Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-008 Product requirements
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, Redesign and Development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Software validation plan
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Cybersecurity
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • ORG Marco organizativo
      • OP Marco operacional
        • OP.PL Planificación
        • OP.ACC Control de acceso
        • OP.EXP Explotación
          • OP.EXP.1 Inventario de activos
          • OP.EXP.10 Protección de los registros de actividad
          • OP.EXP.11 Protección de las claves criptográficas
          • OP.EXP.2 Configuración de seguridad
          • OP.EXP.3 Gestión de la configuración
          • OP.EXP.4 Mantenimiento
          • OP.EXP.5 Gestión de cambios
          • OP.EXP.6 Protección frente a código dañino
          • OP.EXP.7 Gestión de incidentes
          • OP.EXP.8 Registro de la actividad de los usuarios
          • OP.EXP.9 Registro de la gestión de incidentes
        • OP.EXT Servicios externos
        • OP.NUB Servicios en la nube
        • OP.CONT Continuidad del servicio
        • OP.MON Monitorización del sistema
      • MP Medidas de protección
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Licenses and accreditations
  • External documentation
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • OP Marco operacional
  • OP.EXP Explotación
  • OP.EXP.2 Configuración de seguridad

OP.EXP.2 Configuración de seguridad

Documentos de referencia​

  • Guías CCN-STIC:
    • Serie CCN-STIC-500 - Guías para Entornos Windows
    • Serie CCN-STIC-600 - Guías para otros Entornos
    • Guía CCN-STIC-824 - Informe del Estado de Seguridad
    • Guía CCN-STIC-827 - Gestión y uso de dispositivos móviles
  • ISO/IEC 27000
  • NIST SP 800-53 rev4:
    • [CM-2] Baseline Configuration
    • [CM-6] Configuration Settings
    • [CM-7] Least Functionality
    • [SI-5] Security Alerts, Advisories, and Directives
  • Otras referencias:
    • SANS - CIS Critical Security Controls - Version 6.1
      • CSC.3 - Secure Configurations for Hardware and Software
      • CSC.9 - Limitation and Control of Network Ports
      • CSC.18 - Application Software Security
      • FDCC - Federal Desktop Core Configuration http://nvd.nist.gov/fdcc/index.cfm
    • USGCB - The United States Government Configuration Baseline http://usgcb.nist.gov/
    • Manageable Network Plan
      • Milestone 7: Manage Your Network, Part II (Baseline Management)

Guía de implantación​

  1. Todos los sistemas deben ser configurados de forma sistemática antes de entrar en producción. El organismo debe elaborar unos pocos perfiles de configuración para las diferentes actividades a que pueden ser dedicados, siendo típicos los siguientes:
  • usuarios normales (uso administrativo)
  • atención a clientes
  • gestión de proveedores (incluidos bancos)
  • desarrollo
  • operadores y administradores (técnicos de sistemas)
  • responsable de seguridad (consola de configuración)
  • auditoría

  1. La medida se instrumenta por medio de una lista de verificación (checklists) que se debe aplicar sistemáticamente a cada equipo antes de entrar en producción.

  2. En todos los perfiles de usuario, excepto en los de administrador, se debe bloquear la opción de que éste pueda cambiar la configuración del sistema o pueda instalar nuevos programas o nuevos periféricos (drivers).

  3. La configuración de seguridad debe incluir un perfil básico de auditoría de uso del equipo.

Previous
OP.EXP.11 Protección de las claves criptográficas
Next
OP.EXP.3 Gestión de la configuración
  • Documentos de referencia
  • Guía de implantación
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI LABS GROUP S.L.)