Foretag en gap-analyse, som sammenholder NSIS-krav på det ønskede sikringsniveau med jeres nuværende processer og systemer.
Det omfatter bl.a. følgende:
- Tag stilling til ønsket proces for identitetssikring: Skal brugerne fx første gang logge på med privat MitID? Skal det første log-in ske i en lokal indrulleringsapplikation eller centralt i NemLog-in? Skal brugerne møde fysisk op og vise pas, kørekort mv.
- Afklar, hvilke typer identifikationsmidler I vil udstede lokalt. Tag også stilling til, hvordan I vil udlevere og håndtere dem. En typisk løsning vil være at kombinere et brugernavn og kodeord med ekstra faktorer på særlige hardwareenheder, fx apps på mobile enheder.
- Afklar, hvordan I teknisk vil etablere servicen for autentifikation, og hvordan den kan understøtte de valgte sikringsniveauer. Den lokale IdP skal udstille en SAML snitflade, som opfylder kravene i ’OIOSAML Local IdP Profile’.
- Afklar krav til driftsfaciliteter og teknisk sikkerhed. Er nuværende driftsfaciliteter modne nok, eller skal de forbedres?
- Afdæk behov for uddannelse af brugere, der skal arbejde med fx identitetssikring.
- Etablér et ledelsessystem for informationssikkerhed (ISMS). Hvis I allerede har et, skal I tilpasse det, så det dækker processer for identitetshåndtering.
- Afklar håndtering af underleverandører af fx software og drift, som leverer dele af den lokale implementering.
- Beskriv processer, sikkerhedsdesign og tekniske systemer. Sørg for, at design bliver reviewet.
- Planlæg, hvordan systemer og processer kan auditeres af en ekstern revisor. Det er fx vigtigt, at I sikrer et tilstrækkeligt revisionsspor, så revisor kan konstatere, at processer, personer og systemer udfører de nødvendige kontroller.