Supportorganisationen varetager opgaver omkring assistance og support af MitID slutbrugere.

Krav

Supportorganisationen skal etablere og dokumentere procedurer, der sikrer, at supportorganisationens opgaver varetages i overensstemmelse med den til enhver tid gældende arbejdsgangsbeskrivelser for supportorganisationen. Endvidere skal supportorganisationen overholde en række organisatoriske og tekniske sikkerhedskrav, som indgår som del af aftalen, der indgås mellem supportorganisationen og Nets DanID A/S.

Manglende overholdelse af kravene kan medføre, at supportorganisationen kan få frataget sin mulighed for at være supportorganisation.

Krav til styring af informationssikkerheden

Supportorganisationen skal overholde en række krav til styring af informationssikkerheden, hvilket bl.a. om-fatter følgende:

• Supportorganisationen skal implementere et rammeværk for styring af informationssikkerheden, der efterlever principperne i ISO 27001 eller tilsvarende standard for styring af informationssikkerheden.
• Ledelsessystemet for informationssikkerheden skal dække supportorganisationens udførelse af supportopgaven. Supportorganisationen skal kunne dokumentere efterlevelse af ledelsessystemet for informationssikkerhed.
• Supportorganisationen skal sikre, at supportorganisationen har implementeret risikostyring med henblik på at sikre, at der foretages løbende risikovurdering af egen organisation, eget it-miljø og egne fysiske lokationer, som dækker udførelsen af supportopgaven, samt tilstrækkelig dokumenteret risi-kohåndtering med henblik på at sikre, at sikkerhedsrisici er håndteret.
• Supportorganisationen skal løbende vedligeholde og tilpasse sit ledelsessystem for informationssikkerhed baseret på supportorganisationens løbende risikovurderinger og evaluering af kontroller.
• Supportorganisationen skal sikre, at supportorganisationen har implementeret informationssikkerhedspolitik(ker), som foreskriver niveauet for disse sikkerhedsforanstaltninger i overensstemmelse med de angivne sikkerhedskrav, samt at der regelmæssigt foretages opfølgning på overholdelsen heraf blandt andet i form af it-revision, gennemførelse af sikkerhedstest af organisatoriske og tekniske kontroller og egne interne kontroller.
• Hvis supportorganisationen anvender administrations-API’et til at udføre supportopgaven, er der en række yderligere sikkerhedskrav, der skal opfyldes, herunder i forhold til behandling af data, dokumentation og information i egne it-systemer.

Sikkerhedskravene er specificeret yderligere i de underliggende juridiske aftaledokumenter.

Tekniske sikkerhedskrav, herunder systemkrav

Supportorganisationen skal overholde en række tekniske sikkerhedskrav, herunder systemkrav, hvilket bl.a. omfatter følgende:

• Supportorganisationen anvender MitID løsningen på sit eget it-miljø til at udføre opgaver i henhold til denne supportaftale. Dette stilles ikke til rådighed af Leverandøren. Supportorganisationens eget it-miljø og den enkelte pc-arbejdsplads, som anvendes til udførelse af supportopgaven, skal opdateres og konfigureres med nødvendigt sikkerhedssoftware, og supportorganisationen er ansvarlig for løbende opdatering af software, herunder opdatering af sikkerhedssoftware.
• Supportorganisationen er ansvarlig for løbende at kontrollere, at supportorganisationens it-systemer og -miljø er tilstrækkeligt opdateret med seneste software- og hardware-opdateringer og beskyttet tilstrækkeligt mod angreb.
• Såfremt supportorganisationen anvender egne it-systemer til at tilgå administrations-API’et, skal supportorganisationen sikre, at it-systemerne er tilstrækkeligt beskyttet mod uautoriseret adgang og kompromittering.
• Supportorganisationen skal have implementeret de tekniske sikkerhedsforanstaltninger og procedurer med henblik på at lave sikker log-in, som er fastsat af Leverandøren, på RA-portalen med de PC’er/arbejdsstationer, der benyttes til at tilgå RA-portalen og supportorganisationens it-systemer, som anvendes i forbindelse med supportopgaven. Supportorganisationen er ansvarlig for at sikre adgangsstyring og kontrol til RA-portalen og supportorganisationens egne it-systemer, som anvendes i forbindelse med supportopgaven, således at kun supportorganisationens medarbejdere med et arbejdsmæssigt behov har adgang hertil.
• Supportorganisationen skal implementere tekniske sikkerhedsforanstaltninger og -procedurer, som er fastsat af Leverandøren, med henblik på at sikre, at der opretholdes et sikkerhedsniveau tilsvarende intern adgang ved anvendelse af fjernadgang i forbindelse med behandling af personoplysninger som vedrører supportopgaven. Herunder skal supportorganisationen benytte VPN i forbindelse med fjernadgang til RA-portalen og supportorganisationens egne it-systemer ved anvendelse af administrations-API’et, der sikrer en tilstrækkelig beskyttelse mod uautoriseret aflytning af data i form af stærk kryptering.

De nærmere tekniske sikkerhedskrav er specificeret yderligere i de underliggende juridiske aftaledokumenter.

Oprettelsesproces

Kontakt Nets DanID A/S på e-mailadressen MitID-RA-audit@nets.eu for at starte oprettelsesprocessen for supportorganisationen.

Nets DanID A/S vil herefter indenfor få dage tage kontakt til dig med henblik på at indgå en aftale om supportorganisation.

Efter aftalen er indgået og underskrevet af begge parter, vil du modtage en startpakke for supportorganisationen.

Startpakken indeholder bl.a. en beskrivelse af oprettelsesprocessen for den første supportadministrator i organisationen. Medarbejderen, der tildeles supportadministratorrettigheder, har pligt til at gennemgå MitID supportsuperbrugeruddannelsen, samt følge øvrige instrukser og krav, hvilket er beskrevet nærmere i start-pakken.

Supportadministratoren kan nu oprette nye supportsuperbrugere og supportmedarbejdere under hensyntagen til de enhver tid gældende juridiske aftalekrav.