NSIS
Er I klar til type 2-revision af jeres IdP?
I har formentlig allerede bestået den første revision af NSIS.
Nu venter type 2-revisionen med fokus på efterlevelse af det, I har lovet.
NIBIS Konsulenterne hjælper jer, så I ved, hvor udfordringerne er.
Type 2-revision af NSIS stiller yderligere krav
Overholdelse af NSIS er en forudsætning for at kunne anvende MitID og Nemlog-in3 i kommunerne.
De fleste kommuner er nu vel igennem første fase med implementering og revision.
Men det er kun begyndelsen.
I type 2-revisionen vil revisor udelukkende have fokus på, om I har efterlevet det, I har lovet ved type 1-revisionen.
Revisoren vil kigge på:
- Har I gennemført kontrollerne?
- Har I arbejdet med forbedring af jeres ISMS?
- Virker procedurerne?
Med andre ord er revisionen en kontrol af, om jeres arbejde med NSIS er velimplementeret og korrigeret, hvor det har vist sig nødvendigt.
Sådan får i hjælp til at blive klar til NSIS-revision type 2
Vi hjælper jer med at gøre status på jeres arbejde, så I ved, hvor eventuelle udfordringer er.
Vi gennemgår systematisk:
- Hvilke styrker og svagheder har der været ved jeres gennemførte kontroller?
- Hvordan har jeres arbejde med forbedring af ISMS været?
- Hvordan virker procedurerne?
I får en overskuelig rapport, som viser jer præcis, hvor I skal sætte ind her og nu, så I er klar til, hvad end revisoren måtte finde under type 2-revisionen.
Kontakt os for at aftale et møde om, hvordan vi hjælper jer.
Ofte stillede spørgsmål om NSIS
Hvad er NSIS?
NSIS står for National Standard for Identiteters Sikringsniveauer.
For at kommunerne kan overgå til MitId og Nemlog-in3 stiller Digitaliseringsstyrelsen krav om, at kommunerne overholder den nationale standard for identiteters sikkerhedsniveauer.
Der kan ikke åbnes for forbindelsen mellem NemLogin3 og kommunens IdP, før kommunen har indsendt en ansøgning til Digitaliseringsstyrelsen og vedlagt en revisorerklæring, som viser, at man har implementeret NSIS tilfredsstillende.
Hvad er formålet med NSIS?
Formålet med standarden er at skabe en fælles ramme for tillid til digitale identiteter og digitale identitetstjenester gennem en række tekniske og organisatoriske krav.
Hvad er kravene i NSIS?
En del af kravene vedrører brugerstyringen, også kaldet for IdP (Identity Provider).
Brugerstyring omfatter brugerkonti og -rettigheder og skal sikre tilstrækkelige processer omkring oprettelse af brugere, administration af rettigheder og nedlæggelse af brugerkonti, så der udelukkende tildeles rettigheder ud fra arbejdsbetingede behov.
Derudover stiller NSIS krav om, at der er etableret et effektivt ledelsesinformationssystem for informationssikkerhed (ISMS), der er i overensstemmelse med principperne i ISO 27001.
Hvornår gælder NSIS?
Når I indgår i en tillidskæde, hvor andre stoler på jer – og I over for disse parter udtaler jer om et sikringsniveau – gælder NSIS. Det sker typisk ved at signere et token – en billet – hvor et NSIS-sikringsniveau indgår.
Jeres overholdelse af NSIS sikrer, at modtageren kan stole på det sikkerhedsniveau, der bliver kommunikeret.
Har I en lokal IdP, broker eller et andet it-system, som ikke kommunikerer et NSIS-sikringsniveau, er disse altså ikke omfattet af NSIS.
Hvor finder jeg NSIS-standarden?
Du finder den gældende standard på Digitaliseringsstyrelsens hjemmeside her: https://digst.dk/it-loesninger/standarder/
Kom sikkert og godt på vej til at blive compliant i NSIS
NIBIS Konsulenterne har erfaring med arbejdet omkring implementering af idP-løsning samt arbejdet med at udfylde bilag A (Skema for NSIS anmeldelse) og sikre efterlevelse af kravene.