Krav-ID <00000x> <nnn00x> | Ändringsdatum <2021-01-01> <Arkiverad> | Kravformulering <textuella krav> <Kvalitetsattribut> | Kravområde <kravområde> <Integration> | Kravtyp <kravtyp> | Beskrivning av krav <kontext> <konsekvens> | Taggning av krav <UI> <API> | Kvalitetsegenenskap enligt ISO 25010 <Prestanda effektivitet> <Kompatibilitet> | Påverkade arkitekturelement <ABB><process> <modell> <SBB><verksamhetssystem> | Motiverande arkitekturelement <princip> <lag> <standard> <intresse> <nytta> | Relaterad informationsklassning <Klassa nivå n> <egen nivå n> | Relaterad driftsform <Sourcing> <Egen drift> <SaaS> | Ägare av kravet < Person> <Roll> | Författare till kravet <Organisation> <Funktion> <Person> | Verifieringsmetod <test> <demo> <jämförelse> <analys> <stickprov> | När ska kravet vara uppfyllt? <ange egen tid> | Verifieringsstatus <OK/NOK> <Go/NoGo> | Prioritet av krav <1/2/3> <a/b/c> | Valideringsstatus <nej/pågår/ja> |
AG0001 | 2023-04-12 | Tillgång till information och till funktioner ska styras av individ- och/eller rollbaserade behörigheter | Informationshantering | Icke funktionellt IT-krav | Behörighetsstyrning Förutsätter etablerad RBAC eller motsvarande. | Behörighet | Konfidentialitet | <applikation> <applikationstjänst> | <princip> | | | | | | | | | |
AG0002 | 2023-04-12 | Tillgång till information och till funktioner ska kunna styras på informationsklass och/eller attribut kopplat till informationen. | Informationshantering | Icke funktionellt IT-krav | Behörighetsstyrning Förutsätter etablerad ABAC eller motsvarande samt att informationsklassificeringsarbete är gjort. | Behörighet | Konfidentialitet | <applikation> <applikationstjänst> | <princip> | | | | | | | | | |
AG0003 | 2023-04-12 | Erbjudna grafiska användargränssnitt ska vara utformade för största möjliga användbarhet, t.ex. erbjuda stöd för personliga inställningar för olika användarbehov, erbjuda möjlighet att nå funktioner via olika handgrepp samt vara anpassningsbart till UMs grafiska profil. | Användbarhet | Icke funktionellt IT-krav | Tillgänglighet och övrig anpassning för individ och organisation. Behörigheter och styrning måste finnas kopplat till funktionen. | UI | Användbarhet | <applikation> <applikationsgränssnitt> | <princip> | | | | | | | | | |
AG0004a | 2023-04-12 | Systemets API ska ha en öppen definition och ska kunna användas av tredje part utan krav på leverantörsspecifik teknologi. | System | Icke funktionellt IT-krav | Kravet innebär att systemets API ska ha en öppen definition som tydligt beskriver dess funktioner, metoder och parametrar. Detta gör det möjligt för externa utvecklare att enkelt integrera med systemet och använda dess API | Integration | Kompatibilitet | <informationsmodell> <applikationstjänst> | <princip> | | | | | | | | | |
AG0004b | 2023-04-12 | Systemets API ska vara tillgängligt, supporterat och dokumenterat | System | Icke funktionellt IT-krav | Kravet innebär att API’n ska vara tillgänglig för användning, med dokumentation som beskriver hur det fungerar och hur det kan integreras med externa system. Kravet inkluderar också att API’n ska ha support tillgängligt för användare som stöter på problem eller behöver hjälp med integrationen. | Integration | Kompatibilitet | <informationsmodell> <applikationstjänst> | <princip> | | | | | | | | | |
AG0005 | 2023-04-12 | Behörighetsfunktionen ska kunna integreras med UMs befintliga katalogtjänster, såsom Lightweight
Directory Access Protocol (LDAP), Active Directory, eDir/NDS eller liknande. | Behörighet | Icke funktionellt IT-krav | Möjliggöra SSO Förutsätter konfiguration för att uppnå funktion. | Auktorisering | Konfidentialitet | <applikation> <applikationstjänst> | <princip> | | | | | | | | | |
AG0006 | 2023-04-12 | Alla aktiviteter i systemet ska loggas med avseende på vilken användare eller funktion som gjort justeringen, vad som gjorts och vid vilken tidpunkt. | Loggning | Icke funktionellt IT-krav | Systemloggning. Tillgänglighet för granskning av logg behöver säkerställas. Finns central loggserver så behöver styrning av loggflöde kravställas. | Spårbarhet | Oavvislighet | <applikation> <applikationstjänst> | <princip> | | | | | | | | | |
AG0007 | 2023-04-12 | Autentisering av leverantörens systemadministratörer vid
inloggning ska alltid ske med multifaktorfunktion (MFA) på nivå LoA2 eller högre. | Behörighet | Icke funktionellt IT-krav | Teknisk säkerhetsåtgärd för autentisering av extern personal utifrån. Val av autentiseringsmetod lämnas till leverantören. Vill ni ställa krav på LoA3 så justerar ni det textuella kravet. | Autentisering | Riktighet | <applikation> <applikationstjänst> | <teknisk säkerhetsåtgärd> | | | | | | Exempel: 4 veckor innan driftstart | | | |
AG0008 | 2023-04-12 | Leverantörens klientenheter, som används för behandling av
UMs information ska vara krypterade med säker krypteringsfunktion, ex. Windows 10/Bitlocker eller
motsvarande. | Klient | Icke funktionellt IT-krav | Teknisk säkerhetsåtgärd för autentisering av extern personal utifrån. Val av krypteringsfunktion lämnas till leverantören. | Kryptering | Konfidentialitet | <applikationsfunktion> | <teknisk säkerhetsåtgärd> | | | | | | Exempel: 4 veckor innan driftstart | | | |
AG0009 | 2023-04-12 | UMs PuB-avtal ska användas. | Avtal | Säkerhetskrav | Säkerställer att köparens PUB-avtal används. | PuB avtal | Informationssäkerhet | <säkerhetsåtgärd> | <begränsning - lag> | | | | | | | | | |
AG0010 | 2023-04-12 | Systemets API ska stödja etablerade protokoll eller designprinciper såsom SOAP, REST eller SFTP och etablerade dataformat såsom XML eller JSON. | Integration | Icke funktionellt IT-krav | Val av etablerade protokoll och designprinciper underlättar arbete och förvaltning av integrationer. UM behöver bifoga sin egen beskrivning av sin IT-miljö som bilaga. | API | Interoperabilitet | <applikationstjänst> | <princip> | | | | | | | | | |
AG0011 | 2023-04-12 | Anbudsgivaren ska beskriva vilka protokoll, designprinciper och dataformat som systemets API stödjer. | Integration | Icke funktionellt IT-krav | Styrker kravet AG0016.
| API | Interoperabilitet | <applikationstjänst> | <nytta> | | | | | | | | | |
AG0012 | 2023-04-12 | Systemets API för informationsdelning bör följa Diggs allmänna krav på REST API profil | Integration | Icke funktionellt IT-krav | Säkerställer robust och väldokumenterad API. Inte tillämpligt när man följer en etablerad standard (till exempel HL7 FHIR) eller när antalet parter som redan nyttjar API:et är stort och en ändring skulle bli mycket kostsam. | API | Interoperabilitet | <applikationstjänst> | <princip> | | | | | | | | | |
AG0013 | 2023-04-12 | Det ska vara möjligt att använda UM’s integrationsplattform för systemets informationsutbyte med andra system. | Integration | Icke funktionellt IT-krav | Målarkitektur. Säkerställer att köparen blir bryggan till informationsutbyte och tar bort en till en beroenden.
Följer målarkitektur. | Integrationsplattform | Interoperabilitet | <applikation> | <princip> | | | | | | | | | |
AG0014 | 2023-04-12 | Systemets API ska skyddas med vedertagna åtkomst- och säkerhetsprotokoll såsom Open ID connect, API-nyckel, antal anrop i följd m.m. | Integration | Icke funktionellt IT-krav | Säkerhetsåtgärd för API:er. Bör användas tillsammans med AG0015 | API | Interoperabilitet | <säkerhetsåtgärd> | <risk> | | | | | | | | | |
AG0015 | 2023-04-12 | Anbudsgivaren ska beskriva vilka åtkomst- och säkerhetsprotokoll som används för att skydda systemets API. | Integration | Icke funktionellt IT-krav | Styrker kravet AG0014. | API | Interoperabilitet | <säkerhetsåtgärd> | <risk> | | | | | | | | | |
AG0016 | 2023-04-12 | Det ska vara möjligt att exportera lagrad information på ett strukturerat och maskinläsbart sätt avsett för migrering av system eller arkivering. | Informationshantering | Icke funktionellt IT-krav | Säkerställer att strukturerad export av data går att göra. Används t.ex. vid byte av leverantör. | Dataexport | Portabilitet | <applikationstjänst> | <intresse> | | | | | | | | | |
AG0017 | 2023-04-12 | Leverantören ska tillhandahålla testmiljö för systemet. | Test | Funktionellt IT-krav | Om behovet finns. Kan ev. behöva specificeras om miljön ska vara onprem eller ej. | Testmiljö | Testbarhet | <applikation> <nod> | <princip> | | | | | | | | | |
AG0018 | 2023-04-12 | Testmiljö ska inte innehålla information som är känslig eller omfattas av sekretess. | Informationshantering | Icke funktionellt IT-krav | Säkerhetsåtgärd | Testmiljö | Testbarhet | <informationsobjekt> | <begränsning - lag> | | | | | | | | | |
AG0019 | 2023-04-12 | Inloggning i produktionsmiljö ska inte kunna göras med samma konto/autentisering som används för inloggning i testmiljö. | Test | Icke funktionellt IT-krav | Säkerhetsåtgärd | Autentisering | Testbarhet | <säkerhetsåtgärd> | <risk> | | | | | | | | | |
AG0020 | 2023-04-12 | Ingen överföring av direkta eller indirekta personuppgifter ska ske utanför EU/EES såvida inte direkt instruktion om detta ges av UM. | Informationshantering | Icke funktionellt IT-krav | Dataskyddsförordningen | Personuppgiftshantering | Informationssäkerhet | <säkerhetsåtgärd> | <begränsning - lag> | | | | | | | | | |
AG0021 | 2023-04-12 | Det ska vara möjligt för person med hög behörighet att permanent radera information i systemet enligt UMs bevarande och gallringsplan. | Informationshantering | Funktionellt IT-krav | Följer UMs riktlinjer. | Behörighet | Informationssäkerhet | <säkerhetsåtgärd> | <princip> | | | | | | | | | |
AG0022 | 2023-04-12 | UMs data relaterat till drifthållningen av systemet ska raderas efter avslutad tjänst. | Informationshantering | Icke funktionellt IT-krav | T.ex. information om UMs som leverantören behöver för att leverera tjänst ska raderas. Ip-adresser, konto, etc. | Radering av data | Informationssäkerhet | <säkerhetsåtgärd> | <princip> | | | | | | | | | |
AG0023 | 2023-04-12 | UM ska vara ensam ägare av den information som tillhandahållits inom ramen för UMs nyttjande av systemet. | Informationshantering | Icke funktionellt IT-krav | | Informationsägarskap | Informationssäkerhet | <säkerhetsåtgärd> | <princip> | | | | | | | | | |
AG0024 | 2023-04-12 | Systemet ska använda tid som synkroniseras mot en av UMs godkänd NTP-tjänst. | System | Icke funktionellt IT-krav | Vid loggning ska samma tid användas. | Systemtid | Informationssäkerhet | <säkerhetsåtgärd> | <princip> | | | | | | | | | |
AG0025 | 2023-04-12 | Systemet ska envägskryptera lösenord och annan känslig information innan den lagras och inte överföra den i klartext. Anbudsgivaren ska beskriva val av krypteringsalgoritm och nyckellängd. | System | Icke funktionellt IT-krav | Anbudsgivaren ska redovisa nyckellängd. Val av längd på nyckel anpassas till val av algoritm och den tid som information förväntas vara i behov av skydd.
T.ex. vid AES rekommenderas nyckelängd på 128 -respektive 256 bitar.
Kräver regler för respektive UMs angående kryptering med krav på hantering av nycklar, krypteringslösningar, krypteringsalgoritmer, protokoll samt nyckellängder. | Kryptering | Informationssäkerhet | <säkerhetsåtgärd> | <begränsning - regel> | | | | | | | | | |
AG0026 | 2023-04-12 | All kommunikation med systemet ska vara skyddad mot obehörig åtkomst eller förvanskning. Det gäller både kommunikation mellan klient (oavsett typ av användargränssnitt) och server, samt mellan olika systemkomponenter. Skyddet ska uppdateras löpande utifrån kända sårbarheter. | System | Icke funktionellt IT-krav | | Kommunikation | Informationssäkerhet | <säkerhetsåtgärd> | <princip> | | | | | | | | | |
AG0027 | 2023-04-12 | Vid transportkryptering med TLS ska version 1.2 eller senare användas. | Informationshantering | Icke funktionellt IT-krav | Teknisk säkerhetsåtgärd för kommunikation. N/A | Kryptering | Konfidentialitet | <säkerhetsåtgärd> | <risk> | | | | | | | | | |
AG0028 | 2023-04-12 | Skyddsvärd information ska skyddas med kryptering vid kommunikation över nätverk. | Informationshantering | Icke funktionellt IT-krav | | Kryptering | Konfidentialitet | <säkerhetsåtgärd> | <risk> | | | | | | | | | |
AG0029 | 2023-04-12 | Tjänste- och systemkonton har inte generell internetåtkomst från UMs IT-miljö. Vid behov kan undantag göras efter riskanalys. Ev. behov och motivering ska beskrivas i anbudet. | Behörighet | Icke funktionellt IT-krav | Säkerställer härdning av system och att leverantörer inte utgår från att de har full åtkomst mot internet. | Åtkomst | Konfidentialitet | <säkerhetsåtgärd> | <risk> | | | | | | | | | |
AG0030 | 2023-04-12 | Klientapplikation som kommunicerar med tjänster utanför köparens nätverk ska gå via en autentiserande proxy. | Behörighet | Icke funktionellt IT-krav | | Kommunikation | Informationssäkerhet | <teknisk tjänst> | <risk> | | | | | | | | | |
AG0031 | 2023-04-12 | Alla tredjepartsprogramvaror som systemet är beroende av (ex. Java) ska vara supporterade under avtalstiden. | System | Icke funktionellt IT-krav | Säkerställer att support finns på komponenter. | Tredjepartsprogramvoror | Underhållbarhet | <säkerhetsåtgärd> | <risk> | | | | | | | | | |
AG0032 | 2023-04-12 | Anbudsgivaren ska kontinuerligt underhålla och uppdatera systemet, när fel och brister identifieras, och i lämplig takt med teknikutvecklingen och i god tid före eventuella förändringar av aktuell lagstiftning. | System | Icke funktionellt IT-krav | | Systemunderhåll | Underhållbarhet | <säkerhetsåtgärd> | <risk> | | | | | | | | | |
AG0033 | 2023-04-12 | UMs servrar uppdateras kontinuerligt med leverantörernas rekommenderade säkerhetsuppdateringar för operativsystem, antivirus och övrig programvara. Systemet ska klara dessa uppdateringar. | Servermiljö | Icke funktionellt IT-krav | Kravet säkerställer att systemet alltid är uppdaterat och skyddat mot kända sårbarheter och hot.
Konsekvens att inte använda kravet innebär t.ex. öppningar för sårbarheteter, nedsatt funktion, störningar. | Serverunderhåll | Underhållbarhet | <säkerhetsåtgärd> | <risk> | | | | | | | | | |
AG0034a | 2023-04-12 | Anbudsgivaren ska tillhandahålla en arkitekturbeskrivning som på en övergripande nivå beskriver hur systemet är uppbyggt. Beskrivningen ska inkludera systemets ingående komponenter, deras funktion och beroenden, säkerhetslösningar, informationsflöden och kommunikation över nätverk. | Dokumentation | Funktionellt IT-krav | Arkitekturell dokumentation. Vid utvärdering är det viktigt att verifiera att alla förväntade komponenter finns beskrivna i anbudet. | Användbarhet | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0034b | 2023-04-12 | Arkitekturbeskrivingen ska ha en tillräcklig detaljeringsnivå och innehåll så att UM kan bedöma hur väl systemet kommer att fungera i den omgivande systemmiljön och tänkta driftsmiljön. | Dokumentation | Funktionellt IT-krav | Styrker AG0034a. | Användbarhet | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0035 | 2023-04-12 | Anbudsgivaren ska tillhandahålla systemdokumentation med anvisningar för hur systemet installeras, konfigureras, administreras, driftas och förvaltas. | Dokumentation | Icke funktionellt IT-krav | Systemdokumentation Ej användbart krav för enklare MT utrustning. | Användbarhet | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0036 | 2023-04-12 | Systemdokumentationen ska finnas på svenska eller engelska. | Dokumentation | Funktionellt IT-krav | Språkval av systemdokumentation. | Användbarhet | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0037 | 2023-04-12 | Vid versionsuppdateringar och förändringar ska dokumentation uppdateras och göras tillgänglig. Detta avser både större (major) och mindre (minor) uppgraderingar. | Dokumentation | Funktionellt IT-krav | Uppdaterad dokumentation. Konsekvens att inte använda kravet skulle innebära förvirring bland användarna, felanvändning av systemet och ökade support- och underhållskostnader för organisationen. | Användbarhet | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0038 | 2023-04-12 | Dokumentationen ska finnas i ett elektroniskt och utskriftsanpassat format. | Dokumentation | Funktionellt IT-krav | Hantering av dokumentation. | Användbarhet | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | AG0039 | 2023-04-12 | Anbudsgivaren ska tillhandahålla teknisk support och användarstöd på svenska. | Support | Funktionellt IT-krav | Språkval av användarstöd.
Kravet innebär att anbudsgivaren behöver ha personal eller resurser tillgängliga som kan kommunicera på svenska och tillhandahålla teknisk support och användarstöd på detta språkav dokumentation. | Användbarhet | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0040AG0039 | 2023-04-12 | Anbudsgivaren ska beskriva hur tillhandahålla teknisk support och användarstöd kan gespå svenska. | Support | Funktionellt IT-krav | Språkval av användarstöd.
Kravet innebär att anbudsgivaren måste beskriva vilken typ av teknisk support och användarstöd som de kommer att erbjuda för systemet som de ska utveckla eller leverera. Det kan inkludera olika former av kommunikationskanaler som e-post, telefon eller chatt, samt beskrivning av deras tekniska supportteams kompetens och erfarenhet. Kan täckas in i SLA behöver ha personal eller resurser tillgängliga som kan kommunicera på svenska och tillhandahålla teknisk support och användarstöd på detta språk | Användbarhet | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0041AG0040 | 2023-04-12 | Anbudsgivaren ska beskriva vilken tillgänglighet och svarstider som kan erbjudas för hur teknisk support och användarstöd kan ges. | Support | Funktionellt IT-krav | Kravet innebär att anbudsgivaren måste beskriva när och hur länge deras tekniska support och användarstöd kommer att vara tillgängligt, samt vilka svarstider som kan erbjudas för att hantera tekniska problem eller frågor från användarevilken typ av teknisk support och användarstöd som de kommer att erbjuda för systemet som de ska utveckla eller leverera. Det kan inkludera olika former av kommunikationskanaler som e-post, telefon eller chatt, samt beskrivning av deras tekniska supportteams kompetens och erfarenhet. Kan täckas in i SLA | Användbarhet | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0042AG0041 | 2023-04-12 | Anbudsgivaren ska erbjuda utbildning för användare som ska arbeta med systemet. | Support | Icke funktionellt IT-krav | Utbildningen kan ges på olika sätt, till exempel genom fysiska träffar, webbinarier eller digitala kursmaterial. Anbudsgivaren ska vanligtvis ange vilken typ av utbildning som kommer att erbjudas, hur den kommer att levereras och vilken omfattning den kommer att ha.Anbudsgivaren ska beskriva vilken tillgänglighet och svarstider som kan erbjudas för teknisk support och användarstöd. | Support | Funktionellt IT-krav | Kravet innebär att anbudsgivaren måste beskriva när och hur länge deras tekniska support och användarstöd kommer att vara tillgängligt, samt vilka svarstider som kan erbjudas för att hantera tekniska problem eller frågor från användare.
Kan täckas in i SLA | Användbarhet | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0043AG0042 | 2023-04-12 | Systemet Anbudsgivaren ska ha stöd för informationshantering enligt gällande lagstiftning och föreskrifter.
Exempel på lagar och förordningar som kan vara tillämpliga är: Dataskyddsförordningen (2016/679) Patientdatalagen (2008:355) Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSL-FS 2016:40) Lag (2018:1937) om tillgänglighet till digital offentlig service EU-förordning om medicintekniska produkter (2017/745) Offentlighets- och sekretesslagen (2009:400) Arkivlagen (1990:782)
| Informationshantering | Icke funktionellt IT-krav | Systemet måste följa lagar och föreskrifter för informationshantering för att säkerställa att behandlingen av personuppgifter och annan information sker på ett lagligt och säkert sätt. Konsekvensen av kravet är att systemet måste implementera funktioner och rutiner som möjliggör för användare att hantera informationen i enlighet med de gällande lagarna och föreskrifterna. | Lagar och förordningar | Informationssäkerhet och IT-säkerhet | <appllikation> <begränsning> | <lag> | AG0044 | 2023-04-12 | Anbudsgivaren ska beskriva vilka lagar och föreskrifter som är tillämpliga för systemets informationshantering och på vilket sätt systemet är utformat för att stödja dessa.erbjuda utbildning för användare som ska arbeta med systemet. | Support | Icke funktionellt IT-krav | Utbildningen kan ges på olika sätt, till exempel genom fysiska träffar, webbinarier eller digitala kursmaterial. Anbudsgivaren ska vanligtvis ange vilken typ av utbildning som kommer att erbjudas, hur den kommer att levereras och vilken omfattning den kommer att ha. | Användbarhet | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0043 | 2023-04-12 | Systemet ska ha stöd för informationshantering enligt gällande lagstiftning och föreskrifter.
Exempel på lagar och förordningar som kan vara tillämpliga är: Dataskyddsförordningen (2016/679) Patientdatalagen (2008:355) Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSL-FS 2016:40) Lag (2018:1937) om tillgänglighet till digital offentlig service EU-förordning om medicintekniska produkter (2017/745) Offentlighets- och sekretesslagen (2009:400) Arkivlagen (1990:782)
| Informationshantering | Icke funktionellt IT-krav | Lagar och förordningar | Informationssäkerhet | <appllikation> <begränsning> | <lag> | AG0045 | 2023-04-12 | Systemet ska ha en dokumenterad och formell process för hantering av användaridentiteter som inkluderar skapande, ändring, inaktivering och radering av användarkonton, för att säkerställa säkerhet och tillförlitlighet i användarautentisering och åtkomstkontroll. | Användarhantering | Icke funktionellt IT-krav | Identitetshantering | Informationssäkerhet | <applikation> <process> | <princip> | AG0046 | Systemet måste följa lagar och föreskrifter för informationshantering för att säkerställa att behandlingen av personuppgifter och annan information sker på ett lagligt och säkert sätt. Konsekvensen av kravet är att systemet måste implementera funktioner och rutiner som möjliggör för användare att hantera informationen i enlighet med de gällande lagarna och föreskrifterna. | Lagar och förordningar | Informationssäkerhet och IT-säkerhet | <appllikation> <begränsning> | <lag> | | | | | | | | | |
AG0044 | 2023-04-12 | Varje användares identitet i systemet ska vara unik och personlig under hela användarens livscykel och kunna verifieras mot externa register, såsom exempelvis Active Directory, HSA eller befolkningsregister. | AnvändarhanteringAnbudsgivaren ska beskriva vilka lagar och föreskrifter som är tillämpliga för systemets informationshantering och på vilket sätt systemet är utformat för att stödja dessa. | Informationshantering | Icke funktionellt IT-krav | För att säkerställa korrekt och tillförlitlig autentisering och åtkomstkontroll. | Identitetshantering | Informationssäkerhet | <applikation> <dataentitet> | <princip> | | AG0047Lagar och förordningar | Informationssäkerhet | <appllikation> <begränsning> | <lag> | | | | | | | | | |
AG0045 | 2023-04-12 | Åtkomst till personuppgifter bör föregås av stark autentisering. | InformationshanteringSystemet ska ha en dokumenterad och formell process för hantering av användaridentiteter som inkluderar skapande, ändring, inaktivering och radering av användarkonton, för att säkerställa säkerhet och tillförlitlighet i användarautentisering och åtkomstkontroll. | Användarhantering | Icke funktionellt IT-krav | Överväg om ni vill spetsa till kravet till ett ska-krav | Åtkomst | Konfidentialitet | <applikationsfunktion> | <princip> | | AG0048Identitetshantering | Informationssäkerhet | <applikation> <process> | <princip> | | | | | | | | | |
AG0046 | 2023-04-12 | Invånare/allmänhet ska autentiseras med av Digg godkänd svensk e-legitimation | InformationshanteringVarje användares identitet i systemet ska vara unik och personlig under hela användarens livscykel och kunna verifieras mot externa register, såsom exempelvis Active Directory, HSA eller befolkningsregister. | Användarhantering | Icke funktionellt IT-krav | Åtkomst | Konfidentialitet | <applikationsfunktion>För att säkerställa korrekt och tillförlitlig autentisering och åtkomstkontroll. | Identitetshantering | Informationssäkerhet | <applikation> <dataentitet> | <princip> | | | | | | | | | |
AG0049AG0047 | 2023-04-12 | Extern åtkomst till UM’s nätverk ska ske med personligt konto och Åtkomst till personuppgifter bör föregås av stark autentisering. | Informationshantering | Icke funktionellt IT-krav | Överväg om ni vill spetsa till kravet till ett ska-krav | Åtkomst | Konfidentialitet | <applikationsfunktion> | <princip> | | | | | | | | | |
AG0050aAG0048 | 2023-04-12 | Vid extern åtkomst till UM's nätverk ska UM kunna kräva att anbudsgivaren nyttjar köparens etablerade lösning för fjärråtkomst. | FjärråtkomstInvånare/allmänhet ska autentiseras med av Digg godkänd svensk e-legitimation | Informationshantering | Icke funktionellt IT-kravTillämpligt vid fjärråtkomst | | Åtkomst | TillförlitlighetKonfidentialitet | <applikationstjänst><applikationsfunktion> | <princip> | | | | | | | | | |
AG0050bAG0049 | 2023-04-12 | Om annan lösning än UM’s etablerade lösning för fjärråtkomst föreslås, ska en detaljerad beskrivning av denna lösning medfölja anbudet. | FjärråtkomstExtern åtkomst till UM’s nätverk ska ske med personligt konto och stark autentisering. | Informationshantering | Icke funktionellt IT-krav Tillämpligt vid fjärråtkomst Kräver en bedömning av leverantörens lösning | | Åtkomst | TillförlitlighetKonfidentialitet | <applikationstjänst><applikationsfunktion> | <princip> | | | | | | | | | |
AG0050cAG0050a | 2023-04-12 | Om annan lösning än UM’s Vid extern åtkomst till UM's nätverk ska UM kunna kräva att anbudsgivaren nyttjar köparens etablerade lösning för fjärråtkomst föreslås, ska den godkännas av UM innan den får användas. | Fjärråtkomst | Icke funktionellt IT-krav | Tillämpligt vid fjärråtkomst Kräver en bedömning av leverantörens lösning | Åtkomst | Tillförlitlighet | <applikationstjänst> | <princip> | | | | | | | | | |
AG0051AG0050b | 2023-04-12 | Systemet ska ha en tydlig och lättanvänd utloggningsfunktion som är tillgänglig för användaren från alla sidor och delar av systemet.
Utloggningsfunktionen ska ge bekräftelse på att användaren har loggats ut, och användaren ska inte längre ha tillgång till någon information eller funktionalitet i systemet efter utloggning. | System | Icke funktionellt IT-krav | Åtkomst | Användarbarhet | <applikationsfunktion> | <princip> | AG005212 | Om annan lösning än UM’s etablerade lösning för fjärråtkomst föreslås, ska en detaljerad beskrivning av denna lösning medfölja anbudet. | Fjärråtkomst | Icke funktionellt IT-krav | Tillämpligt vid fjärråtkomst Kräver en bedömning av leverantörens lösning | Åtkomst | Tillförlitlighet | <applikationstjänst> | <princip> | | | | | | | | | |
AG0050c | 2023-04-12 | Systemet bör ha en funktion för automatisk utloggning vid inaktivitet där inaktivitetstid för utloggning av användare är konfigurerbar. | SystemOm annan lösning än UM’s etablerade lösning för fjärråtkomst föreslås, ska den godkännas av UM innan den får användas. | Fjärråtkomst | Icke funktionellt IT-krav | Används om patientinformation eller annan känslig information hanteras.Tillämpligt vid fjärråtkomst Kräver en bedömning av leverantörens lösning | Åtkomst | AnvändarbarhetTillförlitlighet | <applikationsfunktion><applikationstjänst> | <princip> | | | | | | | | | |
AG0053AG0051 | 2023-04-12 | Endast behöriga användare ska kunna använda systemetSystemet ska ha en tydlig och lättanvänd utloggningsfunktion som är tillgänglig för användaren från alla sidor och delar av systemet.
Utloggningsfunktionen ska ge bekräftelse på att användaren har loggats ut, och användaren ska inte längre ha tillgång till någon information eller funktionalitet i systemet efter utloggning. | System | Icke funktionellt IT-krav | | Åtkomst | RiktighetAnvändarbarhet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0054AG0052 | 2023-04-12Endast behörig administratör ska kunna ändra systemets inställningar och konfiguration12 | Systemet bör ha en funktion för automatisk utloggning vid inaktivitet där inaktivitetstid för utloggning av användare är konfigurerbar. | System | Icke funktionellt IT-krav | Används om patientinformation eller annan känslig information hanteras. | Åtkomst | RiktighetAnvändarbarhet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
2022-06-16 GK | Senast fyra (4) veckor innan driftsstart ska UMs information, som behandlas och lagras i tjänstens
driftmiljö, vara skyddad för obehörig åtkomst under informationens hela livscykel. Skyddet ska bestå av säker kryptering eller en kombination av organisatoriska, tekniska och fysiska säkerhetsåtgärder som kan bedömas ge likvärdigt skydd som kryptering. Krypteringsalgoritmer och tillhörande parametrar vara skyddade mot en kryptoanalys som kan utföras av angripare.
Styrkan i krypteringen ska vara fastställd med beaktande av den specifika tidsperiod under vilken den
krypterade informationens konfidentialitet måste upprätthållas.
Krypteringsalgoritmen ska vara verifierad med hjälp av för ändamålet avsedd programvara. Krypteringsnycklarna ska vara hanterade på ett tillförlitligt sätt under informationens hela livscykel.AG0053 | 2023-04-12 | Endast behöriga användare ska kunna använda systemet. | System | Icke funktionellt IT-krav | | Åtkomst | Riktighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0054 | 2023-04-12 | Endast behörig administratör ska kunna ändra systemets inställningar och konfiguration. | System | Icke funktionellt IT-krav | | Åtkomst | Riktighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |