...
När två parter behöver utbyta information är det ofta krav på att respektive sida behöver säkerställa att motparten är den den utger sig att vara, och att denne är behörig att ta del av den information som delas. Det är informationsägaren som ansvarar för att säkerställa att den part som begär information är behörig innan informationen kan lämnas ut. I dessa fall krävs det säkerställd information om vilken organisation, vilket system och eventuellt vilken användare det är som begär åtkomst, samt vad som berättigar åtkomsten . Dessutom kan det krävas information om användarens tilldelade uppdrag eller roll inom organisationen. Det kan också ställas krav på att användaren har en specifik kvalifikation, eller agerar i en legitimerad eller skyddad yrkesroll. Man kan förenklat säga att det är en skala från inget behov alls till ett omfattande underlaget med hög tillförlitlighet som krävs för att ge behörighet. Var på skalan man är för en specifik åtkomst står normalt i direkt proportion till informationens känslighet och behov av skydd.
Inom ramen för detta dokument beskrivs ett ramverk för tillitshantering. Tillitshanteringen ska skapa en struktur för bred återanvändning av gemensamma, generella och överenskomna nivåer av tillit som ska kunna tillämpas för samverkan via digitala tjänster oavsett sektor, verksamhetområde eller typ av information. Den ska ge en gemensam grund för tillit som alla kan acceptera och känna igen sig i. Detta inkluderar krav för att försäkra sig om att förmedling och hantering av identiteter och behörighetsgrundande information sker på ett säkert sätt. Tillitshanteringen ämnar minimera risken för obehörig åtkomst till information. I dagens komplexa samverkan, där man ofta behöver hämta och behandla information från flera parter för att stödja verksamhetsbehov, behöver också tilliten kunna upprätthållas i flera led mellan alla parter som tar fram underlaget för åtkomstbeslut. För att möjliggöra korrekta åtkomstbeslut krävs att tillit kan skapas till alla inblandade parter och komponenter.
Enas tillitshantering innehåller dels en tillitsmodell, dels en realisering av modellen för användning inom Ena.
Tillitshanteringen ska skapa en struktur för bred återanvändning av gemensamma, generella och överenskomna nivåer av tillit. Strukturen ska kunna tillämpas för samverkan via digitala tjänster oavsett sektor, verksamhetområde eller typ av information. Den ska ge en gemensam grund för tillit som alla kan acceptera och känna igen sig i.
Tillitshanteringen ska Tillitshanteringen ska möjliggöra aktiv vidareutveckling och förvaltning av tillitsmärken. När det introduceras digitala tjänster med krav som skiljer sig avsevärt från andras, ska det gå att ta fram nya tillitsmärken. När nya säkerhetshot identifieras, eller nya säkerhetsambitioner stipuleras - då ska ramverket stödja aktiv livscykelhantering för existerande tillitsmärken. Det ska vara lätt för befintliga digitala tillämpningar i samhället att relatera till Ena tillitshantering, samt identifiera och genomföra de eventuella förflyttningar som krävs för att kunna erbjuda tillämpningar inom Ena.
...