This page contains frequently asked questions about Fedvis and is aimed at Swedish readers.Tillitsramverk, deklarationsmall och granskning
Varför finns det krav på hantering av lösenord under A.2 när det samtidigt finns krav på tillitsnivå 3 för autentisering?
Svar: Kravet är bredare än enbart autentisering av Användare av vårdinformationssystemet. Vid hantering och administration av tekniska komponenter är det ibland inte möjligt att autentisera administratören med e-legitimation, utan andra metoder behövs för att nå tillräckligt skydd.
Vilka incidenter ska rapporteras enligt krav A.7?
Svar: Incidenter som medför att tillit enligt Tillitsramverket inte kan sättas till utfärdade intyg ska rapporteras, exempelvis ett konstaterat säkerhetshål eller intrång i lösningen som riskerar obehörigt utfärdande av intyg.
Betyder krav A.2 att en leverantör måste uppfylla hela tillitsramverket?
Svar: Krav A.6 i Tillitsramverket syftar till att säkerställa att kraven efterlevs även i de fall en eller flera delar av den granskade Funktionen hanteras av en Leverantör. Leverantören behöver enbart uppfylla de krav i Tillitsramverket som är relevanta för den del av Funktionen som leverantören hanterar.
Betyder krav A.2 att man är skyldig att kontrollera att externa vårdgivare som använder vårdinformationssystemet uppfyller kraven i tillitsramverket?
Svar: En extern vårdgivare träffas inte av krav A.6 i sin roll som vårdgivare. Kravet riktar sig till leverantörer som hanterar en eller flera delar av den granskade Funktionen. Betrodd part ska ha rådighet över behörighetshanteringen för samtliga användare av vårdinformationssystemet oavsett om de är interna eller externa.
Behöver ett VIS vara tekniskt färdigt för att granskningsprocessen ska kunna inledas?
Svar: Nej, all teknik behöver inte vara på plats för att granskningen ska kunna inledas. Fedvis Tillitsramverk utgår från de informationssäkerhetsprocesser som omgärdar de tekniska komponenter som ingår i granskningen. Det är dock viktigt att det finns en plan för hur teknik och informationssäkerhetsåtgärder ska realiseras så att tillitsdeklarationen kan upprättas med utgångspunkt i den lösning som kommer att etableras.
Add Comment