Granskningsmetod inom Svensk e-legitimation

(1)

www.elegnamnden.se

Postadress Besöksadress Telefon växel E-postadress

171 94 SOLNA Korta gatan 10 010-574 21 00 kansliet@elegnamnden.se

Granskningsmetod inom Svensk e-legitimation

1 Om metoden

1.1 Syfte

Syftet med dokumentet är att beskriva E-legitimationsnämndens metod för utvärdering av sökandes uppfyllnad av krav enligt regelverket som gäller för Leverantörer av e-ID tjänst och/eller Utfärdare av Svensk e-legitimation, både vid tidpunkt för ansökan samt för att löpande utvärdera sökandes förmåga att kontinuerligt uppfylla kraven. Målet med granskningsmetoden är att säkerställa kvalitet i granskningsprocessen samt att alla sökande bedöms efter samma kriterier av granskningsgruppen. Målgruppen för detta metoddokument är E-legitimationsnämndens granskningsgrupp.

1.2 Förutsättningar för att följa metoden

För att möjliggöra utförande av stegen i denna metod har följande stöd tagits fram:

 Granskningsprogram

 Granskningsdokumentation

 Rapporteringsmall (tas fram i samband med första granskningen)

 Testplan och testverktyg

Granskningsprogrammet innehåller detaljer om de krav och kriterier som ställs inom varje område. Dokumentet Vägledning till uppfyllnad av tillitramverkets krav har använts vid skapandet av granskningsprogrammet. Dokumentet riktar sig till sökande men det är viktigt för kravuppfyllnaden att både sökande och granskare har samma bild av vad kraven innebär.

Dokumentet Granskningsdokumentation följer strukturen i granskningsprogrammet och användas för att dokumentera granskningsarbetet inklusive alla ställningstaganden och slutsatser i granskningsprocessen. Dokumentationen ska bland annat användas för att visa vilken nivå som utfärdaren/leverantören lever upp till inom varje område.

Utestående frågor eller krav på kompletteringar ska också tydligt framgå i dokumentet tillsammans med en logg, utformad så att alla inom granskningsgruppen kan följa status för ärendet och även ta över delar av granskningen om så behövs.

Granskningsdokumentationen ska även utgöra underlag för att skapa den rapport som nämnden ska fatta sitt beslut utifrån, därför måste slutsatserna för varje steg vara tydliga i dokumentet så att dessa kan föras över till rapporten. Varje granskat område ska avslutas

(2)

med en sammanfattning över fullständighet, avvikelser, riskområden och slutsats om godkänd nivå, så att detta tydligt framgår i beslutsunderlaget till nämnden.

Granskningsdokumentationen är vidare underlag för löpande uppföljning av utfärdaren/leverantören. Med utgångspunkt i dokumentet ges viktig vägledning för granskningsgruppen i vilka områden som särskilt bör följas upp över tid. Det är även en viktig del i bedömningen av vilka granskningsåtgärder som föranleds av exempelvis ändringsförslag eller rapporterade incidenter.

Dokumentet Testplan syftar till att understödja processen vid godkännande och

aktivering av leverantörs legitimeringstjänst. Testplanen tar upp ett antal generella testfall som sedan kompletteras med mer specifika testfall för legitimeringstjänsten i fråga.

1.3 Granskningsgruppen

Granskningsgruppen är rådgivande till E-legitimationsnämnden, och syftar till att bistå med särskild kompetens till stöd för E-legitimationsnämndens arbete med granskning av aktörer. Granskningsgruppens föreslagna sammansättning framgår av

resursbeskrivningen nedan, där huvudgrupperingens IT-säkerhetsrevisorer och IT- säkerhetsexperter står för den största delen av arbetet med granskningen av aktörer.

Kansliresursen är ordförande och sammankallande till gruppen, och det är även formellt ordföranden som ansvarar för de beslut som fattas av granskningsgruppen enligt nedan.

Resurs Beskrivning 1 IT-säkerhetsrevisor

2 IT-säkerhet/tillitsramverksspecialist 3 IT-säkerhet/policyspecialist

4 IT-säkerhet/teknikspecialist

5 Kansliresurs - ordförande och sammankallande 6 Representant från Förvaltningsforum

7 Representant från Förvaltningsforum

8 Ev. representant från tillsynsmyndighet (eller motsvarande) 9 Teknisk eID-specialist

10 Kansliresurs – administrativ

11 Testledare (enbart vid aktivering av legitimeringstjänst)

Granskningsgruppen sammanträder månadsvis, eller med sådant intervall som

granskningsgruppen bedömt nödvändig, för genomgång av aktuell status av pågående granskningsuppdrag.

Resurserna 1-4 samt 9 som finns definierade i granskningsgruppen ska ha en fördjupad specialistkunskap inom sina respektive roller, mycket stor erfarenhet inom sina

respektive specialistområden samt detaljkunskap kring Svensk e-legitimation.

(3)

Representanter från Förvaltningsforum ska utses av forumet och ska representera någon av de tillhandahållare av e-tjänst som sitter med i forumet. E-legitimationsnämnden och Förvaltningsforum ska vid nominering av kandidater sträva efter olika komptensprofiler hos de två kandidaterna, exempelvis en inom området IT-revision och en inom området IT-säkerhet eller IT-upphandling.

1.4 Arbetsinsatser

En uppskattning av det antal arbetstimmar som förväntas vid ett normalfall har

specificerats för varje steg. Om det finns omständigheter som gör att ytterligare resurser kan behövas för genomförande av granskning ska godkännande av avvikelsen från specificerat antal arbetstimmar inhämtas från Kansliet.

2 Granskningsmetoden vid ansökan

2.1 Inledning

Detta avsnitt beskriver den tillämpade granskningsmetoden vid ansökan om att bli Utfärdare av Svensk e-legitimation eller Leverantör av eID-tjänst.

2.2 Grundprinciper för metoden

Granskningen av en ansökan ska leda till något av följande förslag, som föredras för nämnden vid slutet av varje granskning:

 Ansökan bedöms av granskningsgruppen leva upp till kraven i Tillitsramverket.

Beslutsunderlag och rekommendation om godkännande lämnas till nämnden som fattar beslutet.

 Ansökan bedöms av granskningsgruppen leva upp till kraven i Tillitsramverket med vissa undantag. Beslutsunderlag och rekommendation om godkännande med vissa förbehåll lämnas till nämnden som fattar beslutet.

 Ansökan bedöms av granskningsgruppen inte leva upp till kraven i Tillitsramverket.

Beslutsunderlag och rekommendation om avslag lämnas till nämnden som fattar beslut.

2.2.1 Principer för avvikelser från kraven i Tillitsramverket:

Det finns fyra bedömningsnivåer för graden av kravuppfyllelse.

1. Det finns kontrollrutiner som säkerställer att kraven uppfylls 2. Kraven bedöms vara uppfyllda

3. Kraven bedöms vara delvis uppfyllda 4. Kravuppfyllelsen bedöms vara bristande

(4)

Följande beskrivning avser att vägleda granskaren i sin bedömning när avvikelser från kraven identifierats i utfärdarens ansökan. Det är således inte avsikten att här ge en beskrivning av hur en korrekt kravuppfyllelse ser ut för respektive område, eftersom detta bör framgå tydligt i granskningsprogrammet.

Samtliga avvikelser ska åtgärdas för att kraven ska bedömas som uppfyllda. För vissa avvikelser kan det dock vara rimligt att göra en positiv slutbedömning med förbehåll, det vill säga ge ett godkännande på förhand under förutsättning att bristen sedan åtgärdas inom utsatt tid. Detta innebär att granskningen inte stoppas på grund av avvikelsen.

Avgörande för sådant förbehåll är allvarlighetsgraden i avvikelsen. Det förutsätter även att bristen är av sådan karaktär att den, så snart den i praktiken har åtgärdas, enkelt kan verifieras av granskaren snarare än att en djupanalys behöver initieras för att kontrollera uppfyllnaden av kravet. Det är således enklare avvikelser som kan leda till ett

godkännande med förbehåll, exempelvis felaktig eller avsaknad av viss formalia men där uppfyllnaden av kraven ändå kunnat verifieras av granskaren på annat sätt. Nedan följer två exempel:

 Kraven bedöms vara delvis uppfyllda om granskaren kan verifiera att en process eller plan finns etablerad och följs av verksamheten, men att processen eller planen inte lever upp till kraven på formalia eller dokumentation. I dessa fall bör bristen i formalia generellt sett inte påverka slutbedömning negativt, under förutsättning att bristen åtgärdas och uppfyllnaden av kraven ändå kunnat

verifieras av granskaren på annat sätt. För att bedöma detta måste granskaren göra en professionell bedömning baserat på sin kompetens och erfarenhet.

 Kraven bedöms vara delvis uppfyllda om avvikelser från kraven kan motiveras av utfärdaren med relevanta argument, och där målet med kravet ändå uppfylls av utfärdaren genom andra motsvarande åtgärder. För att bedöma ovanstående måste granskaren göra en professionell bedömning baserat på sin kompetens och

erfarenhet. I detta fall bör avvikelsen inte påverka slutbedömningen negativt.

Avvikelsen bör dock tydligt redovisas av granskaren i granskningsrapporten och ändamålsenligheten med den alternativa lösningen tydligt framgå.

Kravuppfyllnaden bedöms dock som bristande om det efterfrågade kravet varken finns informellt etablerat eller dokumenterat och det heller inte kan verifieras att det följs av verksamheten. I detta fall påverkas den slutliga bedömningen negativt och granskningen stoppas tills vidare.

2.2.2 Utvärdering av resultatet

För varje granskat område ska en sammanfattning, inklusive avvikelser, visa på graden av kravuppfyllelse. En slutlig bedömning ska även göras för samtliga områden. För att göra en sammanfattande beskrivning av samtliga områden inklusive avvikelser måste granskaren göra en professionell bedömning baserat på sin kompetens och erfarenhet.

(5)

Den slutliga bedömningen utgör det beslutsunderlag som nämnden sedan fattar sitt beslut om godkännande på.

För att granskningsmetoden ska vara kostnadseffektiv, bygga på tillit och balans gäller följande grundprinciper:

 Fokus på riskområden

 Fokus på internkontroll som syftar till att säkerställa att kraven uppfylls och upprätthålls.

 Dra nytta av eventuellt annat revisionsarbete som bedrivs inom den sökandes organisation.

 Utfärdare med tidigare erfarenhet bör bedömas med lägre risk än helt nya utfärdare, vilket påverkar omfattningen av granskningsgruppens kontroll av utfärdarens ansökan innan ett eventuellt godkännande. Detta bygger på antagandet att tidigare utfärdare redan gått igenom liknande kontroller vid tidigare anslutningsprocesser.

 Lita i stor utsträckning till att de underlag som utfärdare bilägger sin ansökan är sanna och riktiga, eftersom resurserna att verifiera efterlevnad är begränsade. Välj ett riskbaserat tillvägagångssätt vid val av områden som ändå ska kontrolleras.

2.3 Metoden steg 1-10 2.3.1 Steg 1 - Informationsmöte

Ansökningsprocessen börjar med en intresseanmälan från part som vill använda kännetecknet för Svensk e-legitimation som utfärdare och/eller leverantör av e-id tjänster. Efter intresseanmälan ska nämnden erbjuda tid för ett första informationsmöte inom två veckor. Mötet följer en förutbestämd agenda och beräknas ta två timmar. Under mötet avhandlas bland annat ansöknings- och granskningsprocessen samt E-

legitimationsnämndens förväntningar på den ansökan som sökanden ska inkomma med.

Arbetsfördelning i granskningsgruppen

Deltagande på mötet är två konsultresurser (primärt 1, 2 eller 3) samt en kansliresurs.

Arbetstimmar

10 arbetstimmar per deltagande resurs beräknas för varje möte.

2.3.2 Steg 2 - Bekräfta ansökan I steget ingår följande uppgifter:

 Ta emot ansökan.

 Tilldela diarienummer och registrera handlingen.

(6)

 Bekräfta mottagen ansökan till utfärdaren inom tidsramen två arbetsdagar och beskriv nästa steg: ”Vi gör nu en första bedömning av fullständigheten i ansökan vilket avgör om vi kommer påbörja granskningen eller begära kompletteringar. Besked om

fortsatt granskning och tidsram lämnas inom två veckor”.

 Utse granskningsledare för ansökan.

 Kommunikation till granskningsgruppen att ansökan mottagits och vem som utsetts som granskningsledare.

Aktiviteter i steg 1 görs av kansliets administrativa resurs (resurs 10), förutom att utse granskningsledare, som görs av ordförande i granskningsgruppen (resurs 5).

Arbetstimmar

Detta steg utförs av kanslipersonal och bedöms inte innebära någon större arbetsinsats.

2.3.3 Steg 3 - Bedömning av formalians fullständighet I steget ingår följande uppgifter:

 Gå igenom formalians fullständighet (med en checklista och granskningsprogrammet som stöd) samt identifiera avvikelser från kraven på vad som ska ingå i ansökan, exempelvis att rätt blanketter har använts, att alla efterfrågade uppgifter finns med, att alla efterfrågade dokument finns bifogade (t.ex. årsredovisning) osv. Om avvikelser finns i formalian ska dessa värderas och beslut tas enligt följande:

 Besluta om granskningsgruppen ska gå vidare med granskningen trots att vissa delar saknas, dvs. parallellt med att kompletteringar inväntas. Besluta i så fall om tidpunkt (maximalt 90 dagar) för kompletteringar och meddela sökanden.

 Besluta om genomgången ska stoppas tills vidare, i väntan på kompletteringar. Meddela sökanden.

 Besluta att rekommendera till nämnden att avslå ansökan, då den inte bedöms vara tillräcklig för att lägga till grund för granskning.

 Om formalian är fullständig och granskningen ska fortgå, så ska granskaren göra en uppskattning om arbetsinsats för genomgång av resten av ansökan, inklusive bedömt behov av granskning på plats hos utfärdaren.

 Besluta om hur arbetet ska fördelas bland medlemmarna inom granskningsgruppen, beroende på deras kompetensområde eller annan grund.

Steget bör vara klart inom två veckor från att ansökan har kommit in.

(7)

Steg 2 utförs huvudsakligen av resurs 1, 2 eller 3.

Arbetstimmar

Ca 16 arbetstimmar.

2.3.4 Steg 4 - Gör en preliminär riskbedömning av aktören

I steget ingår att bedöma sökanden utifrån tillgänglig information om dennes organisation, i syfte att skapa en uppfattning om risker i dennes verksamhet. En checklista för detta ändamål bör ingå i granskningsprogrammet. Med sådan tillgänglig information avses uppgifter som lämnats i ansökan som svar på Tillitsramverkets K2.1- K2.3 och K2.6. Bedömningen bör bland annat omfatta följande aspekter på sökandens verksamhet:

 Mognadsgrad i aktörens egen riskanalys – en mogen process för riskhantering talar för att aktören har förmåga att identifiera och hantera risker och därmed bidrar till en lägre riskbedömning.

 Hur länge har aktören bedrivit utfärdar- eller leverantörsverksamhet – tidigare erfarenhet av branschen talar för att aktören har förståelse för de tekniska och administrativa krav som ställs, och bidrar därmed till en lägre riskbedömning.

 Mognadsgrad i LIS-arbetet – Ett moget LIS-arbete innebär att aktörens

säkerhetskontroller har utvärderats på återkommande basis, vilket talar för en lägre risknivå.

 Finansiell ställning – en stark finansiell ställning talar för att aktören har utrymme att investera i förbättringsarbete om behov uppstår, vilket talar för en lägre risknivå.

 Tidigare erfarenheter från verksamhet som står under tillsyn – en aktör som sedan tidigare är van vid regelefterlevnad talar för en mogen process för hantering av regelefterlevnad och därmed en lägre risknivå.

För vart och ett av ovanstående områden görs en bedömning med alternativen högre eller lägre. Resultatet från varje delområde vägs samman till en övergripande riskbedömning på en skala 1-4 (där 1 motsvarar låg risk). Riskbedömningen används för att styra omfattningen av granskningen, t.ex. vid bestämning av stickprovskontroller.

Den preliminära riskbedömningen görs av granskningsledaren tillsammans med ytterligare en granskningsresurs (resurs 1, 2 eller 3).

Arbetstimmar

Ca 4 arbetstimmar.

(8)

2.3.5 Steg 5 – Genomför grundläggande granskning enligt granskningsprogram

Efter den preliminära riskbedömningen har genomförts fortsätter granskningen tills dess att alla grundläggande granskningsåtgärder som anges i granskningsprogrammet har genomförts.

Granskningsarbetet utförs av resurs 1-4, fördelat efter kompetensbehov och tillgänglighet. Kvalitetssäkring görs av granskningsledaren.

Arbetstimmar

Ca 40 arbetstimmar

2.3.6 Steg 6 – Planera kompletterande granskningsåtgärder

Med hjälp av ifylld granskningsdokumentation görs en bedömning av behov av

kompletterande granskningsåtgärder hos aktören. Granskningsprogrammet beskriver ett antal obligatoriska utökade granskningsåtgärder som ska genomföras för samtliga aktörer. För aktörer som i den preliminära riskbedömningen har klassificerats som

riskkategori 1 eller 2, kan omfattningen av stickprovskontroller minskas något. Utöver de obligatoriska utökade granskningsåtgärderna bör granskningsledare tillsammans med granskare bedöma om det finns behov av att genomföra ytterligare kompletterande granskningsåtgärder. Eventuella ytterligare kompletterande granskningsåtgärder dokumenteras i granskningsdokumentationen.

När granskningsledaren har godkänt planen för kompletterande granskningsåtgärder kontaktas aktören av kansliet för bokning av tid för granskningsbesök, då även begäran om eventuell kompletterande dokumentation kommuniceras.

Kompletterande granskning som avviker från schablon i omfattning måste godkännas av kansliet.

Planering av kompletterande granskningsåtgärder utförs av resurs 1-4.

Granskningsledaren godkänner planen.

Arbetstimmar

Ca 4 arbetstimmar

2.3.7 Steg 7 – Genomför kompletterande granskningsåtgärder Planerade kompletterande granskningsåtgärder genomförs hos aktören.

(9)

Samma resurser som för steg 4-6.

Arbetstimmar

Ca 16 arbetstimmar exklusive eventuella tekniska tester. Verifiering av intrångsskydd i intygsgivningsfunktionen eller motsvarande sådana tester förväntas ta mellan 10-30 arbetstimmar i anspråk.

2.3.8 Steg 8 - Avstämning av bedömning med utfärdaren (remiss)

Varje slutförd granskning ska dokumenteras i ett passande format och stämmas av med utfärdaren som under två veckor får möjlighet att inkomma med

synpunkter/förtydliganden utifrån granskningsgruppens bedömningar.

Synpunkter och förtydliganden från utfärdaren hanteras av en utsedd person inom

granskningsgruppen. Om behov finns kan möte inbokas med utfärdaren för återkoppling.

Rapportskrivning och hantering av svar görs av respektive granskare.

Kommunikation med sökande görs av resurs från kansliet (resurs 5 eller 10).

Arbetstimmar

32 arbetstimmar för författande av rapport och svar på frågor.

2.3.9 Steg 9 - Sammanfattning och föredragning för granskningsgruppen Varje slutförd granskning av en ansökan ska föredras inför hela granskningsgruppen för att gemensamt fatta beslut om vilken rekommendation (inklusive motivering) som ska ges till nämnden avseende beslutet; Godkänd, godkänd med förbehåll (ska alltid innehålla en maximal tidsgräns exempelvis 2 månader) eller icke godkänd.

Granskningsgruppen kompletterar även beslutsunderlaget (i den mån godkännande rekommenderas) med en plan för fortsatt kontroll av partens efterlevnad över tid, exempelvis årlig kontroll. Aktiviteten fungerar både som efterkontroll och som påminnelse till utfärdaren om att upprätthålla kvaliteten i sin efterlevnad av Tillitsramverket. Beslutsunderlaget ska även innehålla information om eventuella

tillkommande särskilda kontroller som behöver genomföras i samband med godkännande inför aktivering av legitimeringstjänst. I beslutsunderlaget ska det finnas en redogörelse av hur granskningsgruppen har kommit fram till sin rekommendation.

Granskningsgruppen har en rådgivande funktion till nämnden. Det är

granskningsgruppens ordförande som har mandat att besluta om vilken rekommendation som ska lämnas efter respektive gransking.

(10)

Granskningsgruppens sammanträden bör bokas ca två veckor innan det att nämnden sammanträder, så att nämndens ledamöter i god tid innan mötet kan ta del av materialet som ska utgöra beslutsunderlaget.

Granskningsledaren är föredragande. Hela granskningsgruppen deltar på mötet.

Arbetstimmar

Ca 4 arbetstimmar per deltagande resurs.

2.3.10 Steg 10 - Beslut fattas av nämnden

Nämnden fattar beslut om godkännande med granskningsgruppens rekommendationer som underlag. Representant från granskningsgruppen är föredragande i ärendet.

Utfärdaren/leverantören meddelas beslutet.

Resurs 5 eller 10 meddelar beslutet.

Arbetstimmar

3 Metod för aktivering av Leverantör av eID-tjänst efter anslutning

Enligt Regelverkets huvudtext punkt 4.5.1 så ska federationsoperatören godkänna Leverantör av eID-tjänsts anslutning mot identitetsfederationen innan det att den aktiveras och leverantörens legitimeringstjänst tillåts produktionssättas i federationen.

Detta steg innebär i huvudsak en verifiering av att de krav som ställs i det tekniska ramverket och användargränssnittsbilagan är uppfyllda i den instans av

legitimeringstjänst som produktionssätts efter anslutningsavtal har tecknats. Utöver verifiering mot tekniskt ramverk kan steget även innebära en tillkommande kontroll mot de säkerhetskrav i tillitsramverket avseende legitimeringstjänst som inte har kunnat verifieras i samband med ansökan om anslutning till identitetsfederationen och valfrihetssystemet.

3.2 Metod steg 1-7

3.2.1 Steg 1 – Ta fram testplan

Aktiveringsprocessen inleds med framtagande av en specifik testplan för den enskilda leverantören. Den specifika tesplanen har sin utgångspunkt i den generella testplan och

(11)

testmatris som är framtagen för test av legitimeringstjänster, med komplettering av de specifika delar som aktualiseras för leverantören i fråga. Här kan det exempelvis vara fråga om kompletterande säkerhetskontroller som identifierats i den inledande

granskningen, eller testfall kopplat till det specifika tekniska gränssnitt som leverantören i fråga har. Arbetet med den specifika testplanen påbörjas redan i samband med att leverantören inkommer med sin ansökan, och ska finnas färdig senast i samband med att anslutningsavtal med leverantören tecknas.

Arbetet med att ta fram specifik testplan genomförs av resurs 11. Resurs 9 samt 1-4 bidrar med att ta fram specifika testfall.

Arbetstimmar

Ca 15 arbetstimmar.

3.2.2 Steg 2 – Kommunicera testplan

Den framtagna testplanen kommuniceras med leverantören för att stämma av de tänkta testfallen och för att ge en tydlighet i vilka kriterier som ska vara uppfyllda i det här steget för att legitimeringstjänsten ska kunna produktionssättas i identitetsfederationen.

Kommunikation med leverantören avseende testplanen sköts av resurs 5 tillsammans med resurs 11.

Arbetstimmar

Ca 4 arbetstimmar.

3.2.3 Steg 3 – Genomför tester

Med utgångspunkt i den specifika testplanen genomförs testfallen. Vid genomförandet av tester tas hjälp av de testverktyg som utvecklats särskilt för detta ändamål. Testerna sker med stöd av såväl leverantörens som E-legitimationsnämndens acceptanstestmiljö. Från och med det datum då leverantören tillgängliggör sin legitimeringstjänst för test har E- legitimationsnämnden 60 dagar på sig att genomföra testerna.

Arbetet med att leda testerna genomförs av resurs 11. Resurs 9 samt 1-4 bidrar med hjälp vid genomförande av specifika testfall.

Arbetstimmar

Ca 30 arbetstimmar.

(12)

3.2.4 Steg 4 – Löpande rapportering av testfall

Istället för att enbart sammanställa en slutlig testrapport kommer E-

legitimationsnämnden att löpande rapportera utfall av tester till leverantören genom ett särskilt testrapporteringsverktyg. Leverantör kommer att ges möjlighet att kommentera på utfallet av enskilda tester.

Arbetsfördelningen är den samma som i steg 3 ovan.

Arbetstimmar

Sker inom ramen för de arbetstimmar som specificerats under steg 3 ovan.

3.2.5 Steg 5 – Ev. ändring av tjänst

Med utgångspunkt i den löpande rapporteringen av testutfall har leverantören möjlighet att under pågående acceptanstestperiod göra ändringar av tjänsten för att åtgärda påvisade fel och brister. Tjänsten ska versionshanteras i samråd med nämnden på ett sådant sätt att pågående tester inte störs och leverantören ska tydligt visa på vilka ändringar som gjorts i förhållande till redan genomförda tester. Leverantören ska själv ha genomfört

nödvändiga tester för att verifiera nya versioner uppfyller ställda krav innan de levereras till acceptanstest.

Föranleder att vissa tester måste genomföras på nytt. I övrigt föranleder steget ingen arbetsinsats från granskningsgruppen.

Arbetstimmar

Föranleder att vissa tester måste genomföras på nytt. I övrigt sker det inom ramen för de arbetstimmar som specificerats under steg 3 ovan.

3.2.6 Steg 6 – Testrapport och avstämning med leverantör

Då samtliga tester har genomförts tas en slutlig testrapport fram som redogör för utfallet av testerna. Testrapporten ska även utgöra grunden för ett beslutsunderlag till nämnden avseende godkännande av leverantörens legitimeringstjänst. Testrapporten ska

kommuniceras till leverantören och leverantören ska ges möjlighet att komma med synpunkter på rapporten.

Arbetet med att ta fram testrapport genomförs av resurs 11.

Arbetstimmar

Ca 15 arbetstimmar.

(13)

3.2.7 Steg 7 – Sammanfattning och föredragning för granskningsgruppen Varje slutförd godkännandeprocess ska föredras inför hela granskningsgruppen för att gemensamt fatta beslut om vilken rekommendation (inklusive motivering) som ska ges till nämnden avseende beslutet; Godkänd, godkänd med förbehåll (ska alltid innehålla en maximal tidsgräns exempelvis 2 månader) eller icke godkänd.

I beslutsunderlaget ska det finnas en redogörelse av hur granskningsgruppen har kommit fram till sin rekommendation. Granskningsgruppen har en rådgivande funktion till nämnden. Det är granskningsgruppens ordförande som har mandat att besluta om vilken rekommendation som ska lämnas efter respektive gransking.

Resurs 11 är föredragande. Hela granskningsgruppen deltar på mötet.

Arbetstimmar

3.2.8 Steg 8 – Beslut av nämnden

Nämnden fattar beslut om godkännande med granskningsgruppens rekommendationer som underlag. Representant från granskningsgruppen är föredragande i ärendet.

Leverantören meddelas beslutet.

Arbetstimmar

4 Granskningsmetoden vid löpande uppföljning

Detta avsnitt beskriver den tillämpade granskningsmetoden vid löpande uppföljning av godkänd Utfärdare av Svensk e-legitimation eller Leverantör av eID-tjänst.

4.2 Rutinbaserad uppföljning

I samband med respektive anslutning av leverantör eller utfärdare ska E-

legitimationsnämnden ta fram en plan för rutinbaserad löpande uppföljning av den

(14)

godkända aktören. Planen ska ha sin utgångspunkt i den riskanalys som gjort av aktören och ha en uppföljningscykel om 36 månader. Den rutinbaserade uppföljningen ska innehålla ett antal punkter som mer regelmässigt ska genomföras för samtliga aktörer, och därtill kompletteras med sådana punkter som är specifika för enskild aktör med hänsyn till risk och utfall av tidigare genomförd granskning.

4.3 Alternativa initierande faktorer

Utöver den planerade rutinbaserade uppföljningen finns det ett antal faktorer som kan initiera uppföljande granskning av en ansluten aktör från granskningsgruppens sida. De viktigaste faktorerna redogörs för nedan.

4.3.1 E-legitimationsnämnden har fattat beslut med förbehåll

Om E-legitimationsnämnden i sitt beslut om godkännande av sökanden har infört vissa förbehåll för godkännande som ska åtgärdas inom viss tid så behöver

granskningsgruppen följa upp och säkerställa att de åtgärder som krävs i förbehållet har vidtagits.

4.3.2 Potentiella riskområden i ansökan

Om granskningsgruppen i sin granskning har noterat särskilda riskområden i sökandens verksamhet kan granskningsgruppen redan i samband med den initiala granskningen planera för tillkommande granskningsåtgärder inom visst tidsperspektiv.

4.3.3 Incidentrapportering

För såväl utfärdare av Svensk e-legitimation som leverantör av eID-tjänst ställs krav på incidentrapportering till E-legitimationsnämnden. Sådana incidentrapporter kan föranleda granskning av granskningsgruppen om det finns anledning att misstänka bristande

kravuppfyllnad.

4.3.4 Väsentliga förändringar i utförande av tjänsten

Utfärdare och leverantörer har en skyldighet att rapportera väsentliga förändringar i utförandet av sina respektive tjänster. Förändringarna kan vara av sådan karaktär att granskningsgruppen måste komplettera den initiala granskningen för att säkerställa att även ändrad tjänst lever upp till kraven.

4.3.5 Rekommendation från Förvaltningsforum

Förvaltningsforum kan som ett led i sitt löpande säkerhetssamarbete rekommendera att visa specifika granskningsinsatser genomförs.

4.3.6 Omvärldsbevakning

E-legitimationsnämndens omvärldsbevakning, särskilt på informationssäkerhetsområdet, kan komma att leda till behov av specifika granskningsinsatser för att säkerställa att utfärdare och leverantörer hanterar förändrade hotbilder i förhållande till deras tjänster.

(15)

4.3.7 Förändringar i regelverket

Ändrade krav i regelverket kan leda till ett behov av att genomföra förnyad granskning av kravuppfyllnad, särskilt om ändringen omfattar centrala delar i tillitsramverket.

4.4 Grundprinciper för metoden

Metoden för den granskning som genomförs löpande skiljer sig inte nämnvärt från metoden vid den initiala granskningen, med undantag för att vissa specifika delar som relaterar till ansökningsprocessen inte är nödvändiga.

4.5 Metoden steg 1-6

4.5.1 Steg 1 – Planera och fatta beslut om granskningsåtgärd

Med utgångspunkt i den rutinbaserade uppföljningen eller någon av de alternativa initierande faktorer som beskrivits ovan fattar granskningsgruppen beslut om lämplig granskningsåtgärd. Granskningsåtgärden kan exempelvis vara i form av möten med berörd utfärdare eller leverantör, genomgång av inrapporterade förändringar i tjänst, begäran om kompletterande beskrivningar av kravuppfyllnad och genomgång av sådan, stickprov, rutinkontroller eller extern revision av oberoende tredje part.

Det formella beslutet om granskningsåtgärd fattas av granskningsgruppens ordförande (kansliresurs) med undantag för beslut om extern revision av utfärdare eller leverantör då beslut ska föredras och fattas av E-legitimationsnämnden. I samband med fattat beslut utses en granskningsledare som leder granskningsåtgärden.

Granskningsåtgärden ska i största möjliga mån planeras med utgångspunkt i

leverantörens särskilda förutsättningar och lämna tillräckligt med framförhållning för att inte i onödan störa leverantören eller utfärdarens ordinarie verksamhet.

Steg 1 utförs huvudsakligen av resurs 1, 2 eller 3.

Arbetstimmar

Ca 10 arbetstimmar.

4.5.2 Steg 2 – Kommunicera med granskningssubjekt

Den beslutade granskningsåtgärden kommuniceras till leverantören/utfärdaren, såvida inte åtgärden är av sådan karaktär att aktören inte bör ha kännedom om denna

(exempelvis stickprov av utfärdarverksamhet eller liknande). Aktören ges en möjlighet att återkoppla på den planerade åtgärden, särskilt med hänsyn till sådana åtgärder som kräver medverkan och resursplanering från aktörens sida.

Steg 2 utförs av resurs 5 eller 10.

(16)

Arbetstimmar

Ca 4 arbetstimmar.

4.5.3 Steg 3 – Genomför beslutade granskningsåtgärder

Med utgångspunkt i planering och beslut genomförs granskningsåtgärden. Utöver de beslutade granskningsåtgärderna bör granskningsledare tillsammans med granskare bedöma om det finns behov av att genomföra ytterligare kompletterande

granskningsåtgärder. Eventuella ytterligare kompletterande granskningsåtgärder dokumenteras i granskningsdokumentationen.

Genomförande av granskningsåtgärder utförs av resurs 1-4. Granskningsledaren ansvarar för genomförandet.

Arbetstimmar

Beroende av granskningsåtgärd.

4.5.4 Steg 4 - Avstämning av bedömning med utfärdaren (remiss)

Varje slutförd granskningsåtgärd ska dokumenteras i ett passande format och stämmas av med leverantören/utfärdaren som under två veckor får möjlighet att inkomma med

synpunkter/förtydliganden utifrån granskningsgruppens bedömningar.

Synpunkter och förtydliganden från utfärdaren hanteras av en utsedd person inom

granskningsgruppen. Om behov finns kan möte inbokas med utfärdaren för återkoppling.

Rapportskrivning och hantering av svar görs av respektive granskare.

Kommunikation med sökande görs av resurs från kansliet (resurs 5 eller 10).

Arbetstimmar

Beroende på granskningsåtgärd.

4.5.5 Steg 5 - Sammanfattning och föredragning för granskningsgruppen Varje slutförd granskningsåtgärd ska föredras inför hela granskningsgruppen för att gemensamt fatta beslut om vilken rekommendation (inklusive motivering) som ska ges till nämnden avseende åtgärden. Granskningsgruppens rapport kan resultera i tre alternativa beslut. Det första innebär att genomförd granskningsåtgärd inte föranleder några ytterligare åtgärder från vare sig granskningsgruppens eller nämndens sida, vilket i så fall enbart leder till en informationspunkt på nästa nämndsammanträde. Det andra innebär att genomförd granskningsåtgärd föranleder ytterligare åtgärder från

granskningsgruppens sida, exempelvis i form av ytterligare kompletterande granskning

(17)

eller åtgärder från leverantören/utfärdaren inom viss tidsperiod eller med viss

periodicitet, men inga åtgärder från nämndens sida, vilket i så fall enbart leder till en informationspunkt på nästa nämndsammanträde. Det tredje innebär att genomförd granskningsåtgärd föranleder åtgärder från nämndens sida, exempelvis avseende extern revision av oberoende tredje part, vite eller uppsägning.

Granskningsgruppen kompletterar även beslutsunderlaget med en uppdaterad plan för fortsatt kontroll av partens efterlevnad av granskningsområdet över tid. Aktiviteten fungerar både som efterkontroll och som påminnelse till utfärdaren om att upprätthålla kvaliteten i sin efterlevnad av Tillitsramverket. I beslutsunderlaget ska det finnas en redogörelse av hur granskningsgruppen har kommit fram till sin rekommendation.

Granskningsgruppen har en rådgivande funktion till nämnden. Det är

granskningsgruppens ordförande som har mandat att besluta om vilken rekommendation som ska lämnas efter respektive gransking.

Granskningsledaren är föredragande. Hela granskningsgruppen deltar på mötet.

Arbetstimmar

4.5.6 Steg 6 - Beslut fattas av nämnden

Nämnden fattar beslut med granskningsgruppens rekommendationer som underlag.

Representant från granskningsgruppen är föredragande i ärendet. Utfärdaren/leverantören meddelas beslutet.

Arbetstimmar