...
| Expandera | ||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||||||||||
|
1. Dokumentets syfte
Detta dokument ska vara ett stöd för dig som har rollen Ansvarig utgivare inom Identifieringstjänst SITHS för en eller flera organisationer i ett utgivningsområde. Dokumentet innehåller rutiner och handledningar samt hänvisning till styrande och stödjande dokument för SITHS.
...
Definition av termer och begrepp som används inom Identifieringstjänst SITHS
https://inera.atlassian.net/wiki/x/YgVmFQ
...
3. Tillitsramverk
Du som är Ansvarig utgivare ska ha god kännedom om SITHS tillitsramverk
https://inera.atlassian.net/wiki/x/YgVmFQ
...
4. Tillitsdeklaration
Du som är Ansvarig utgivare besvarar tillitsdeklarationen årligen genom att göra en bedömning av hur väl det egna utgivningområdet uppfyller kraven i tillitsramverket. Bedömningen blir sedan grund för det egna förbättringsarbetet. Du hanterar tillitsdeklarationen i Easy.
...
Ansvarig utgivare ansvarar för följsamheten till Tillitsramverket. För att följa upp detta ska den Säkerhetsansvarige för en direktansluten organisation ansvara för att det minst var 13:e månad genomförs en internrevision. Säkerhetsansvarige leder arbetet. Även eventuella tredjepartsanslutna ska omfattas av revision och under en treårsperiod ska samtliga tredjepartsanslutna ha blivit reviderade. De avvikelser som upptäcks ska resultera i en åtgärdsplan och ska planeras in och genomföras. Internrevision, åtgärdsplan och uppföljning ska dokumenteras och kunna visas upp vid en revision.
| Ankare | ||||
|---|---|---|---|---|
|
https://inera.atlassian.net/wiki/x/e4FiG
Din organisation ingår i SITHS revisionsprogram av anslutna organisationer som är systematiskt och riskbaserat. Alla anslutna organisationer finns med i programmet och kommer att bli reviderade av Inera vid en på-platsen-revision.
...
Ansvarig utgivare ska medverka i organisationens säkerhetsarbete och följa den process för riskhantering som används i organisationen. Du som Ansvarig utgivare ska säkerställa att riskanalyser genomförs inom ditt utgivningsområde och att identifierade risker leder till att förbättringsåtgärder vidtas och att önskad förbättring uppnås.
Riskanalys med åtgärdsförslag och uppföljning ska dokumenteras och kunna visas upp vid en revision.
Använd gärna Ineras process för Risk, revision och förbättring samt de stöddokument och metoder som är beskrivna.
https://inera.atlassian.net/wiki/x/e4FiG
...
9. Säkerhetsincidenter – rapportering
...
11.1 Förenklad matris över roller
Ansvarsroll inom SITHS | Ansvarig utgivare
| Biträdande utgivare
| ID-administratör
| ID-administratör
| Tilläggsroll För skyddade personuppgifter | Tilläggsroll För att läsa Korthistorik | Läs - Revisor |
Tilldelas systemroll i SITHS Admin | RA | ORA | KRA | LRA | KUR | AO | ROA |
Administrera reservkort |
|
|
|
| |||
Administrera ordinarie kort och puk |
|
|
|
|
| ||
Administrera roller |
|
|
|
|
| ||
Administrera funktionscertifikat |
|
|
|
|
| ||
Administrera personer med skyddade personuppgifter |
|
|
|
|
| ||
Se rapporten korthistorik |
|
|
|
| |||
Se statistik och loggar | |||||||
Läsa ej administrera all information |
|
|
|
|
|
|
11.2 Tilldelning av roll kopplat till ID-administratörens arbetsuppgifter
...
Det finns ett antal beställningsbara korttyper. Deras grafiska och tekniska egenskaper beskrivs i SITHS Kortbilaga som återfinns här:
https://inera.atlassian.net/wiki/x/L4SrF
Nya korttyper beställs via blanketten Beställning kort till organisation - Bilaga 1.1.1. som återfinns här:
https://inera.atlassian.net/wiki/x/L4SrF
En ny korttyp enligt Beställning kort till organisation - Bilaga 1.1.1 måste vara kopplad till behörighet för minst en ID-administratör enligt Bilaga 1.3 Information om handläggare.
...
I samband med att ett SITHS-kort lämnas ut ska ID-administratören informera om att kortet ska återlämnas när personen slutar sin anställning/sitt uppdrag inom organisationen. Kortinnehavare som byter arbetsplats inom utgivningsområdet får behålla sitt SITHS-kort.
Kortinnehavaren ansvarar för att kortet återlämnas ituklippt genom chippet till ansvarig person enligt era lokala rutiner, t.ex. närmaste chef, så att kortet kan lämnas till ID-administratör för avregistrering. Kortinnehavaren kan också själv begära avregistrering av kortet genom att kontakta en ID-administratör.
Kortinnehavare som byter arbetsplats inom organisationen får behålla sitt SITHS-kort.
16.1 Ej återlämnade SITHS-kort
...
Ett exempel på hur en sådan papperskvittens kan se ut visas nedan:
Jag har tagit del av och är införstådd med vilka regler som gäller vid användning, hantering och förlust av min elektroniska identitetshandling och de tillhörande koderna.
Kort och elektronisk identitetshandling med tillhörande koder är personliga. De ska hanteras som värdehandlingar vilket innebär att kort och koder ska förvaras åtskilda.
Jag har mottagit mitt reservkort och förbinder mig att återlämna kort och den elektroniska identitetshandlingen när jag slutar min anställning/uppdrag inom [organisationen].
För fullständiga villkor se dokumentet ”Allmänna villkor för SITHS e-i” som finns tillgängligt på https://www.inera.se/siths/repository
Mottagarens namn:
Mottagarens personnummer:
Mottagarens HSA-id:
Kortnummer:
Ovanstående villkor accepteras.
Ort och datum
Underskrift mottagare
_______________________
Namnförtydligande
_____________________________________________
Personen ovan har vid mottagandet av reservkort och tjänstelegitimation identifierats på följande sätt: Körkort [ ]
SIS godkänt ID-kort [ ]
Pass (Vinröd bok) [ ]
Nationellt ID-kort [ ]
Intyg [ ]
Identifiering genom rekommenderad post [ ]
Handläggarens HSA-id:
Ort och datum
Underskrift handläggare
_______________________
...
30.2.5 Mall för kvittens av reservkort vid identitetsverifiering med hjälp av arbetskamrater och vid reservkort på distans utan kortutlämnare
...