Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-008 Product requirements
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, Redesign and Development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Software validation plan
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Cybersecurity
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • ORG Marco organizativo
      • OP Marco operacional
        • OP.PL Planificación
          • OP.PL.1 Análisis de Riesgos
          • OP.PL.2 Arquitectura de Seguridad
          • OP.PL.3 Arquitectura de Seguridad
          • OP.PL.4 Dimensionamiento y Gestión de Capacidades
          • OP.PL.5 Componentes Certificados
        • OP.ACC Control de acceso
        • OP.EXP Explotación
        • OP.EXT Servicios externos
        • OP.NUB Servicios en la nube
        • OP.CONT Continuidad del servicio
        • OP.MON Monitorización del sistema
      • MP Medidas de protección
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Licenses and accreditations
  • External documentation
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • OP Marco operacional
  • OP.PL Planificación
  • OP.PL.1 Análisis de Riesgos

OP.PL.1 Análisis de Riesgos

Documentos de referencia​

  • Guías CCN-STIC:
    • 470H1 - Manual de usuario PILAR. Análisis y gestión de riesgos
    • 470H2 - Manual de usuario PILAR. Análisis de impacto y continuidad del negocio
    • 472F - Manual de usuario PILAR BASIC
    • 473E - Manual de usuario µPILAR
  • Son de especial relevancia los siguientes principios básicos:
    • Artículo 5. La seguridad como un proceso integral.
    • Artículo 6. Gestión de la seguridad basada en los riesgos.
  • ISO/IEC 27000
    • 27001:2013
      • 6.1 - Acciones para abordar riesgos y oportunidades
      • 6.1.1 - General
      • 6.1.2 - Evaluación de riesgos
      • 6.1.3 - Tratamiento de los riesgos
      • 8.2 - Evaluación de riesgos
      • 8.3 - Tratamiento de los riesgos
  • NIST SP 800-53 rev.4
    • [RA] Risk Assessment
    • [PM-9] Risk Management Strategy
  • Otras referencias:
    • Magerit v3:2012 - Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información; Ministerio de Administraciones Públicas; Consejo Superior de Administración Electrónica. http://administracionelectronica.gob.es/
    • UNE 71504 - Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información; AENOR Agencia Española de Normalización
    • NIST SP 800-30 - Risk Management Guide for Information Technology Systems
    • NIST SP 800-37 - Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach
    • NIST SP 800-39 - Managing Risk from Information Systems: An Organizational Perspective
    • ISO/IEC 27005 - Information security risk management
    • ISO/IEC 31000 - Gestión del riesgo - Principios y directrices

Guía de implantación​

  1. Empleamos la expresión “análisis de riesgos” en el sentido de “risk assessment”[^4] en la terminología de ISO.

  2. El análisis de riesgos permite:

  • Validar el conjunto de medidas de seguridad implantado,
  • Detectar la necesidad de medidas adicionales y
  • Justificar el uso de medidas de protección alternativas.

  1. Todo análisis de riesgos debe identificar y priorizar los riesgos más significativos a fin de conocer los riesgos a los que estamos sometidos y tomar las medidas oportunas, técnicas o de otro tipo.

  2. El análisis de riesgos debe ser una actividad recurrente; es decir, se debe mantener actualizado.

  3. El aspecto formal exige que el análisis esté documentado y aprobado. La documentación debe incluir los criterios utilizados para seleccionar y valorar activos, amenazas y salvaguardas.

  4. Un análisis de riesgos debe ser realizado:

  • Durante la especificación de un nuevo sistema, para determinar los requisitos de seguridad que deben incorporarse a la solución,
  • Durante el desarrollo de un nuevo sistema, para analizar opciones,
  • Durante la operación del sistema, para ajustar a nuevos activos, nuevas amenazas, nuevas vulnerabilidades y nuevas salvaguardas.
  1. Todo sistema opera bajo una situación de cierto riesgo residual. El riesgo residual debe estar documentado y aprobado por el responsable de la información y del servicio correspondiente(s).
Previous
OP.PL Planificación
Next
OP.PL.2 Arquitectura de Seguridad
  • Documentos de referencia
  • Guía de implantación
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI LABS GROUP S.L.)