begär eller ger ut en mer omfattande behörighet än vad som behövs.








xx

Ena T.21

Part i Ena-federationen ska följa gällande standards och specifikationer för samverkan inom Ena.

xx




xx
T