Årlig behörighetsrevision i IDAC

Behörighetsrevisionen är KI:s årliga kontroll av behörigheter som är manuellt godkända i IDAC . Syftet är att säkerställa att varje åtkomst är aktuell, motiverad och godkänd – och att endast behöriga personer har åtkomst till KI:s system och resurser.

Vad är en behörighetsrevision?

En behörighetsrevision i IDAC är en systematisk granskning av behörigheter som har tilldelats manuellt utöver medarbetarens ordinarie organisationsroll.

Dessa behörigheter kallas uttryckligen godkända och kännetecknas av att: 

  1. medarbetaren, chefen eller IDAC-administratör har ansökt om behörigheten, och
  2. behörigheten har godkänts innan den aktiveras. 

Revisionen säkerställer att varje behörighet fortfarande är relevant, korrekt och har en giltig anledning att vara aktiv - särskilt vid förändringar i roll, uppdrag eller organisatorisk tillhörighet. 

Varför behövs den? 

Den årliga revisonen är viktig för att: 

  • säkerställa att medarbetare har korrekta och nödvändiga behörigheter över tid,
  • upptäcka behörigheter som inte längre behövs,
  • upprätthålla KI:s krav på informationssäkerhet och efterlevnad av lagar och regelverk,
  • minska risken för otillåten åtkomst. 

Vem genomför revisionen?

Beroende på system utförs revisionen av chef och/eller resursägare: 

  • Chef – ansvarig för en specifik resurs där chefen är utsedd som ansvarig.
  • Resursägare – ansvarig för ett specifikt system eller en resurs. Om det finns flera resursägare (huvudägare och medägare), får de samma behörighetsrevision.

Revisionen genomförs en gång per år och kan delas upp i omgångar vid många behörigheter. Resursägare/chef får ett automatiserat mejl från IDAC när det är dags att agera på en behörighetsrevision.

När sker revisionen? 

Behörighetsrevisionen genomförs en gång per år, på våren eller hösten, utifrån den överenskommelse som togs fram när systemet anslöts till IDAC. 

Så går det till 

1. Du får ett mejl från IDAC

Du som ansvarig (resursägare, chef eller utnämnd ansvarig) får ett mejl med en länk som tar dig till IDAC med en sammanställning av de behörigheter du ansvarar för.

Om det finns flera resursägare, alltså huvudägare med medägare, kommer samtliga att få samma mejl med länk till samma behörighetsrevision. I dessa fall behöver ni själva föra dialog om vem som tar ansvar för vilka delar i behörighetsrevisionen.

2. Granska

Kontrollera att varje behörighet är aktuell, motiverad och korrekt.

Om du har många behörigheter att hantera, kan du redigera flera poster eller rader samtidigt. 

Du kan även spara dina genomförda granskningar för att kunna ta beslut vid ett senare tillfälle. 

3. Besluta

Godkänn eller avvisa tilldelade behörigheter direkt i IDAC. Vid avslag bör du ange en kort motivering i fältet Kommentarer (Action comment) eftersom den visas för mottagaren i mejlet som följer beslut.

Bra att känna till  

  • Idag kan endast Användaren själv förlänga sina behörigheter i IDAC via tjänsten "Utöka åtkomst". Läs mer på sidan IDAC för medarbetare.
  • Resursägare får automatiskt åtkomst till sin resurs/grupp. Mer om detta finns att läsa på IDAC för resursägare. 

Om du får behörighetsrevision på okända resurser 

Om du som chef får en behörighetsrevision på resurser som projektmappar eller applikationer, och du inte känner till vad det gäller, kan det bero på att den tidigare ägaren var en av dina medarbetare.

Om medarbetaren inte har överfört ägarskapet till någon annan har ansvaret automatiskt gått vidare till dig som närmaste chef. Om detta händer, behöver du som resursägare utreda detta tillsammans med berörda för att fastställa vem som ska vara ansvarig.

Ordlista med relevanta begrepp

Attest / Godkännande: Processen där resursägare eller chef granskar och beslutar om en ansökt behörighet ska beviljas.

Behörighet: Rättighet som ger en användare åtkomst till ett system, en resurs eller en funktion.

Behörighetsansökan: En formell begäran om åtkomst till en specifik behörighet i IDAC.

Efterlevnad: Att behörigheter och åtkomster följer KI:s riktlinjer, regler, lagar och säkerhetskrav.

IDAC: KI:s plattform för identitet- och behörighetshantering.

IDAC-administratör: Person med utökade rättigheter att administrera användare och behörigheter i IDAC.

Implicit behörighet / Implicit tilldelning: Behörighet som tilldelas automatiskt, exempelvis för att den ingår i en annan behörighet eller baseras på användarens identitet i organisationen.

Organisatorisk tillhörighet: Vilken institution, enhet eller organisatorisk roll en användare tillhör – påverkar ofta vilka automatiska behörigheter som ges.

Resurs: Ett objekt i IDAC som går att tilldela behörigheter till – till exempel ett system, en roll, en grupp eller en funktion.

Resursägare: Person som ansvarar för en resurs och för att godkänna eller avslå behörighetsansökningar till den.

Roll: En definierad åtkomstprofil som innehåller en uppsättning behörigheter och som ofta tilldelas utifrån funktion eller arbetsuppgift.

Rollpaket: En samling av flera behörigheter som tilldelas tillsammans.

Slutdatum / Giltighetstid: Den tidpunkt då en behörighet automatiskt upphör att gälla om den inte förlängs.

Systemägare / Beställare: Person som sätter övergripande direktiv för hur behörigheter till ett system ska hanteras i IDAC.

Uttryckligen godkända:  En behörighet som tilldelas manuellt och medvetet till en medarbetare, baserat på ett specifikt behov, arbetsuppgift eller roll. Medarbetaren, chef eller IDAC-administratör ansöker om behörigheten, och den måste godkännas av resursägare eller chef innan den blir aktiv.