You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 6 Next »

Hypoteser om tillitsmärken och kontrollmekanismer

  1. Säkerhets på tekniska komponenter och organisationers förmågor

    • Krav ställs på en teknisk komponent, en organisation, eller del av organisation (verksamhet) förmåga att uppfylla vissa säkerhetskrav.

    • Krav delas in i:
      • tekniska,
      • fysiska,
      • administrativa och
      • organisatoriska

  2. Tillitsmärkens funktion

    • Ett tillitsmärke omfattar ett antal ställda säkerhetskrav och är det som tekniskt kan verifieras mha infrastrukturen

    • Ett tillitsmärke indikerar att en teknisk komponent, organisation, eller del av organisation (verksamhet) uppfyller en uppsättning krav med en viss grad av tillförlitlighet.

  3. Ägare av tillitsmärken, kontrollmekanismer och ansvar

    • Vilken kontrollmekanism som krävs för att påvisa en viss grad av tillförlitlighet kan variera beroende på krav, aktörstyp och ansvarig aktör.

    • Tillitsmärkesägaren äger regelverket för de tillitsmärken de står bakom och beslutar om kontrollmekanismer.

    • En tillitsmärkesutfärdare kan erbjuda kontroll som en tjänst till tillitsmärkesägare, men det är tillitsmärkesägaren som beslutar om hur och av vem kontrollen ska utföras.

    • Kontrollmekanismer måste kunna skilja sig mellan olika aktörstyper, exempelvis kan självdeklaration vara acceptabelt för myndigheter men extern granskning krävas för privata aktörer.

      • Varje tillitsmärkesägare måste öppet publicera sitt regelverk, inklusive krav på kontrollmekanismer för olika aktörer eller aktörstyper.

  4. Tillitsnivåer

    • Tillitsmärken bör utformas på olika nivåer. Förslag på nivåindelning:

      • Låg – Tjänst finns men inga krav på tillitskontroll, självdeklaration eller mycket låga krav.

      • Bas – Kraven uppfylls genom avtal, motsvarande Skolfederation.

      • Medel – Extern granskning av självdeklaration med möjlighet till stickprovskontroller, motsvarande Sambi.

      • Hög – Kraven uppfylls genom certifiering eller motsvarande granskningsprocess, motsvarande Sweden Connect.

    • Tillitsnivåer beslutas av tillitsmärkesägaren, men en harmonisering bör finnas för Ena-tillitsmärken.

  5. Samverkanskontext och krav på tillitsmärken

    • Varje samverkanskontext avgör tillitsmärken och tillitsnivåer som krävs för deltagande.

    • Nyttjande av Ena-tillitsmärken rekommenderas inom svensk offentlig förvaltning.

  6. Livscykelhantering av tillitsmärken

    • Livscykelhanteringen bör sträva efter att kontinuerligt höja kraven för att stärka motståndskraften inom informations- och cybersäkerhet.

  7. Kontrollmekanismer och harmonisering

    • En generisk modell för kontrollmekanismer skulle kräva arbete med ackreditering och likabedömning.

    • Harmonisering av krav för Ena-tillitsmärken är önskvärd, men andra tillitsmärkesägare ska kunna ha egna krav.

  • No labels