Innehållsförteckning

Klicka nedan för att visa innehållsförteckning

Revisionshistorik

Klicka nedan för att visa revisionshistorik

1. Dokumentets syfte

Detta dokument ska vara ett stöd för dig som har rollen Ansvarig utgivare inom Identifieringstjänst SITHS för en eller flera organisationer i ett utgivningsområde. Dokumentet innehåller rutiner och handledningar samt hänvisning till styrande och stödjande dokument för SITHS.

2. Termer och begrepp

Definition av termer och begrepp som används inom Identifieringstjänst SITHS

Termer och Begrepp

3. Tillitsramverk

Du som är Ansvarig utgivare ska ha god kännedom om SITHS tillitsramverk

4. Tillitsdeklaration

Se Tillitsramverket kapitel 2.1.1

Du som är Ansvarig utgivare besvarar tillitsdeklarationen årligen genom att göra en bedömning av hur väl det egna utgivningsområdet uppfyller kraven i Tillitsramverket. Bedömningen blir sedan grund för det egna förbättringsarbetet. Underlag för tillitsdeklarationen skickas ut 1 gång/år till Ansvarig utgivare.

4.1 Vägledning för att besvara tillitsfrågor

Att arbeta med förbättring av ett ledningssystem (riktlinjer, processer, rutiner och roller) är ett ständigt pågående arbete.
Vid bedömning av nivå vid tillitsdeklaration används en skala Nivå 1 – Nivå 5.

Nivå 1
Inte alls. Vid den här nivån har inte någon aktivitet genomförts för att möta upp mot kravet i Tillitsramverket.
Nivå 2
Initierad. Här har verksamheten initierat ett arbete för att möta upp mot kravet i Tillitsramverket.
Nivå 3
Påbörjad. Verksamheten har satt upp de processer, riktlinjer, roller mm som krävs för att uppnå kravet i Tillitsramverket. Detta kan påvisas genom den dokumentation som Tillitsramverket kräver.
Nivå 4
Etablerad. Verksamheten efterlever riktlinjer, processer och rutiner som verksamheten satt upp för att möta upp mot kravet i Tillitsramverket. Det finns även en fungerande process för ständig förbättring. Efterlevnaden kan påvisas genom den dokumentation som Tillitsramverket kräver.
Nivå 5
Väl etablerad. Verksamheten har väl inarbetade processer för att säkra tilliten. Riktlinjer, rutiner och processer övervakas och mäts regelbundet. Ständig förbättring är väl inarbetad och efterlevs i organisationen. Förbättringar analyseras med avseende på nytta och ledningssystemet är hållbart över tid.
Ej tillämpbart
I det fall organisationen inte hanterar utgivning av elektroniska identitetshandlingar för funktion eller agerar ombud besvaras frågan med ”Ej tillämpbar” vilket motsvarar nivå 0 i spindeldiagrammet.

5. Uppdatera SITHS kontaktuppgifter vid förändring

Se Tillitsramverket kapitel 4

Förändringar av Ansvarig utgivare, Säkerhetsansvarig och vilka organisationer som ingår i utgivningsområdet ska skyndsamt meddelas till SITHS PA via Inera.

Anmälan om förändringar görs här för att starta hanteringen:  Ändra SITHS kontaktuppgifter

6. Rutin för personkontroller

Se Tillitsramverket kapitel 4.1

Nedanstående kontroller ska göras

• Nuvarande anställning

• Lämplighet för tjänsten

• Legal lämplighet

• Finansiell lämplighet

• Genomförd utbildning för Ansvarig utgivare respektive Säkerhetsansvarig

6.1 Lämplighet och anställning

Använd mallen nedan för att skriva intyg om att du som Ansvarig utgivare är lämplig för rollen.
Intygsgivare ska vara nivån direktör, kommunchef, vd eller motsvarande.
Namnge dokumentet enligt följande: Förnamn_Efternamn_HSA-id_Lämplighet

6.2 Legal lämplighet

Du som Ansvarig utgivare ska beställa Utdrag för att kontrollera egna uppgifter i belastningsregistret ur Polismyndighetens belastningsregister, enligt 9§ 1st lagen (1998:620) om belastningsregister. Om säkerhetsprövning enligt Säkerhetsskyddslagen är genomförd kan denna användas istället för ovanstående.

Du ska öppna utdraget i närvaro av säkerhetsansvarig för organisationen. Ansvarig utgivare visar upp samtliga sidor i utdraget så att säkerhetsansvarig kan läsa dem.

Du som Ansvarig utgivare behåller utdraget.

Använd mallen nedan för att visa att du som Ansvarig utgivare inte är legalt olämplig för rollen. Intygsgivare ska vara Säkerhetsansvarig.

Namnge dokumentet så här:  Förnamn_Efternamn_HSA-id_ Belastningsregister

6.3 Finansiell lämplighet

Inera kontrollerar, på uppdrag av SITHS PA, att du som Ansvarig utgivare inte har någon finansiell anmärkning som kan påverka tilliten. Kontrollen görs hos Kronofogdemyndigheten.

6.4 Utbildning

Du som Ansvarig utgivare måste genomgå en utbildning innan du får din behörighetsroll tilldelad.
Ett intyg på att du har genomgått en utbildning ska skickas in till SITHS PA.
Följande utbildningsinstanser är godkända:

• Secure State Cyber AB

• Förvaltningsadministratör för SITHS på Inera

Namnge dokumentet enligt följande: Förnamn_Efternamn_HSA-id_Utbildning

7. Intern revision och förbättringsarbete

Se Tillitsramverket kapitel 3.3
Ansvarig utgivare ansvarar för följsamheten till Tillitsramverket. För att följa upp detta ska den Säkerhetsansvarige för en direktansluten organisation tillse att det minst var 13:e månad genomförs en internrevision. Även eventuella tredjepartsanslutna ska omfattas av revision. Det är tillåtet att dela upp internrevisionen under en treårsperiod under förutsättning att man beskriver vad som ska göras respektive år i ett revisionsprogram.

De avvikelser som upptäcks ska resultera i en åtgärdsplan och ska planeras in och genomföras. Internrevision, åtgärdsplan och uppföljning ska dokumenteras och kunna visas upp vid en revision.

Använd gärna Ineras process för Risk, revision och förbättring samt de stöddokument och metoder som är beskrivna där.
Alla anslutna organisationer ingår i SITHS revisionsprogram och kommer att bli reviderade av Ineras revisionsteam.

8. Riskanalys

Se Tillitsramverket kapitel 3.1.

Ansvarig utgivare ska medverka i organisationens säkerhetsarbete och följa den process för riskhantering som används i organisationen. Du som Ansvarig utgivare ska säkerställa att riskanalyser genomförs inom ditt utgivningsområde och att identifierade risker leder till att förbättringsåtgärder vidtas och att önskad förbättring uppnås.

Riskanalys med åtgärdsförslag och uppföljning ska dokumenteras och kunna visas upp vid en revision.

Använd gärna Ineras process för Risk, revision och förbättring samt de stöddokument och metoder som är beskrivna.

9. Utbildning av ID-administratörer

Se Tillitsramverket kapitel 4.2.1 och 4.2.2
Ansvarig utgivare ansvarar för att säkerställa att alla ID-administratörer har relevant utbildning. Innan utbildning genomförs ska personkontroller göras av blivande ID-administratörer enligt 4.2.1 i Tillitsramverket.
Utbildningen ska omfatta minst följande:

• Bakgrund och översikt över SITHS regelverk

• Identifieringsprocessen inklusive genomgång av De sju stegen

• Kännedom om personer med skyddade personuppgifter

• Genomgång av flödet i SITHS eID Portal

• Kunskap om de rutiner för ID-administratörer som fastställts av SITHS PA

• Översiktligt om hur man blir godkänd som ID-administratör

• Översiktligt om revision enligt Revision, risk och förbättring

Utbildningen av ID-administratörer ska dokumenteras och kunna visas upp vid en revision.

10. Säkerhetsincidenter – rapportering

Se Tillitsramverket kapitel 3.4
Ansvarig utgivare ska tillse att det finns en dokumenterad och införd process för incidenthantering. I processen ska beskrivas vad som utgör en incident, hur den ska bedömas och vem som ska underrättas vid olika allvarlighetsgrader.
Vid en säkerhetsincident, dvs. misstanke om eller bekräftat missbruk av elektronisk identitetshandling ska Ansvarig utgivare se till att:
• Spärra de inblandade certifikaten
• Starta en utredning om missbrukets omfattning
• Anmäla misstanke om, eller bekräftat missbruk av certifikat till Inera support på telefon 0771-251010 eller via support@inera.se
• Händelsen ska beskrivas i en incidentrapport

11. Konfiguration i SITHS eID Portal

För beskrivning av hur konfigurationen görs se Användarhandbok SITHS eID Portal

12.Beskrivning av roller inom SITHS

För beskrivning av vilka roller som finns i SITHS se Användarhandbok SITHS eID Portal

13. Kortprodukter

Det finns ett antal beställningsbara kortprodukter, de kallas artiklar i SITHS eID Portal. Deras grafiska och tekniska egenskaper beskrivs i Kortspecifikation för SITHS eID Portal.
Om organisationen vill förändra vilka kortprodukter den använder gör Ansvarig utgivare detta i SITHS eID Portal.

14. Återlämning och spärr

I samband med att ett SITHS-kort lämnas ut ska ID-administratören informera om att kortet ska återlämnas när personen slutar sin anställning/sitt uppdrag inom utgivningsområdet. Kortinnehavare som byter arbetsplats inom utgivningsområdet får behålla sitt SITHS-kort om inte andra lokala rutiner finns.

Kortinnehavaren ansvarar för att kortet görs obrukbart, till exempel genom att klippa det genom chippet och överlämna det till ansvarig person, enligt era lokala rutiner så att kortet kan lämnas till ID-administratör för spärr. Kortinnehavaren kan också själv begära spärr av kortet genom att kontakta en ID-administratör.

Tänk på att även Mobilt SITHS ska spärras när anställningen/uppdraget avslutas inom utgivningsområdet.

Oavsett om kortinnehavaren har initierat spärr eller ej ska kort och certifikat för personer som slutat sin anställning/uppdrag spärras. Utgivningsområdet måste därför ha en rutin för att hitta och spärra dessa kort och certifikat.

14.1 Ej återlämnade SITHS-kort

I de fall korten inte återlämnas ska kort och certifikat skyndsamt spärras av ID-administratör, dock senast inom 30 dagar efter anställningens/uppdragets avslut.

14.2 Ej aktiverade SITHS-kort

ID-administratörerna bör kontinuerligt gå igenom de SITHS-kort som ännu inte har aktiverats och skicka påminnelse till berörda personer.
SITHS-kort som efter 3 månader fortfarande har status Skickad ska avregistreras.

14.3 Spärr

Se Tillitsramverket kapitel 7.6
I Tillitsramverket anges följande orsaker till spärr:

• Förhållanden som kan påverka certifikatsinnehållet har ändrats

• Någon uppgift i den elektroniska identiteten är eller misstänks vara felaktig

• Användaren har tappat kontrollen över bäraren eller koderna

• När bärare återlämnas

• När användaren inte längre har någon koppling till utgivande organisation

• När den elektroniska identiteten inte längre behövs

Exempel på när spärr ska göras:

• Ett pin/puk-brev upphittas av annan än kortinnehavaren

• Ett SITHS-kort upphittas av annan än kortinnehavaren

15. Aktivering av ordinariekort av annat utgivningsområde

Rutinen gäller för användare som är i behov av ett SITHS-kort, men som är boende/placerade utanför det utgivningsområde som användaren har uppdrag åt.

De utgivningsområden som deltar i denna rutin är medvetna om att:

• Det är frivilligt – man kan aldrig kräva att ett annat utgivningsområde ska hjälpa till

• Utgivningsområde som hjälper till med aktivering har rätt att ta betalt

Process

• Beställande utgivningsområde beställer kortet åt användaren.

• Ansvarig utgivare för beställande utgivningsområde kontaktar Ansvarig utgivare för utgivningsområde som finns geografiskt nära användaren och verifierar att de kan hjälpa till att aktivera kortet.

• Överenskommelse av eventuell kostnad av tjänsten görs vid förfrågan.

• Utförande Ansvarig utgivare informerar beställande Ansvarig utgivare om vem som ska ha behörighet att aktivera användarens kort i SITHS eID portal.

• Utförande Ansvarig utgivare informerar beställande Ansvarig utgivare om var och hur användaren kan komma på personligt besök för att aktivera sitt kort, till exempel adress, öppettider och vid behov telefon- och e-postkontakt.

• Beställande Ansvarig utgivare informerar uppdragstagaren om vart personen ska vända sig för aktivering av kort.

• Beställande utgivningsområde fyller i beställningsblanketten som skickas till utförande Ansvarig utgivare.

• Utförande Ansvarig utgivare informerar Beställande Ansvarig utgivare när aktiveringen är gjord.

• Beställande Ansvarig utgivare ansvarar för att ta bort behörighetsrollen för handläggaren.

Blankett för beställning av kortaktivering finns här

16. Arkivering av kvittenser

Se Tillitsramverket kapitel 3.5
Elektroniska kvittenser av ordinarie kort lagras i SITHS eID Portal.
Arkivering av eventuella papperskvittenser för reservkort tillitsnivå 2 och vid behov funktionscertifikat skall ske under betryggande former så att kvittenserna kan tas fram i läsbart skick vid revision. Bevaras i tio år. Skåpet där papperskvittenserna förvaras ska endast vara tillgängliga för ID-administratörer.

Elektronisk arkivering är tillåtet om läsbarheten kan garanteras under hela perioden. Kvittensen skapas och skrivs under på papper för att sedan skannas in. För att det ska vara tillåtet att förstöra originalet, det vill säga i detta fall pappret, måste det finnas ett fastställt gallringsbeslut.

17. Funktionscertifikat

Se Tillitsramverket kapitel 8
Ett funktionscertifikat är en elektronisk identitetshandling, som identifierar en server, en klient eller en e-postadress.
Certifikatet skall hanteras som en värdehandling. Beställaren (som är antingen funktionscertifikatsbeställare eller kombinationen beställare, mottagare och Ansvarig utgivare/Biträdande utgivare) går i god för certifikatets riktighet och att det inte hamnar i obehörigas händer.
Förutsättningar:

• Funktioner som måste ha ett HSA-id ska först skapas i HSA tjänsteträd där organisationen ska ha en egen gren

• Ansökan för organisation om att få gren upplagd i HSA görs via ansökningsformulär som finns här

• Domän- och e-postvalidering för organisationen ska skickas in och vara godkänd av SITHS Policy Authority

• Beställaren ska ha mandat att beställa funktionscertifikat

• Dokumenterad rutin ska finnas hos organisationen

• Om organisationen använder elektroniska blanketter och/eller elektronisk signering ska detta beskrivas i rutinen, inklusive hur spårbarhet uppnås

Beställningsprocess med beställning
För att säkerställa spårbarheten rekommenderas att beställare/mottagare undertecknar antingen beställning eller kvittens. Undertecknandet kan ske på papper eller elektroniskt.

• Beställaren fyller i en beställning, undertecknar den eventuellt, och lämnar den till Ansvarig utgivare/Biträdande utgivare.
  En beställning krävs alltid oberoende om det är nyutfärdande eller förnyelse av ett certifikat.

• Beställaren ser till att Certifikatsigneringsbegäran (CSR) på fil är tillgänglig för Ansvarig utgivare/Biträdande utgivare

• Ansvarig utgivare/Biträdande utgivare utfärdar SITHS funktionscertifikat och förmedlar den till mottagaren

• Om beställningen inte undertecknats bör mottagaren skriva under en kvittens

Beställningsprocess med rollen Funktionscertifikatsbeställare

• Ansvarig utgivare/Biträdande utgivare skapar funktionsområde, tillför rätt funktioner och tilldelar rollen

18. Domänvalidering

Förutsättningar:

• Direktansluten organisation äger delegerad rätt av SITHS CA att utfärda certifikat till domäner och/eller e-postadresser inom utgivningsområdet.

• Direktansluten organisation får utfärda certifikat till en domän och/eller e-postadress som ägs av en annan organisation om nyttjanderätten till i certifikatnamnet ingående domännamn och e-postadresser godkänts i domänvalideringsprocessen

• SITHS PA ansvarar för att ägarskapet för domänen kontrolleras innan registrering

• Om SITHS PA vid domänkontrollen upptäcker frågor kring ägarskap, kontaktas Ansvarig utgivare för aktuellt utgivningsområde.

• Om det inte går att bevisa att organisationen äger domänen kommer eventuellt utfärdade certifikat att revokeras, samt rättigheten att utfärda nya tas bort.

SITHS PA säkerställer att:

• Relevanta ansökningsblanketter har skickats in

• Att det är Ansvarig utgivare som har skickat in domänvalideringen

• Godkänd domän läggs upp i SITHS eID Portal

• Återkoppling till kund sker

Gör så här för att anmäla domäner

• Skicka in formuläret, Beställning - Domän och e-postvalidering för SITHS och ange vilka domäner och/eller e-postdomäner som er organisation vill utfärda funktionscertifikat till.

• För .sjunet.org domän krävs att organisationen har ett giltigt Sjunet avtal

19. Ombud och tredjepartsanslutning

Ett ombud definieras som direktansluten organisation som på uppdrag av en tredjepartsansluten organisation administrerar och ansvarar för den tredjepartsanslutna organisationens kort och certifikat i Identifieringstjänst SITHS.

För direktanslutna ska Anslutningsavtal finnas skrivet med Inera AB. För tredjepartanslutna, som är separata juridiska personer med egna organisationsnummer, ska ett Tredjepartsavtal finnas med det direktanslutna ombudet.
Ombudet har en godkänd tillitsdeklaration och äger därmed rätt att, efter godkännande av SITHS PA, ansluta annan organisation inom offentlig förvaltning samt leverantörer av tjänster till dessa (”Tredje Part”) till SITHS.

Vid förändringar ska SITHS kontaktuppgifter uppdateras.

Vid Ombudets anslutning av Tredje part ansvarar Ombudet för att Tredje part uppfyller SITHS tillitsramverk. Ombudets revisioner ska även omfatta Tredje part. Tredje Part äger inte rätt att ansluta annan organisation till Tjänsten.

20. Verksamhetsövergång och ägarbyte

20.1 Regler gällande utfärdarnummer

20.1.1 Utfärdarnummer för reservkort

Reservkort beställda i SITHS eID portal har Ineras utfärdarnummer. Alla anslutna organisationer har rätt att använda Ineras utfärdarnummer för dessa kort.

20.1.2 Organisationen äger sitt eget utfärdarnummer:

En organisation ska använda sitt eget utfärdarnummer alternativt ett utfärdarnummer som ägas av en organisation man enligt avtal har en relation till.
Kort med utfärdarnummer kan via avtal överlåtas vid en verksamhetsövergång

20.1.3 Hantering av utfärdarnummer för SITHS-kort:

Vid verksamhetsövergång ska något av följande ske:

• Den övergående organisationen utfärdarnummer används

• Mottagande organisations utfärdarnummer används

• En ansökan om nytt utfärdarnummer görs

• Det nya ombudet ska tillse att valt utfärdarnummer används vid utfärdade av nya kort

20.2 Namnbyte av organisation

En organisation byter namn, men har kvar samma organisationsnummer och eventuellt HSA-id.

• Ev. byte av logga

• Uppdatering av SITHS kontaktuppgifter

20.3 Lägga ner utgivningsområde

• Säga upp avtal hos Inera

• Ta bort behörigheter för ID-administratörer

• Säkra att utgivningsområdets kort samt SITHS funktionscertifikat är spärrade

Övrigt att tänka på:

• Se över eventuellt eget supportavtal

• Vid behov säg upp alla tredjepartsavtal

20.4 Från tredjepartsanslutning till direktanslutning

• Teckna eget avtal med Inera AB

• Upprätta utgivningsområde enligt rutin

• Besvara tillitsdeklarationen

• Säga upp avtalet med befintligt ombud

• Reglera ansvarsfrågan gällande SITHS certifikat gentemot det gamla ombudet genom avtal

20.5 Byte av ombud/Övergång till ombud

20.5.1 Tredjepartsansluten organisation som vill byta ombud

20.5.1.1 Tredjepartsansluten organisation

Aktiviteter att genomföra:

• Säg upp befintligt avtal med nuvarande ombud

• Teckna nytt avtal med det nya ombudet

• Teckna avtal om ansvarsfördelning för kort, SITHS personcertifikat samt i förekommande fall SITHS funktionscertifikat, mellan det gamla ombudet och det nya. Avtalet ska tecknas mellan alla tre parter. Om avtal ej tecknas ska kort och certifikat spärras.

• Hantera utfärdarnummer enligt punkt 23.1.2

20.5.1.2 Avgående ombud

Aktiviteter att genomföra:

• Teckna avtal om ansvarsfördelning för kort, SITHS personcertifikat samt i förekommande fall SITHS funktionscertifikat, mellan det gamla ombudet och det nya. Avtalet ska tecknas mellan alla tre parter. Om avtal ej tecknas ska kort och certifikat spärras

• Kvittenser för redan utgivna kort ska sparas hos det avgående ombudet

• Behörigheter för ID-administratörer skall tas bort

• Anmäl till SITHS PA att organisationen inte längre ska agera ombud genom att uppdatera SITHS kontaktuppgifter

20.5.2 Direktansluten organisation som byter till ombud

20.5.2.1 Direktansluten organisation

Aktiviteter att genomföra:

• Säg upp befintligt avtal med Inera AB

• Teckna avtal med ett ombud

• Ansvara för att teckna avtal med ombudet om ansvarsfördelningen för kort, SITHS personcertifikat samt i förekommande fall SITHS funktionscertifikat. Om avtal ej tecknas ska kort och certifikat spärras

• Behörigheter för ID-administratörer skall tas bort

20.5.2.2 Tillträdande ombud

Aktiviteter att genomföra:

• Anmäl till SITHS PA att organisationen ska agera ombud genom att uppdatera SITHS kontaktuppgifterna

• Teckna avtal med organisationen som ska vara tredjepartsanluten

• Teckna avtal om ansvarsfördelning för kort, SITHS personcertifikat samt i förekommande fall SITHS funktionscertifikat, mellan det gamla ombudet/organisationen och det nya ombudet. Avtalet ska tecknas mellan alla tre parter. Om avtal ej tecknas ska kort och certifikat spärras.

• Hantera utfärdarnummer enligt punkt 23.1.2

20.6 Verksamhetsövergång

20.6.1 Direktansluten organisation övertas men lever kvar med eget organisationsnummer

En icke ansluten organisation har övertagit en direktansluten organisation och den direktanslutna organisationen lever kvar och behåller sitt organisationsnummer.
Den nya organisationen ansöker om nytt avtal och anmäler förändringar av SITHS kontaktuppgifter.

20.6.2 Direktansluten organisation övertas och upphör

En icke ansluten organisation har övertagit en direktansluten organisation och den direktanslutna organisationen och organisationsnumret upphör. Hanteras som en nedläggning av utgivningsområde

• Se ”Lägga ner utgivningsområde”.

20.6.3 Direktansluten övertar en tredjepartsansluten

En direktansluten organisation tar över en tredjepartansluten organisation

• Regler Se ”Byte av ombud/Övergång till ombud”

30. Mallar för kvittenser

21.1 Reservkort

För att kortinnehavaren ska kunna ta emot sitt reservkort måste denne skriftligen kvittera mottagandet. Rekommendationen är att använda kvittens utskriven från SITHS eID Portal men det är tillåtet att skapa egna kvittensblanketter.
Papperskvittensen måste minst innehålla:

Mottagarens uppgifter

• Mottagarens personnummer eller HSA-id

• Mottagarens namn

• Identifieringssätt

• Mottagarens underskrift

• Kortnumret

• Datum

Exempel på kvittens

Personen ovan har vid mottagandet av reservkort och tjänstelegitimation identifierats på följande sätt: