Syftet med texten nedan är att komma överens om en inledande text för att introducera "Enas IAMs Tillitshantering" på sidan Tillitshantering.

---

Att känna tillit till samverkande parters förmågor att hantera den information som delas enligt gällande lagar, föreskrifter och informationsklassificering möjliggör snabbare, effektivare och tryggare digitalisering.

Reell tillit, det vill säga, bevisad och i praktiken fungerande, är en grundförutsättning för ett säkert och effektivt informationsutbyte. Inom svensk offentlig förvaltning är en villkorslös tillit ofta en oskriven praxis, och inom det privata finns fragmenterade lösningar. Gemensamt är att det inte alltid finns en tydlig definition och modell som kan återanvändas. Tillit är dock alltid en central fråga och en förutsättning för informationsförsörjning av system för en högre grad av automatiserad informationshantering. En återanvändbar hantering av tillit blir därigenom en förutsättning för att möta krav på digitalisering nu och i framtiden.

Ena IAM:s tillitshanteringen utformas för att ge förutsättningar för att skapa och vidmakthålla reell tillit avseende samverkande parters och infrastrukturoperatörers förmågan att dels bedriva systematiskt informationssäkerhetsarbete, dels att utforma adekvata skydd för sina tjänster och sin informationsbehandling.

När två parter behöver utbyta information är det ofta krav på att respektive sida behöver säkerställa att motparten är den den utger sig att vara, och att denne är behörig att ta del av den information som delas. Det är informationsägaren som ansvarar för att säkerställa att den part som begär information är behörig innan informationen kan lämnas ut. I dessa fall krävs det säkerställd information om vilken organisation, vilket system och eventuellt vilken användare det är som begär åtkomst, samt vad berättigar åtkomsten . Dessutom kan det krävas information om användarens tilldelade uppdrag eller roll inom organisationen. Det kan också ställas krav på att användaren har en specifik kvalifikation, eller agerar i en legitimerad eller skyddad yrkesroll. Man kan förenklat säga att det är en skala från inget behov alls till ett omfattande underlaget med hög tillförlitlighet som krävs för att ge behörighet. Var på skalan man är för en specifik åtkomst står normalt i direkt proportion till informationens känslighet. 

Inom ramen för detta dokument beskrivs ett ramverk för tillitshantering. Detta inkluderar krav för att försäkra sig om att förmedling och hantering av identiteter och behörighetsgrundande information sker på ett säkert sätt. Tillitshanteringen ämnar minimera risken för obehörig åtkomst till information. I dagens komplexa samverkan, där man ofta behöver hämta och behandla information från flera parter för att stödja verksamhetsbehov, behöver också tilliten upprätthållas i flera led mellan alla parter som tar fram underlaget för åtkomstbeslut. För att möjliggöra korrekta åtkomstbeslut krävs att tillit kan skapas till alla inblandade parter och komponenter. Enas tillitshantering innehåller dels en tillitsmodell, dels en realisering av modellen för användning inom Ena.

Tillitshanteringen ska skapa en struktur för bred återanvändning av gemensamma, generella och överenskomna nivåer av tillit. Strukturen ska kunna tillämpas för samverkan via digitala tjänster oavsett sektor, verksamhetområde eller typ av information. Den ska ge en gemensam grund för tillit som alla kan acceptera och känna igen sig i.

Tillitshanteringen ska möjliggöra aktiv vidareutveckling och förvaltning av tillitsmärken. När det introduceras digitala tjänster med krav som skiljer sig avsevärt från andras, ska det gå att ta fram nya tillitsmärken. När nya säkerhetshot identifieras, eller nya säkerhetsambitioner stipuleras - då ska ramverket stödja aktiv livscykelhantering för existerande tillitsmärken. Det ska vara lätt för befintliga digitala tillämpningar i samhället att relatera till Ena tillitshantering, samt identifiera och genomföra de eventuella förflyttningar som krävs för att kunna erbjuda tillämpningar inom Ena.