SITHSSITHS information2009-08-20

Thomas NäsbergSjukvårdsrådgivningen

www siths se

1

www.siths.sesiths@sjukvardsradgivningen.se

Agenda om SITHS

• Vad är SITHS• SITHS InförandeSITHS Införande• SITHS Avtal• Val av teknik och produkter• SITHS i praktiken

Vad är SITHS ?

Den korta versionen:

• Ett kort (en fysisk ID-handling)( y g)• Ett certifikat (en elektronisk ID-handling)

Den längre versionen:

• Nationell säkerhetslösning för ”svensk vård & omsorg”.

• Utförare = SjukvårdsrådgivningenUtförare Sjukvårdsrådgivningen • Beställare = Sveriges Kommuner och Landsting

• Fokus är yrkesutövare inom sektorn ”vård & omsorg”, men kan införas inom y g ,hela organisationen, t ex miljökontoret inom en kommun.

• Anställda kommer att utrustas med personliga e-legitimationer och elektroniska tjänstecertifikat lagrade på personliga id-kortelektroniska tjänstecertifikat lagrade på personliga id-kort.

• E-legitimationerna på SITHS-kortet möjliggör säker elektronisk identifiering av personal vid inloggning i IT-system, digital signering av elektroniskt lagrad i f ti h äk ö fö i i f ti llinformation och säker överföring av information mellan personer, organisationer eller system och är ett krav för nationell/regional samverkan.

Vad är SITHS ?

Ett förtroende – en Tillit• Huvudmännen litar på varandra• Huvudmännen litar på varandra• En huvudman (kommun/landsting) ger garantier för att en medarbetare är just

den medarbetare han/hon utger sig för att vara.E h d lik å ti fö tt d b t ä j t d• En annan huvudman ger likaså garantier för att en medarbetare är just den medarbetare han/hon utger sig för att vara.

• Denna ”tillitsprocess” administreras centralt av Sjukvårdsrådgivningen ”SITHS CA”. Samtliga huvudmän kan med en trygg och säker ”certifieringsordning” förlita sig på varandra. Därför gäller SITHS kort och certifikat som fysiska och elektroniska ID-handlingar över huvudmannagränserna.

• Att varje huvudman fortlöpande upprätthåller de krav som ställs på tilliten följs upp genom ständiga revisioner inom det egna huvudmannaområdet och av oberoende huvudmän.

Vad är SITHS ?

Vad är SITHS ?

Hur långt har vi nått med SITHS?

• 15 av 20 landsting har avtal (några arbetar fortfarande med ”uppkopplingen”)15 av 20 landsting har avtal (några arbetar fortfarande med uppkopplingen )

• Kommuner är på väg in med stora steg.

• Privata vårdgivare och Tjänsteleverantörer är på väg in.

• 20 landsting

• 15 landsting• 8 kommuner

• 290 kommuner

• 65 000 kort • 100 000 certifikat

Vad är SITHS ?

Fysisk ID-handling

InpasseringTill vad används SITHS?

Inpassering

Säker E-post

Inloggning till datorer (AD/domän)

Inloggning till HSA

Inloggning till SITHS

I l i till Sj tInloggning till Sjunet

Inloggning till Patient Översikten

Vad är SITHS ?

C f ä

Primärcertifikat

Certifikatsmängd Telia eIDTelia eIDPersonlig E-legitimation

Identifieringscertifikat Signeringscertifikat

Certifikatsmängd

Sekundärcertifikat

SITHS eIDSITHS eIDElektronisk tjänstelegitimation

Identifieringscertifikat Signeringscertifikat

SITHS …består av flera certifikat!

E-legitimation och eTjänstelegitimation.

Vad är SITHS ?

SITHS …hanterar identifiering!

Vilka rättigheter man har hanteras av andra system

Vilka rättigheter man har hanteras av andra system.

Agenda om SITHS

• Vad är SITHS• SITHS InförandeSITHS Införande• SITHS Avtal• Val av teknik och produkter• SITHS i praktiken

SITHS Införande

Initiering Uppstart - Avtal Produktion

33 1212

11 22 44 55 66 77 88 99 1010 1111

Tid0 v 1-3 v 8 v 10 v 12 v

SITHS Införande

11

K 1Kommun2 LT41 Direkt ansl tning Kommun11. Direkt anslutning

2. Tredjeparts anslutning

Sjunet

LT3

LT5

g

22

j

Komm n3

Kommun4

SLASLALT1

LT2Kommun3

LT1

Kommun6Kommun5

Kommun6

SITHS Införande

En medarbetares väg i HSA/SITHS• En anställning påbörjas… HSA

Nationell Toppnod

• Kort- och certifikataktiviteter…• En anställning avslutas…

HSASkåne

Intern katalog

HSAKataloghotell

HSA

HSAHalland

HSAHSAHSALtB

HSASthlm

HSAm.fl.

HSAVGR

HSAm.fl.

m.fl.

SITHS Införande

1. LANDSTINGET ANSVARARLandstinget sköter all nationell avtalsteckning och administration av personer i HSA samt kortutgivning. Avtal tecknas mellan landstinget och respektive kommung p

SITHS Införande

2. DELAT ANSVARLandstinget sköter all nationell avtalsteckning. Kommunen sköter administrationen av personer i HSA samt kortutgivningen. Avtal tecknas mellansamt kortutgivningen. Avtal tecknas mellan landstinget och respektive kommun.

SITHS Införande

3. KOMMUNENS EGET ANSVAREgen anslutning. Kommunen sköter all nationell avtalsteckning och administration av personer i HSA samtadministration av personer i HSA samt kortutgivning.

SITHS Införande

Skapa säkra och aktuella underlag till e-legitimation och e-Tjänstelegitimation.Organisationen garanterar alltså uppgifterna om medarbetaren.

Granskningsdokument

Tillämpningsanvisning RAPS

Sk iftli ti till ”H dlä ”Skriftliga rutiner till ”Handläggare”

Layout på kort (och baksidestext)

Informationsfolder till Medarbetare

Kvittenstext för Medarbetare (inkl Telia)

SITHS Införande

Agenda om SITHS

• Vad är SITHS• SITHS InförandeSITHS Införande• SITHS Avtal• Val av teknik och produkter• SITHS i praktiken

Avtal

Avtal

•• Grundavtal för IT tjänsterGrundavtal för IT tjänsterjj•• TjänsteavtalTjänsteavtal SjunetSjunet•• TjänsteavtalTjänsteavtal HSAHSA

Formalia med avtal

GranskningsdokumentGranskningsdokument•• SITHS CA PolicySITHS CA Policy•• SITHS RA PolicySITHS RA Policy•• Telia CPSTelia CPS

GranskningsdokumentGranskningsdokument

•• Telia CPSTelia CPS•• HCC specifikationHCC specifikation•• Mifare SpecifikationMifare Specifikation

•• Tjänsteavtal SITHSTjänsteavtal SITHS (RAPSRAPS, Kontaktpersoner, Utgivningsrutiner för kort/certifikat)

•• Telia LeveransavtalTelia Leveransavtal(Kundunika villkor Beställning Tilläggsbeställning Annullering Kortspecifikationer information om Handläggare)(Kundunika villkor, Beställning, Tilläggsbeställning, Annullering, Kortspecifikationer, information om Handläggare)

•• SIS godkännande SIS godkännande (Om SIS kort)

•• UtfärdartillståndUtfärdartillstånd (Standardkort)

SITHS Avtal

11

33

22

4455KundFörvaltning

66

g

7788

1. Kund efterfrågar avtal.2. Förvaltningen kompletterar avtalshandlingar med kundunika uppgifter.3. Avtal omformateras till PDF-formulär och skickas till kund.884. Avtalshandlingar kompletteras och skrivs ut för undertecknande.5. Avtal sänds elektroniskt och per post till Sjukvårdsrådgivningen.6. Avtalshandlingar kompletteras med vårt undertecknande.7. Kundens originalhandlingar återsänds undertecknade.g g8. Sjukvårdsrådgivningens originalhandlingar arkiveras (elektroniskt/papper).

Agenda om SITHS

• Vad är SITHS• SITHS InförandeSITHS Införande• SITHS Avtal• Val av teknik och produkter• SITHS i praktiken

Teknik och produkter

Baksida: Magnetremsa för t ex

Organisationens logga

för t ex inpassering

Chip för lagring av e-legitimationer

Inbyggd funktion för beröringsfri inpassering

Baksida: Streckkod

inpassering (RFID-chip)

Teknik och produkter

RFID - Mifare RF Interface (ISO 14443 A)( )HiCo magnetband med 3 spår - ISO standard 7811 1-6

Teknik och produkter

SITHS Admin

SIS Capture Station

Teknik och produkter

Vem kan få ett SITHS-kort ?• anställd av organisationen• med uppdrag åt organisationen (konsult eller liknande)• olika egenskaper hanteras med olika kortprodukterolika egenskaper hanteras med olika kortprodukter

Teknik och produkter

S k

ort

tags

kort

SIS

Före

t

rvko

rt

Val av kortprodukt

Res

e

Teknik och produkter

Val av kortprodukterVal av kortprodukter

Agenda om SITHS

• Vad är SITHS• SITHS InförandeSITHS Införande• SITHS Avtal• Val av teknik och produkter• SITHS i praktiken

SITHS i Praktiken

Förvaltning av SITHS

• Central Förvaltning- sprida beslut

l i b h- samla in behov

• Lokal förvaltning (eller vad innebär RA-uppdraget?)t d ( )- supportuppdrag (kontaktvägar, Kundtjänst, lokal säljare)

- ansvar för information lokalt- ansvar för utbildning- ansvar för införandeansvar för införande- ansvar för uppföljning

SITHS i Praktiken

Förvaltningsstyrning av SITHS

SITHS i Praktiken

R i t iRegistrering

Ärendebevakning

Kontrollfrågor (FAQ, ”10-topp”)A t l k t ktli tAvtal, kontaktlistor

Verksamhetlokal firstline support Kontrollfrågor (FAQ, ”10-topp”)lokal firstline support

TeliaSecond line support

g ( , pp )

AvtalGrundavtal för IT-tjänsterTjänsteavtal – SITHSBilaga KontaktuppgifterBilaga Kontaktuppgifter

SITHS i Praktiken

Varje RA-organisation bemannas med ett antal roller för att effektivisera och decentralisera dess arbete.

SITHS i Praktiken

( / f f )•• RARA (Registration Authority eller kort/certifikat utfärdare) – Huvudansvarig, behörighetsadministration, konfigurering och intern revision

•• ORAORA (Områdes RA)ORAORA (Områdes RA)– delansvarig, behörighetsadministration

•• KRAKRA (Kort RA eller ”Handläggare”) – utgivning och återlämning av fotoförsedda kort

•• LRALRA (Lokal RA) – utgivning av reservkort och elektroniska tjänstelegitimationerutgivning av reservkort och elektroniska tjänstelegitimationer

Dessutom• Säkerhetsansvarig• Registeransvarig

Vad gör en RA ?

Ett övergripande ansvar:Ett övergripande ansvar:• att RA-organisation följer CA-, RA-policy och RAPS• att RAPS tas fram samt uppdateras vid förändringar i CA- och RA-policy

samt i den egna verksamhetensamt i den egna verksamheten• att upprätta och underhålla kontinuitetsplaner• att informationsspridning och förankringsarbeten genomförs

• att utse behöriga ORA personer och ge roller i SITHS Admin• att utse behöriga KRA/LRA personer och ge roller i SITHS Admin • att upprätta och underhålla förteckning över rollinnehavarepp g• att konfigurera organisationens parametrar• att konfigurera verksamhetens e-post och kvittensmallar• att initial kortbeställning genomförs (minst till en KRA)

• att beställa/spärra HCC Organisation eller HCC Funktion• att arkivera avtal, förteckningar och kvittenser (funktions- o organisations certifikat)

Vad gör en KRA/LRA ?

E iEtt operativt ansvar:• att beställa kort/certifikat• att genomföra avregistrering och spärr av kort/certifikatg g g p• att relevant information sprids, t ex rutiner vid spärrning och felanmälan• att registerutdrag och arkivering genomförs

Vad gör en Säkerhetsansvarig ?

Ett övergripande ansvar för säkerhetsarbetet:Ett övergripande ansvar för säkerhetsarbetet:• att planering av intern/extern revision genomförs

• att xRA ej har annat uppdrag som kan stå i konflikt med uppdraget• att xRA ej har annat uppdrag som kan stå i konflikt med uppdraget• att xRA kan anses dugliga och ej innebära riskfaktorer i uppdraget• att xRA har utbildning för att fullgöra sina arbetsuppgifter på ett säkert sätt

• att arbetsplatsen inte lämnas med SITHS-kort obevakat • att arbetsplatsen är inom låsbart utrymme med låsbara skåp för förvaring av

arkivmaterial eller annat känsligt materialg

Vad gör en Registeransvarig ?

Ett ö i d fö i t b t tEtt övergripande ansvar för registerarbetet:

• att arkiv- och registervård genomförs• att medverka vid revisionsarbeten• att register över undertecknade kort- och certifikat kvittenser underhålls

Agenda om SITHS

• Vad är SITHS• SITHS InförandeSITHS Införande• SITHS Avtal• Val av teknik och produkter• SITHS i praktiken SITHS i praktiken -- kortbeställningkortbeställning

SITHS i Praktiken

SIS Capture StationSITHS Admin

Beställning och utgivning av kort och certifikat

1. Ett ”Beställningsuppdrag” skapas2. Ett ”Beställningsunderlag” skapas3 E ”B täll i ” fö3. En ”Beställning” genomförs4. En ”Kortutlämning” genomförs5. En ”avregistrering” och en ”spärr” av kort/certifikat genomförs

Arkivering sker under några steg

Beställnings-underlag

Beställnings-uppdrag

BeställningÅterlämna Beställningkort

Lämna ut kort

SITHS i Praktiken

IdentifieringskravIdentifieringskrav• Vi ger ut ID-handlingar.• Det finns därför ett krav

på att kontrollera vemmottagaren egentligen är.

SITHS i Praktiken

BeställningsuppdragSkede 1

45

Beställningsuppdrag

Beställningsuppdrag – Skede 1

ExempelExempel• Pär Olsson, 18911011-9808, Företagskort,Pär Olsson, 18911011 9808, Företagskort,

5 årO A d 18911013 9806• Ove Andersson, 18911013-9806, Företagskort, 5 år

Beställningsunderlag – Skede 2

BeställningsunderlagSkede 2

47

Beställningsunderlag

Beställningsunderlag – Skede 2

ExempelExempel• Pär Olsson, 18911011-9808, Företagskort,Pär Olsson, 18911011 9808, Företagskort,

5 årO A d 18911013 9806• Ove Andersson, 18911013-9806, Företagskort, 5 år

Beställningsunderlag – Skede 2

Beställningsunderlag kan genomföras innan g g gmedarbetaren anländer till ”Handläggaren”

Beställning – Skede 3

BeställningSkede 3

50

Beställning

Beställning – Skede 3

Identifieringskrav

1 H dli f å d b t l k t f d l d l d b t1. Handling från medarbetaren - plockas ut ur fodral, edyl av medarbetaren.2. Personbedömning - finns det en anledning till att vara misstänksam?3. Titta först på individen - därefter på ID-handlingen.4. Kontrollera ID-handling - ej ändrad/skadad/giltighetstid/notering av NID, SIS, KK eller4. Kontrollera ID handling ej ändrad/skadad/giltighetstid/notering av NID, SIS, KK eller

EU-Passnummer.5. (Kontroll av kort för betalning - utgår då vi ej hanterar VISA-kort eller liknande)6. Kontroll av namnteckning - en namnteckning på ett kvitto skall överensstämma med

ID-handlingens namnteckningID handlingens namnteckning.7. Återlämna handling

Vid misstanke; djupare kontroll, behåll om möjligt ID-handling, fotografera om möjligt medarbetaren, samråd med närmaste chef, larma polisen via 112., , p

Beställning – Skede 3

Beställning – Skede 3

En inskannad namnteckning kan hamna ”upp o ned”. Detta åtgärdar du med funktionen ”Rotera”.

Beställning – Skede 3

Är du nöjd med foto o namnteckning samt att övriga uppgifter är korrekta, så aktiverar du ”Godkänn”.Är något oklart, aktivera ”Godkänn ej”.

Beställning – Skede 3

Aktivera ”Skicka beställning(ar)”.Signera beställningen

Beställning – Skede 3

När beställningen är genomförd, så erbjuds du att spara foton som skapats för denna beställning. Du får upp en vanlig ”filbrowser” och kan då fritt välja fram den mapp (lokalt eller centralt) som du har tillgång till Du kan även skapa nya undermappar för en bättre strukturcentralt) som du har tillgång till. Du kan även skapa nya undermappar för en bättre struktur.

Lämna ut kort/certifikat – Skede 4

Lämna ut kort/certifikatSkede 4

57

Lämna ut kort/certifikat

Lämna ut kort/certifikat – Skede 4

Ett kort måste alltid ”Lämnas ut”.Även ett reservkort måste lämnas ut fö tt d b t k ll kför att en medarbetare skall kunna ladda ned ett SITHS certifikat.

Avregistrering/spärr av kort/certifikat – Skede 5

Återlämna och spärra kort/certifikatSkede 5

59

Återlämna och spärra kort/certifikat

Avregistrering/spärr av kort/certifikat – Skede 5

Återlämning av ett SITHS-kort eller reservkort till Korthandläggaren ska ske då personen l t i täll i ll itt d D t ä h f ll d i fö dslutar sin anställning eller sitt uppdrag. Det är chefen eller uppdragsgivaren för den

anställde som ansvarar för att detta sker.

Återlämning sker också då identitetsuppgifterna på SITHS kortet och/eller i den g ppg ppersonliga e-legitimationen på kortet har blivit ogiltiga, t ex då giltighetstiden på kortet och e-legitimationen gått ut eller om det är något tekniskt fel på kortet.

Vid återlämning av SITHS kort spärras tillhörande giltiga e-legitimationer och själva g p g g g jkortet klipps genom chippet. Reservkort återlämnas då det har använts i väntan på ett SITHS kort.

Skälet till återlämning/spärr skall registreras.Skälet till återlämning/spärr skall registreras.

Arkivering

Arkivering61

Arkivering

Arkivering

I samband med beställning och utlämning av SITHS kort och certifikat finns det krav på arkivering.

Det som ska arkiveras är beställningsunderlagför SITHS kort (hanteras elektroniskt) och kortkvittenser som skrivs på i samband medkortkvittenser som skrivs på i samband med utlämning av SITHS kort (hanteras elektroniskt).

Kvittensunderlag för ”Funktionscertifikat” skrivs ut å h d t k D d lpå papper och undertecknas. Dessa underlag

skickas till registeransvarig som arkiverar det enligt gällande regler.

Arkivering

Kortkvittenser till Företagskort arkiveras under Företagskortets giltighetstid och tio år därefter. SIS kräver kortets giltighetstid och ett år därefter.

Registret skall förvaras med betryggande säkerhet, exempelvis valv, värdeskåp eller annat väl skyddat utrymme. Eller elektroniskt.

Registret får endast vara tillgängligt för register- och säkerhets-ansvarig personal samt handläggare och vid kontrollbesök även för Driftleverantörens kontrollant.

Tips! Manuella kortkvittenser arkiveras förslagsvis i ordning efter födelsedag exempelvis i pärmarTips! Manuella kortkvittenser arkiveras förslagsvis i ordning efter födelsedag, exempelvis i pärmar. Registret skall vara i sådan ordning att telefonförfrågningar om uppgifternas riktighet omgående kan besvaras. Normalt sker arkiveringen av kort/certifikat elektroniskt i form av SITHS Admin.