Genom styrning av identitet och åtkomst säkerställs att endast de personer som behöver informationen för att kunna utföra sina arbetsuppgifter ges tillgång till den för att stärka informationssäkerheten.
Huvudprincipen för hur identitet och åtkomst ska tilldelas utgår från att användare ska ha den lägsta möjliga åtkomst som krävs för att arbetet ska kunna utföras på ett lämpligt och riktigt sätt. Det är infomationsklassningen som sätter ramarna för hur åtkomst ska tilldelas och hanteras för olika nivåer av information och funktioner.
Infomationsägaren är ytterst ansvarig för att godkänna tilldelning och att avbeställa åtkomst till information och regelbundet följa upp användares åtkomsträttigheter. Ju högre rättigheter en användare har eller ju mer känslig information som hanteras, desto oftare ska uppföljning ske. Särskild uppmärksamhet ska ägnas åt höga behörigheter och då användare slutar eller byter tjänst. Systemförvaltare ansvarar för att ta bort/ändra behörigheter enligt infomationsägarens anvisningar.
I processen för styrning av identitet och åtkomst inkluderas även tjänster, uppkopplade apparater och AI, så att tillgång ges till den information och de funktioner de behöver.
Åtkomst styrs av tre komponenter
- Användares identitet: exempel på en användares identitet är användarnamn, vilket ska vara unikt och knutet till en individ, en tjänst eller en sak
- Autentisering: lagstiftning och informationsklassningen styr vilken bevisstyrka som krävs vid olika sammanhang och för olika typer av information.
| Klassningsnivå gällande konfidentialitet | Krav på autentisering |
| 3 | Stark autentisering och multfaktorsinloggning |
| 2 | Multifaktorsinloggning |
| 1 | Användarnamn och lösenord |
| 0 | Inga krav |
-
Behörighetsstruktur: en behörighetsstruktur är i grunden ett regelverk som ska styra vad en användare kan se och göra i ett system/tjänst, t.ex. baserat på deras roll i verksamheten. När informationen innehåller personuppgifter kräver GDPR särskilda regler för åtkomst för att skydda individers integritet. Dokumentationen om behörighetsstrukturen ska visa hur hänsyn tagits till känsliga och skyddade personuppgifter genom en riskanalys.
En användares identitet och autentisering är tillsammans en grundläggande kontroll av att användaren är just den som den utger sig för att vara. Denna kontroll lägger grunden för kommunens förmåga att förhindra obehörig åtkomst och i övrigt möta de krav som ställs på informationssäkerhet i flera lagar och andra externa och interna krav. Kontrollen är på flera sätt en avgörande förutsättning för all digitalisering i kommunens verksamheter. Efter att användarens identitet är kontrollerad ska en behörighetsstruktur styra vilken information som användaren får tillgång till.
Åtkomst ges när samtliga tre komponenter har erhållits på ett korrekt sätt.
Särskilt om skyddade personuppgifter
Det är av stor betydelse att skyddade personuppgifter hanteras på säkert sätt så att uppgifterna inte blir åtkomliga för någon utöver de som måste ha åtkomst till dem för att nödvändiga uppgifter ska kunna utföras. Både medarbetare och kunder (t.ex. elever, brukare) kan ha skyddade personuppgifter och kan förekomma i IT-system eller på papper. Det är angeläget att verksamheterna hanterar skyddade personuppgifter på ett enhetligt och säkert sätt. Varje kontor behöver därför göra en noggrann genomgång av sin verksamhet och upprätta anvisningar för hanteringen av skyddade personuppgifter inom den egna verksamheten om så krävs.