Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-008 Product requirements
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, Redesign and Development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Software validation plan
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Cybersecurity
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • ORG Marco organizativo
      • OP Marco operacional
        • OP.PL Planificación
        • OP.ACC Control de acceso
          • OP.AAC.1 Identificación
          • OP.AAC.2 Requisitos de acceso
          • OP.AAC.3 Segregación de funciones y tareas
          • OP.AAC.4 Proceso de gestión de derechos de acceso
          • OP.AAC.5 Mecanismo de autenticación
          • OP.ACC.6 Acceso local
          • OP.ACC.7 Acceso remoto
        • OP.EXP Explotación
        • OP.EXT Servicios externos
        • OP.NUB Servicios en la nube
        • OP.CONT Continuidad del servicio
        • OP.MON Monitorización del sistema
      • MP Medidas de protección
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Licenses and accreditations
  • External documentation
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • OP Marco operacional
  • OP.ACC Control de acceso
  • OP.AAC.3 Segregación de funciones y tareas

OP.AAC.3 Segregación de funciones y tareas

Guía de implantación​

  1. La segregación de funciones tiene dos objetivos:
  • prevenir errores
  • impedir el abuso de privilegios por parte de los usuarios autorizados

  1. Debe documentarse un esquema de funciones y tareas en el que se contemplen las que son incompatibles en una misma persona. La incompatibilidad debe garantizar que para llevar a cabo un proceso o actividad crítica siempre se requieren al menos 2 personas.

  2. Debe establecerse un procedimiento de asignación de personas a funciones y tareas a personas que garantice que no se viola el esquema anterior, ni cuando se asignan responsabilidades inicialmente, ni cuando se actualizan.

  3. Hay que evitar que las personas que trabajan en la operación diaria del sistema participen en el desarrollo de aplicaciones (desarrolladores) o en su configuración (administradores).

  • nadie puede autorizarse a sí mismo
  • los desarrolladores no pueden modificar datos de explotación
  • los desarrolladores no pueden pasar software a explotación
  • los desarrolladores no pueden configurar software en explotación
  • los operadores ni desarrollan software ni pueden modificar los desarrollos
  • los usuarios ni desarrollan ni pueden modificar los desarrollos
  • los usuarios ni configuran ni pueden modificar la configuración

  1. Hay que evitar que las personas que trabajan en la auditoría o supervisión participen en cualquier otra función.

  2. Deberá prestarse una especial atención a los roles asociados a cuentas de administración del sistema (administración de equipos, de aplicaciones, de comunicaciones, de seguridad), fragmentando las funciones administrativas entre varias personas cuando la categoría del sistema lo requiera. En todo caso el número de personas con derechos de administración debe ser lo más reducido posible sin menoscabo de la usabilidad del sistema.

Documentos de referencia​

  • Guías CCN-STIC:
    • Guía CCN-STIC-801 - ENS Responsables y funciones
  • ISO/IEC 27000
    • 27002:2013:
      • 6.1.2 - Segregación de tareas
  • NIST SP 800-53 rev4:
    • [AC-5] Separation of Duties
Previous
OP.AAC.2 Requisitos de acceso
Next
OP.AAC.4 Proceso de gestión de derechos de acceso
  • Guía de implantación
  • Documentos de referencia
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI LABS GROUP S.L.)