| Id | Krav |
|
|---|
| 1 | Ena O.1 | Organisation och styrning
Övergripande krav på verksamheten
Medlem i Ena-federationen som inte är ett offentligt organ ska drivas som registrerad juridisk person samt teckna och vidmakthålla för verksamheten erforderliga försäkringar. |
|
| 2 | Ena O.2 | Organisation och styrning
Övergripande krav på verksamheten
Medlem i Ena-federationen ska ha en etablerad verksamhet, vara fullt operationell i alla delar som berörs i detta dokument, samt vara väl insatt i de juridiska krav som ställs på denne som medlem i Ena-federationen. |
|
| 3 | Ena O.3 | Organisation och styrning
Övergripande krav på verksamheten
Medlem i Ena-federationen ska ha förmåga att bära risken för skadeståndsskyldighet samt förfoga över tillräckliga ekonomiska medel för att kunna bedriva verksamheten i minst 1 år. |
|
| 4 | Ena O.4 | Organisation och styrning
Informationssäkerhet
Medlem i Ena-federationen ska för de delar av verksamheten som berörs genom tillitsramverket ha inrättat ett ledningssystem för informationssäkerhet (LIS) som i tillämpliga delar baseras på ISO/IEC 27001 eller motsvarande likvärdiga principer för ledning och styrning av informationssäkerhetsarbetet. |
|
| 5 |
| Organisation och styrning Roller
Medlem i Ena-federationen ska utse en person som ansvarar för organisationens anslutning till Ena. |
|
| 6 |
| Organisation och styrning Roller
Medlem i Ena-federationen ska utse en person som ansvarar för respektive komponent som organisationen väljer att ansluta till Ena |
|
| 7 |
| Organisation och styrning Roller
Informationssäkerhet
Samtliga säkerhetskritiska, administrativa och tekniska processer ska vara dokumenterade och vila på en formell grund, där roller, ansvar och befogenheter finns tydligt definierade. |
|
| 8 | Ena O.4.2 | Organisation och styrning
Informationssäkerhet
Medlem i Ena-federationen ska säkerställa att denne vid var tid har tillräckliga personella resurser till förfogande för att uppfylla sina åtaganden (inom federationen). |
|
| 9 | Ena O.4.3 | Organisation och styrning
Informationssäkerhet
Medlem i Ena-federationen ska inrätta en process för riskhantering som på ett ändamålsenligt sätt, kontinuerligt eller minst var tolfte månad, analyserar hot och sårbarheter i verksamheten, och ska leda till en förbättringsplan innehållande rekommenderade säkerhetsåtgärder. |
|
| 10 | Ena O.4.4 | Organisation och styrning
Informationssäkerhet
Medlem i Ena-federationen ska inrätta en process för incidenthantering som systematiskt säkerställer kvaliteten i verksamheten, samt etablerar former för vidarerapportering och att lämpliga reaktiva och preventiva åtgärder vidtas för att lindra eller förhindra skada till följd av sådana händelser. |
|
| 11 | Ena O.4.5 | Organisation och styrning
Informationssäkerhet
Medlem i Ena-federationen ska upprätta och regelbundet testa en kontinuitetsplan som tillgodoser verksamhetens tillgänglighetskrav genom en förmåga att återställa kritiska processer vid händelse av kris eller allvarliga incidenter. |
|
| 12 | Ena O.4.6 | Organisation och styrning
Informationssäkerhet
Medlem i Ena-federationen ska regelbundet utvärdera arbetet med informationssäkerheten och införa förbättringsåtgärder i ledningssystemet. |
|
| 13 | | Organisation och styrning
Informationssäkerhet
Ledningssystemet för informationssäkerhet ska följa SS-ISO/IEC 27001:2017 eller därmed jämställbara efterföljande eller internationella versioner av standarden, och inom avgränsningen för detta inkludera samtliga krav som ställs på en medlem i Ena-federationen. |
|
| 14 | Ena O.6 | Organisation och styrning
Villkor för underleverantörer
Medlem i Ena-federationen som på annan part har lagt ut utförandet av en eller flera säkerhetskritiska processer, ska genom avtal definiera vilka kritiska processer som underleverantören är ansvarig för och vilka krav som är tillämpliga på dessa, och att underleverantören ska uppfylla dessa krav, samt tydliggöra avtalsförhållandet. |
|
| 15 | Ena O.7 | Organisation och styrning
Spårbarhet, gallring och handlingars bevarande
En medlem i Ena-federationen ska, i tillämpliga delar, bevara:
(a) avtal,
(b) styrande dokument,
(c) handlingar som rör förändringar av uppgifter hänförliga till Användare, Attribut
och Metadata, och
(d) övrig dokumentation som stöder efterlevnaden av de krav som ställs på denne, och som visar att de säkerhetskritiska processerna och kontrollerna fungerar. |
|
| 16 | Ena O.8 | Organisation och styrning
Spårbarhet, gallring och handlingars bevarande
Tiden för bevarande ska inte understiga fem år och material ska kunna tas fram i läsbar form under hela denna tid, såvida inte krav på gallring påkallas från integritetssynpunkt och har stöd i lag eller annan författning. |
|
| 17 | Ena O.9 | Organisation och styrning
Granskning och uppföljning
En medlem i Ena-federationen ska inrätta en funktion för internrevision som periodiskt granskar verksamheten. * Internrevisorn ska vara oberoende i utförandet av uppdraget på ett sätt som tryggar en objektiv och opartisk granskning och ha den kompetens och erfarenhet som krävs för uppdraget.
* Internrevisorn ska självständigt planera genomförandet av revisionen och dokumentera detta i en revisionsplan som sträcker sig över en 3-årsperiod.
* Varje enskild internrevisions omfattning ska väljas utifrån en risk- och väsentlighetsanalys och grundas i kraven som ställs på medlemmen inom Ena-federationen. |
|
| 18 | Ena F.1 | Fysisk, administrativ och personorienterad säkerhet
Verksamhetens centrala delar ska skyddas fysiskt mot skada som följd av miljörelaterade händelser, otillåten åtkomst eller andra yttre störningar genom att: 1. Åtkomst till känsliga utrymmen är begränsad till behörig personal
2. Informationsbärande media förvaras, hanteras och avvecklas på ett säkert sätt
3. Tillträde till dessa skyddade utrymmen kontinuerligt övervakas |
|
| 19 | Ena F.2 | Fysisk, administrativ och personorienterad säkerhet
Medlem i Ena-federationen ska ha genomfört bakgrundskontroll för de personer som innehar roll av särskild betydelse för säkerheten. Detta i syfte att förvissa sig om att personen kan anses vara pålitlig samt att personen har de kvalifikationer och den utbildning som krävs för att på ett säkert och betryggande sätt utföra de arbetsuppgifter som följer av rollen. |
|
| 20 | Ena F.3 | Fysisk, administrativ och personorienterad säkerhet
Medlem i Ena-federationen ska ha rutiner som säkerställer att endast behörig personal har åtkomst till de uppgifter som samlas in och bevaras i enlighet med Ena O.7. |
|
| 21 | Ena F.4 | ? | Fysisk, administrativ och personorienterad säkerhet
Nivå 3 och 4: Utfärdare ska genom hela kedjan i utfärdandeprocessen säkerställa att separation av arbetsuppgifter tillämpas på ett sådant sätt att ingen ensam person har möjlighet att tillskansa sig en e-legitimation i en annan persons namn. |
| 22 | Ena T.1 | Teknisk säkerhet
Medlem i Ena-federationen ska säkerställa att de tekniska kontroller som finns införda är tillräckliga för att uppnå den skyddsnivå som bedöms nödvändig med hänsyn till verksamhetens art, omfattning och övriga omständigheter, och att dessa kontroller fungerar och är effektiva. |
|
| 23 | Ena T.2 | Teknisk säkerhet
Elektroniska kommunikationsvägar som nyttjas i verksamheten för överföring av känsliga uppgifter ska skyddas mot manipulation, insyn och annan otillåten åtkomst. |
|
| 24 | Ena T.3 | Teknisk säkerhet
Känsligt kryptografiskt nyckelmaterial som används för kryptering och signering ska skyddas. |
|
| 25 | Ena T.3.1 | Teknisk säkerhet
Åtkomst till känsligt kryptografiskt nyckelmaterial ska begränsas, logiskt och fysiskt, till de roller och de tillämpningar som kräver det. |
|
| 26 | Ena T.3.2 | Teknisk säkerhet
Känsligt kryptografiskt nyckelmaterial får inte lagras i klartext på beständigt lagringsmedia.. |
|
| 27 | Ena T.3.3 | Teknisk säkerhet
Känsligt kryptografiskt nyckelmaterial ska skyddas genom användning av kryptografisk hårdvarumodul med aktiva säkerhetsmekanismer som motverkar mot både fysiska och logiska försök att röja nyckelmaterialet |
|
| 28 | Ena T.3.4 | Teknisk säkerhet
Säkerhetsmekanismerna för skydd av känsligt kryptografiskt nyckelmaterial är genomlysta och baserade på erkända och väletablerade standarder |
|
| 29 | Ena T.3.5 | Teknisk säkerhet
(Nivå 3 och 4) Aktiveringsdata för skydd av känsligt kryptografiskt nyckelmaterial hanteras genom flerpersonkontroll. |
|
| 30 | Ena T.4 | Teknisk säkerhet
Medlem i Ena-federationen ska ha infört dokumenterade rutiner som säkerställer att erforderlig skyddsnivå i IT-miljön kan upprätthållas över tid för att möta förändrade risknivåer eller andra typer av förändringar. Rutinen ska innefatta regelbundna sårbarhetsundersökningar samt beskriva ändamålsenlig beredskap för att hantera inträffade incidenter. |
|
| 31 | Ena T.5 | Teknisk säkerhet
Kontroll av elektroniska identiteter
Medlem i Ena-federationen ska säkerställa att verifieringen av identiteter sker med adekvata kontroller för den tillitsnivå som förmedlas (regelverk preciseras på annan plats). |
|
| 32 | Ena T.6 | Teknisk säkerhet
Kontroll av elektroniska identiteter
Medlem i Ena-federationen ska säkerställa att säkerhetsmekanismer implementerats i hanteringen av digitala identiteter på ett sätt som gör det osannolikt att någon utomstående kan gissa eller räkna ut den konfidentiella information som ligger till grund för den elektroniska identifieringen, ens på maskinell väg. |
|
| 33 | Ena T.7 | Teknisk säkerhet
Utställande av intyg
Utställande av intyg ska föregås av en tillförlitlig identifiering på den tillitsnivå som förmedlas. |
|
| 34 | Ena T.8 | Teknisk säkerhet
Utställande av intyg
Intyg som ställs ut på tillitsnivå 4 ska vara knutna till kryptografiskt nyckelmaterial som utfärdaren verifierat att endast innehavaren förfogar över. |
|
| 35 | Ena T.9.1 | Teknisk säkerhet
Utställande av intyg
Utställda intyg ska vara giltiga endast så länge som det krävs för att innehavaren ska kunna bereda sig tillgång till den efterfrågade resursen. |
|
| 36 | Ena T.9.2 | Teknisk säkerhet
Utställande av intyg
Utställda intyg ska ska skyddas mot obehörig åtkomst. |
|
| 37 | Ena T.9.3 | Teknisk säkerhet
Utställande av intyg
Utställda intyg ska utfärdas på ett sådant sätt att dess äkthet kan valideras. |
|
| 38 | Ena T.10 | Teknisk säkerhet
Utställande av intyg
Komponenter i Ena-federationen som ställer ut intyg ska, med hänsyn till riskerna för missbruk av intygstjänsten, begränsa den tidsperiod inom vilken flera på varandra följande intyg kan ställas ut för en viss innehavare, innan denne på nytt ska autentiseras. |
|
| 39 | Ena T.11 | Teknisk säkerhet
Uppdatering av behörighetsgrundande information i ursprungskälla och eventuella temporära mellanlager ska gå att spåra avseende tidpunkt för förändringen och vem (person och system) som utfört förändringen. |
|
| 40 | Ena T.12 | Teknisk säkerhet
Utställande av intyg
Tillitsnivå för ett intyg ska anges i intyget. Nivån ska anges enligt gällande specifikation och regelverk inom Ena - Sveriges digitala infrastruktur. |
|
| 41 | Ena T.13 | Teknisk säkerhet
Tjänsteleverantörer inom Ena-federationen ska ha publicerad dokumentation över krav för åtkomst till skyddade resurser. Dessa krav ska inkludera: |
|
| 42 | Ena T.13.1 | Teknisk säkerhet
(1) vilken behörighetsgrundande information behöver förmedlas i åtkomstförfrågan |
|
| 43 | Ena T.13.2 | Teknisk säkerhet
(2) vilket krav på tillitsnivå för intyg i vilket denna behörighetsgrundande information förmedlas föreligger |
|
| 44 | Ena T.14 | Teknisk säkerhet
Personuppgifter som behandlas av medlem i Ena-federationen ska skyddas emot obehörig åtkomst. |
|
| 45 | Ena A.1 | Administrativ säkerhet
Informationsplikt
Medlem i Ena-federationen ska vid incidenter som kan påverka tilliten samt vid förändring av kontaktpersoner och registrerad metadata, informera operatörer som medlemmen är ansluten till. Medlemmen ska även informera de tillitsmärkesutfärdare medlemmen fått tillitsmärken utfärdade utav. |
|
| 46 | Ena A.2 | Administrativ säkerhet
Behörighetsgrundande information ska vara korrekt, aktuell och verifierad mot ursprungskällan. |
|
| 47 | Ena A.3 | Administrativ säkerhet
Incidenthantering
Medlem i Ena-federationen ska i samband med incident vidta åtgärder för att återställa förtroende inom federationen. |
|
| 48 | Ena A.3.1 | Administrativ säkerhet
Incidenthantering
Identiteter och behörighetsgrundande information som påverkats av incidenten ska beroende på incidentens karaktär kommuniceras med en förändrad tillitsnivå. |
|
| 49 | Ena A.3.2 | Administrativ säkerhet
Incidenthantering
Medlem i Ena-federationen bör agera skyndsamt för att återskapa förtroendet för medlemmens samverkan inom federationen. |
|
| 50 | Ena A.4 | |
|
| 51 |
| |
|
| 52 |
| |
|