Versions Compared

Old Version 91

changes.mady.by.user Joakim Sandberg

Saved on

compared with

New Version Current

changes.mady.by.user Anders Malmros

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  1. Komponenter som innehar Ena Tillit Intygsutfärdande eller Ena Tillit Attributhantering ska även inneha ett av de fyra Ena Tillitsnivå-märkena
  2. Komponenter som innehar Ena Tillit Åtkomstbegäran eller Ena Åtkomstkontroll behöver inte inneha ett Ena Tillitsnivå-märke


Info
titleTabellbeskrivning - färgkodning
FärgTolkning
beigeregleras i federationsavtal
grönregleras i samverkansavtal för specifikt samverkansområde.




  Ena tillitsmärkenKommentar
Id

Organisatoriska krav

Intygs-
utfärdande		Attribut-
hantering		Tillitsnivå 1Tillitsnivå 2Tillitsnivå 3Tillitsnivå 4 Åtkomst-
begäran		Åtkomst-
kontroll		 
Ena O.1

Part i Ena-federationen som inte är ett offentligt organ ska drivas som registrerad juridisk person samt teckna och vidmakthålla för verksamheten erforderliga försäkringar.

x

x

 

 

 

 

 

x

x

 


Ena O.2

Part i Ena-federationen ska ha en etablerad verksamhet, vara fullt operationell för samverkan inom federationen, samt vara väl insatt i de juridiska krav som ställs.

x

x

 

 

 

 

 

x

x

 

Ena 


Ena O.3

Part i Ena-federationen ska ha ett systematiskt och riskbaserat informationssäkerhetsarbete. Detta ska införas och användas för de delar av verksamheten som på något sätt är inblandad i drift, förvaltning, eller annat handhavande av komponent för vilken detta krav ska efterlevas.

 

 

x

x

 

 

 

x

x

 


Ena O.
3
4

Part i Ena-federationen ska inrätta och följa ett ledningssystem för informationssäkerhet (LIS) som i tillämpliga delar baseras på ISO/IEC 27001 eller motsvarande likvärdiga principer för ledning och styrning av informationssäkerhetsarbetet. Detta ska införas och användas för de delar av verksamheten som på något sätt är inblandad i drift, förvaltning, eller annat handhavande av komponent för vilken detta krav ska efterlevas.



 


 



 


Ena O.
4
5

Part i Ena-federationen ska utse en person som ansvarar för organisationens anslutning till Ena-federationen.

x

x

 

 

 

 

 

x

x

 


Ena O.
5
6

Part i Ena-federationen ska utse en person som ansvarar för varje komponent som organisationen väljer att ansluta till Ena-federationen.

x

x

 

 

 

 

 

x

x

 


Ena O.
6
7

Part i Ena-federationen ska ha samtliga säkerhetskritiska, administrativa och tekniska processer dokumenterade och vilande på en formell grund, där roller, ansvar och befogenheter finns tydligt definierade.

x

x

 

 

 

 

 

x

x

 


Ena O.
7
8

Part i Ena-federationen ska säkerställa att denne vid var tid har tillräckliga personella resurser till förfogande för att uppfylla sina åtaganden inom Ena-federationen.

x

x

 

 

 

 

 

x

x

 

senare, precisera åtaganden per märke (jmfr SC:s kravförtydliganden på "lätt svenska") i vägledningar.

Ena O.
8
9

Part i Ena-federationen ska ha en process för riskhantering som på ett ändamålsenligt sätt, kontinuerligt eller minst var tolfte månad, analyserar hot och sårbarheter i verksamheten. Processen ska resultera i en förbättringsplan innehållande rekommenderade säkerhetsåtgärder.

x

x

 

 

 

 

 

x

x

 


Ena O.
9
10

Part i Ena-federationen ska ha en process som omfattar såväl incidentrapportering som hur lämpliga reaktiva och preventiva åtgärder vidtas för att lindra eller förhindra skada till följd av incidenter.

x

x

 

 

 

 

 

x

x

 


Ena O.11

Part i Ena-federationen ska i samband med incident skyndsamt vidta åtgärder för att återställa förtroende inom federationen.

x

x

 

 

 

 

 

x

x

 


Ena O.12

Part i Ena-federationen ska vid incidenter som kan påverka tilliten till medlemmens roll i federationen, kommunicera detta enligt gällande incidentprocess. 

 

 

 

 

 

 

 

Ena O.13

Part i Ena-federationen ska regelbundet utvärdera arbetet med informationssäkerheten och införa förbättringsåtgärder i ledningssystemet.

x

x

 

 

 

 

 

x

x

 


Ena O.14

Part i Ena-federationen som har lagt ut utförandet av en eller flera säkerhetskritiska processer på en underleverantör, ska definiera vilka processer som underleverantören är ansvarig för utförandet av, vilka krav som är tillämpliga på dessa, samt att underleverantören ska uppfylla dessa krav, samt säkerställa att detta regleras mellan parterna.

x

x

 

 

 

 

 

x

x

 


Ena O.15

Part i Ena-federationen ska ha en kontaktpunkt för tekniska ärenden

x

x






x

x



Ena O.16

Part i Ena-federationen ska, i tillämpliga delar, bevara:

  1. Avtal
  2. Styrande dokument
  3. Handlingar som rör förändringar av uppgifter hänförliga till Användare, Attribut och Metadata
  4. Övrig dokumentation som stöder efterlevnaden av de krav som ställs på denne, och som visar att de säkerhetskritiska processerna och kontrollerna fungerar.

x

x

 

 

 

 

 

x

x

 

precisera "tillämpliga delar" per tillitsmärke i någon slags vägledning.

Ena O.17

Tiden för bevarande av avtal, dokument och handlingar enligt krav Ena O.15 ska inte understiga fem år och material ska kunna tas fram i läsbar form under hela denna tid, såvida inte krav på gallring påkallas från integritetssynpunkt eller har stöd i lag eller annan författning.

x

x

 

 

 

 

 

x

x

 


Ena O.18

Part i Ena-federationen ska ha rutiner som säkerställer att endast behörig personal har åtkomst till de uppgifter som samlas in och bevaras i enlighet med Ena O.15.

x

x

 

 

 

 

 

x

x

 


Ena O.19

Part i Ena-federationen ska ha en funktion för internrevision som periodiskt granskar verksamheten enligt följande:

  1. Internrevisorn ska vara oberoende i utförandet av uppdraget på ett sätt som tryggar en objektiv och opartisk granskning och ha den kompetens och erfarenhet som krävs för uppdraget.
  2. Internrevisorn ska självständigt planera genomförandet av revisionen och dokumentera detta i en revisionsplan som sträcker sig över en 3-årsperiod.
  3. Varje enskild internrevisions omfattning ska väljas utifrån en riskanalys och grundas i kraven som ställs på medlemmen inom Ena-federationen.
  4. Revisionsresultatet ska dokumenteras och vid förfrågan göras tillgänglig för ledningsaktör och operatörer.

x

x

 

 

 

 

 

x

x

 

Risk att slå ut småaktörer, tex enmansföretag


Är detta efterlevnad som ska hanteras på annan plats

Ena O.20

Part i Ena-

federationen ska ta fram en tillitsdeklaration på överenskommet format för varje Ena-tillitsmärke man innehar per teknisk komponent

federationen ska regelbundet genomgå revision enligt fastställd plan och tillgängliggöra den information och de resurser som krävs för att revisionen ska kunna genomföras.

x

x

 

 

 

 

 

x

x

 

Detaljeras vad tillitsdeklaration är i fokusområde efterlevnadskontroll


Ena O.21

Part i Ena-federationen ska

hålla sina tillitsdeklarationer för Ena-tillitsmärken uppdaterade och säkerställa att de reflekterar nuvarande förhållanden vid varje tidpunkt.

vid eventuella brister och avvikelser som påträffas vid en revision åtgärda dessa skyndsamt. Tidsfrist meddelas av den part som står bakom revisionskraven.

x

x






x

x



Ena O.22

Part i Ena-federationen får endast använda behörighetsgrundande information inom ramen för avtal och överenskommelser för samverkan inom Ena-federationen om inte särskild överenskommelse finns med informationsägande organisation.

x

x

 

 

 

 

 

x

x

 


Ena O.
22

Av tillitsmärkesägaren utpekad Ena-revisor har rätt att återkommande granska part i Ena-federationen avseende uppfyllnad av tillitsmärken.

23

Part i Ena-federationen ska

återkommande <periodicitet> genomgå revision/efterlevnadskontroll. → Ta bort det generella kravet och omformulera till specifika krav med eventuella skillnader mellan de olika nivåerna

säkerställa att behörighetsgrundande information som behandlas ska skyddas emot obehörig åtkomst.

x

x

x

 

x

Omformulera krav utan fast period!?

LoT-krav med olika periodiciteter

Ena O.23Part i Ena-federationen ska vid eventuella brister och avvikelser som påträffas vid en revision åtgärda dessa skyndsamt. Tidsfrist meddelas av den part som står bakom revisionskraven.

 

 

 

 

x

x

x

 

x


Ena O.24

Part i Ena-federationen

får endast använda behörighetsgrundande information inom ramen för avtal och överenskommelser för samverkan inom Ena-federationen om inte särskild överenskommelse finns med informationsägande organisation

ansvarar för att behörighetsgrundande information är korrekt, aktuell och verifierad mot ursprungskällor. Rutinen för detta ska finnas dokumenterad.

x

x

 

 

 

 

 

x

x

 

x

x

 

 

 

 

 

x

x

 






Ena O.25

Part i Ena-federationen ska säkerställa

att behörighetsgrundande information som behandlas ska skyddas emot obehörig åtkomst.

att det finns rutiner för egenkontroll av att informationen i en attributkälla är korrekt och aktuell.


x










Ena O.26

Part i Ena-federationen

ansvarar för att behörighetsgrundande information är korrekt, aktuell och verifierad mot ursprungskällor. Rutinen för detta ska finnas dokumenterad.

ska ha processer för systematisk verifiering av attributs korrekthet finns tydligt dokumenterad och implementerad.


x










Ena O.27

Part

x

x

 

 

 

 

Ena O.27Part

x

i Ena-federationen ska säkerställa att

det finns rutiner för egenkontroll av att informationen i en attributkälla är korrekt och aktuell.

information i beskrivningar och fritextfält ej är stötande eller kränkande. Den ska vara informativ och relevant utan värderingar och jämförelse med andra.

x

x

 

 

 

 


x

x



Ena O.28

Part i Ena-federationen ska ha processer för systematisk verifiering av attributs korrekthet finns tydligt dokumenterade

x

...och efterlevs!?

Specifika krav per tillitsnivå

Tillhandahållare av attributkälla ska säkerställa att personer registrerade i attributkällan ska ha ett anställnings- eller uppdragsförhållande till den organisation de tillhör.


x

 

 

 

 






Ena O.32

Part i Ena-federationen ska säkerställa att

attributs korrekthet verifieras systematiskt med den periodicitet som krävs av gällande lagstiftning och policyer för de tillämpningar där attributen används.

x

ev kompletteras med tekniska krav på teknisk automatisering

data för verifikation i produktionsmiljö inte sprids externt.

x

x






x

x



Ena O.
30
33

Part i Ena-federationen

ska säkerställa att information i beskrivningar och fritextfält ej är stötande eller kränkande. Den ska vara informativ och relevant utan värderingar och jämförelse med andra.

som hanterar personuppgifter (inklusive skyddade) inom ramen för Ena-samverkan ska ha en policy för detta.

x

x

 

 

 

 

Kanske inte tillitskrav?


x

x

Kanske hör hemma i avtalstext.



Ena O.
31

Tillhandahållare av attributkälla ska säkerställa att personer registrerade i attributkällan ska ha ett anställnings- eller uppdragsförhållande till den organisation de tillhör.

x

 

 

 

 

43

Part i Ena-federationen får inte göra påståenden om organisationer, system, eller användare  som man inte har rätt att företräda gällande aktuellt påstående.

x

x









Registrerad som "Öppen fråga 1.2 - Att kunna verifiera "rätten" att företräda någon annan"

Id

Personrelaterade krav

Intygs-
utfärdande		Attribut-
hantering		Tillitsnivå 1Tillitsnivå 2Tillitsnivå 3Tillitsnivå 4 Åtkomst-
begäran		Åtkomst-
kontroll		 Kommentar
Ena P.1

Part i Ena-federationen ska ha genomfört bakgrundskontroll för de personer som innehar roll av särskild betydelse för säkerheten. Detta i syfte att förvissa sig om att personen kan anses vara pålitlig samt att personen har de kvalifikationer och den utbildning som krävs för att på ett säkert och betryggande sätt utföra de arbetsuppgifter som följer av rollen.

x

Ena O.32

Part i Ena-federationen ska säkerställa att systemanvändare registrerade i attributkällan ska ha ett uppdragsförhållande till den organisation som ansvarar för dess förehavanden.

x

 

 

 

 

Ena O.33

Part i Ena-federationen ska verifiera systematiskt och med en periodicitet enligt gällande regelverk från tillitsmärkesägare att anställning och/eller uppdragsförhållande mellan uppdragsgivare och individ i attributkällan finns.

x

 

 

 

 

Ena O.34Part i Ena-federationen ska säkerställa att uppdragsförhållande mellan uppdragsgivare och systemanvändare (t.ex. RPA eller AI) i attributkällan verifieras systematiskt med en periodicitet enligt gällande regelverk från tillitsmärkesägare.

x

 

 

 

 

Ena O.35Part i Ena-federationen ska säkerställa att data för verifikation i produktionsmiljö inte sprids externt.

 

x

x

x

 

xEna O.41

Operatör i Ena-federationen som upphör med sin verksamhet ska hålla arkiverat material tillgängligt även efter verksamheten avvecklats. Tiden för bevarande ska inte understiga fem år och material ska kunna tas fram i läsbar form under hela denna tid, såvida inte krav på gallring påkallas ur integritetssynpunkt och har stöd i lag eller annan författning. 

Ena O.10

Operatör i Ena-federationen ska ha samt regelbundet testa en kontinuitetsplan som tillgodoser externt ställda tillgänglighetskrav som ställts på partens förmåga att återställa kritiska processer och förmågor vid händelse av kris eller allvarliga incidenter.

Id

Personrelaterade krav

Intygs-
utfärdandeAttribut-


Id

x

Ena O.36

Part i Ena-federationen som hanterar personuppgifter (inklusive skyddade) inom ramen för Ena-samverkan ska ha en policy för detta.

x

x

 

 

 

 

x

x

 dataskyddsombud

Ena O.38

Operatör i Ena-federationen åtar sig att tillhandahålla funktionsbrevlådor till följande roller i sin verksamhet för: 

  1. Avtal och administration
  2. Säkerhetsincidenter
  3. Support
Ena O.39

Operatörer i Ena-federationen ska på begäran tillhandahålla ledningsaktören sådan dokumentation eller avtal som behövs för att förtydliga anslutning och registreringsförfaranden och därmed de förtroeEna O.29ndenivåer som krävs av metadata i infrastrukturen.

Ena O.40Operatör i Ena-federationen som vill avsluta sin verksamhet inom federationen, ska meddela anslutna kunder och ledningsaktör detta tolv månader i förväg. Operatörens tekniska komponenter kan avvecklas innan de tolv månaderna är till ända om inga anslutna kunder finns kvar.

Fysiska krav

Intygs-
utfärdande		Attribut-
hantering		Tillitsnivå 1Tillitsnivå 2Tillitsnivå 3Tillitsnivå 4 Åtkomst-
begäran		Åtkomst-
kontroll		 Kommentar
Ena F.1

Part i Ena-federationen ska fysiskt skydda verksamhetens centrala delar mot skada som följd av miljörelaterade händelser, otillåten åtkomst eller andra yttre störningar genom att:

1. Åtkomst till känsliga utrymmen är begränsad till behörig personal
2. Informationsbärande media förvaras, hanteras och avvecklas på ett säkert sätt
3. Tillträde till dessa skyddade utrymmen kontinuerligt övervakas

x

x






x

x



Ena F.2

Part i Ena-federationen ska säkerställa spårbarheten vid all fysisk åtkomst till känsliga IT-system. Åtkomst ska kunna härledas på individnivå, och identifieringen av individen ska ske på ett betryggande och säkert sätt.xx     xx 
Id

Tekniska krav

Intygs-
utfärdande		Attribut-
hanteringTillitsnivå 1Tillitsnivå 2Tillitsnivå 3Tillitsnivå 4 Åtkomst-
begäran		Åtkomst-
kontroll		 Kommentar
Ena
P
T.1

Part i Ena-federationen ska

ha genomfört bakgrundskontroll för de personer som innehar roll av särskild betydelse för säkerheten. Detta i syfte att förvissa sig om att personen kan anses vara pålitlig samt att personen har de kvalifikationer och den utbildning som krävs för att på ett säkert och betryggande sätt utföra de arbetsuppgifter som följer av rollen

säkerställa att de tekniska kontroller som finns införda är tillräckliga för att uppnå den skyddsnivå som bedöms nödvändig med hänsyn till verksamhetens art, omfattning och övriga omständigheter, och att dessa kontroller fungerar och är effektiva.

x

x

 

 

 

 

 

x

x

 

Id

Fysiska krav

Intygs-
utfärdandeAttribut-
hanteringTillitsnivå 1Tillitsnivå 2Tillitsnivå 3Tillitsnivå 4 Åtkomst-
begäranÅtkomst-
kontroll KommentarEna F.1


Ena T.2

Part i Ena-federationen ska säkerställa att elektroniska kommunikationsvägar som nyttjas i verksamheten för överföring av känsliga uppgifter ska skyddas mot manipulation, insyn och annan otillåten åtkomst.

x

x

 

 

 

 

 

x

x

 


Ena T.3

Part i Ena-federationen ska säkerställa att känsligt kryptografiskt nyckelmaterial som används för kryptering och signering ska skyddas.

x

x

 

 

 

 

 

x

x

 


Ena T.4

Part i Ena-federationen ska

fysiskt skydda verksamhetens centrala delar mot skada som följd av miljörelaterade händelser, otillåten åtkomst eller andra yttre störningar genom att:

1. Åtkomst till känsliga utrymmen är begränsad till behörig personal
2. Informationsbärande media förvaras, hanteras och avvecklas på ett säkert sätt
3. Tillträde till dessa skyddade utrymmen kontinuerligt övervakas

säkerställa att åtkomst till känsligt kryptografiskt nyckelmaterial ska begränsas, logiskt och fysiskt, till de roller och de tillämpningar som kräver det.

x

x

 

 

 

 

 

x

x

x

x

 


Ena
F
T.
2
5Part i Ena-federationen ska säkerställa
spårbarheten vid all fysisk åtkomst till känsliga IT-system. Åtkomst ska kunna härledas på individnivå, och identifieringen av individen ska ske på ett betryggande och säkert sätt.
att säkerhetsmekanismerna för skydd av känsligt kryptografiskt nyckelmaterial är genomlysta och baserade på erkända och väletablerade standarderx
xx 

 


 
  
xx
 Id

Tekniska krav

Intygs-
utfärdandeAttribut-
hanteringTillitsnivå 1Tillitsnivå 2Tillitsnivå 3Tillitsnivå 4 Åtkomst-
begäranÅtkomst-
kontroll
 
Kommentar


Ena T.
1
6Part i Ena-federationen ska säkerställa att
de tekniska kontroller som finns införda är tillräckliga för att uppnå den skyddsnivå som bedöms nödvändig med hänsyn till verksamhetens art, omfattning och övriga omständigheter, och att dessa kontroller fungerar och är effektiva.

x

x
känsligt kryptografiskt nyckelmaterial skyddas genom användning av kryptografisk hårdvarumodul med aktiva säkerhetsmekanismer som motverkar röjning av nyckelmaterial.

  
 
 x
 
 x 

x

x



 



Ena T.
2
7Part i Ena-federationen ska säkerställa att
elektroniska kommunikationsvägar som nyttjas i verksamheten för överföring av känsliga uppgifter ska skyddas mot manipulation, insyn och annan otillåten åtkomst.
aktiveringsdata för skydd av känsligt kryptografiskt nyckelmaterial hanteras genom flerpersonkontroll.



xx

x

x

 

 

 

 

 

x

x

 





Ena T.
3
8

Part i Ena-federationen ska

säkerställa att känsligt kryptografiskt nyckelmaterial som används för kryptering och signering ska skyddas

ha infört dokumenterade rutiner som säkerställer att erforderlig skyddsnivå i IT-miljön kan upprätthållas över tid för att möta förändrade risknivåer eller andra typer av förändringar. Rutinen ska innefatta regelbundna sårbarhetsundersökningar samt beskriva ändamålsenlig beredskap för att hantera inträffade incidenter.

x

x

 

 

 

 

 

x

x

 

 

Ena T.
4
9

Part i Ena-federationen ska säkerställa att

åtkomst till känsligt kryptografiskt nyckelmaterial ska begränsas, logiskt och fysiskt, till de roller och de tillämpningar som kräver det

 identifiering skett på den tillitsnivå som krävs innan intyg ställs ut.

x

x

 

 

 

 

 

x

x

 











Ena T.10

Part i Ena-federationen ska säkerställa att intyg som ställs ut ska vara knutna till kryptografiskt nyckelmaterial som utfärdaren verifierat att endast innehavaren förfogar över.





(x)

x






Ena T.11
Ena T.5

Part i Ena-federationen ska säkerställa att

känsligt kryptografiskt nyckelmaterial skyddas genom användning av kryptografisk hårdvarumodul med aktiva säkerhetsmekanismer som motverkar röjning av nyckelmaterial.   x x  

jobba vidare med denna med olika krav för olika tillitsnivåer

utställda intyg ska vara giltiga endast så länge som det krävs för att innehavaren ska kunna bereda sig tillgång till den efterfrågade resursen. 

x








x



Ena T.12
Ena T.6

Part i Ena-federationen ska säkerställa att

säkerhetsmekanismerna för skydd av känsligt kryptografiskt nyckelmaterial är genomlysta och baserade på erkända och väletablerade standarder

utställda intyg skyddas mot obehörig åtkomst.

x

x 






 

x

x

 

tillitsnivåer?

erkända och etablerade → "godkända"?


Ena T.
7
14

Part i Ena-federationen ska säkerställa att

aktiveringsdata för skydd av känsligt kryptografiskt nyckelmaterial hanteras genom flerpersonkontroll.xx

tillitsnivåer

Kravet kanske bara ska krävas för komponenter i utgivningsfasen!?

uppdatering av behörighetsgrundande information i såväl ursprungskälla som i temporära mellanlager ska gå att spåra avseende tidpunkt för förändringen och vem (person och system) som utfört förändringen.


x










Ena T.
8

Part i Ena-federationen ska ha infört dokumenterade rutiner som säkerställer att erforderlig skyddsnivå i IT-miljön kan upprätthållas över tid för att möta förändrade risknivåer eller andra typer av förändringar. Rutinen ska innefatta regelbundna sårbarhetsundersökningar samt beskriva ändamålsenlig beredskap för att hantera inträffade incidenter.

x

x

 

 

 

 

 

x

x

 

 

15

Tillitsnivå för ett intyg ska anges i intyget. Nivån ska anges enligt gällande specifikation och regelverk inom Ena - Sveriges digitala infrastruktur. (Under utredning)











Registrerad som "Öppen fråga 1.1 - 
Säkerställa förväntad tillitsnivå vid samverkan"
Ena T.16

Part i Ena-federationen ska ha dokumenterad åtkomstpolicy för skyddade resurser. 









x



Ena T.17
Ena T.10

Part i Ena-federationen ska säkerställa att

 identifiering skett på den tillitsnivå som krävs innan intyg ställs ut

tilldelade pseudonymiserade personidentifierare lagras för spårning och uppföljning under en period som bestäms av gällande lagstiftning och policyer för de tillämpningar där personidentifierarna används.


x










Ena T.
11
18

Part i Ena-federationen ska säkerställa att

intyg som ställs ut ska vara knutna till kryptografiskt nyckelmaterial som utfärdaren verifierat att endast innehavaren förfogar över.

(x)

x

PoP-krav kan ställas på hög tillitsnivå kanske!?

Klientkrav på nivå 4!?

Ena T.12

Part i Ena-federationen ska säkerställa att utställda intyg ska vara giltiga endast så länge som det krävs för att innehavaren ska kunna bereda sig tillgång till den efterfrågade resursen. 

x

x

Ena T.13

Part i Ena-federationen ska säkerställa att utställda intyg skyddas mot obehörig åtkomst.

x

 

x

x

 

Ena T.14

Part i Ena-federationen ska säkerställa att utställda intyg utfärdas på ett sådant sätt att deras äkthet kan valideras. 

xtillitskrav? Följer man specen får man med detEna T.15

Part i Ena-federationen ska säkerställa att komponenter i federationen som ställer ut intyg ska, med hänsyn till riskerna för missbruk, begränsa den tidsperiod inom vilken flera på varandra följande intyg kan ställas ut för en viss innehavare, innan innehavaren på nytt autentiseras.

Förslag: Part i Ena-federationen ska säkerställa att det finns en begränsning i den tidsperiod där intyg kan utfärdas för en autentiserad användaren innan ny autentisering krävs.

x

Joakim Sandberg förenklar!

Ena T.16

Part i Ena-federationen ska säkerställa att uppdatering av behörighetsgrundande information i såväl ursprungskälla som i temporära mellanlager ska gå att spåra avseende tidpunkt för förändringen och vem (person och system) som utfört förändringen.

x

Ena T.17

Tillitsnivå för ett intyg ska anges i intyget. Nivån ska anges enligt gällande specifikation och regelverk inom Ena - Sveriges digitala infrastruktur. (Under utredning)

Ena T.18

Part i Ena-federationen ska ha dokumenterad åtkomstpolicy för skyddade resurser. 

x

Ena T.19

Part i Ena-federationen ska säkerställa att tilldelade pseudonymiserade personidentifierare lagras för spårning och uppföljning under en period som bestäms av gällande lagstiftning och policyer för de tillämpningar där personidentifierarna används.

x

Ena T.20

Part i Ena-federationen ska säkerställa att förändringar av behörighetsgrundande information ska loggas. Loggfiler ska innehålla information om vilken förändring som gjorts, om användare och system som gjorde förändringen, samt tidpunkt för förändringen.

x

x

Ena T.23

Part i Ena-federationen ska uppnå spårbarhet genom loggning av så väl systemanvändares som fysiska användares aktiviteter i organisationens anslutna tekniska komponenter.

x

x

x

x

Ena T.24

Part i Ena-federationen ska säkerställa att man varken begär eller ger ut en mer omfattande behörighet än vad som behövs.

xx

Krav som kan behöva regleras av avtal 

...

förändringar av behörighetsgrundande information ska loggas. Loggfiler ska innehålla information om vilken förändring som gjorts, om användare och system som gjorde förändringen, samt tidpunkt för förändringen.


x






x




Ena T.19

Part i Ena-federationen ska uppnå spårbarhet genom loggning av så väl systemanvändares som fysiska användares aktiviteter i organisationens anslutna tekniska komponenter.

x

x






x

x



Ena T.20

Part i Ena-federationen ska säkerställa att man varken begär eller ger ut en mer omfattande behörighet än vad som behövs.








xx

Ena T.21

Part i Ena-federationen ska följa gällande standards och specifikationer för samverkan inom Ena.

xx




xx

...