Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-008 Product requirements
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, Redesign and Development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Software validation plan
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Cybersecurity
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • ORG Marco organizativo
        • ORG.1 Política de Seguridad
        • ORG.2 Normativa de Seguridad
        • ORG.3 Procedimientos Operativos de Seguridad
        • ORG.4 Proceso de Autorización
      • OP Marco operacional
      • MP Medidas de protección
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Licenses and accreditations
  • External documentation
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • ORG Marco organizativo
  • ORG.1 Política de Seguridad

ORG.1 Política de Seguridad

☑️Aplicación de la medida

De acuerdo al ANEXO II, 2 Selección de medidas de seguridad, la medida de seguridad ORG.1 Política de Seguridad sí aplica dada la categoría de seguridad del sistema.

Documentos de referencia​

  • Guías CCN-STIC
    • Guía CCN-STIC-801 - ENS Responsables y Funciones
    • Guía CCN-STIC-805 - Política de Seguridad
    • Guía CCN-STIC-402 - Organización y Gestión para la Seguridad de los Sistemas TIC
    • Guía CCN-STIC-201 - Organización y Gestión para la Seguridad de las STIC
  • Son de especial relevancia los siguientes principios básicos:
    • Artículo 5. La seguridad como un proceso integral.
    • Artículo 9. Reevaluación periódica.
  • ISO/IEC 27000
    • 27001:2013
      • 4 - Contexto de la organización
      • 5.2 - Política
      • 5.3 - Roles, responsabilidades y autoridad
    • 27002:2013
      • 6.1.1 - Roles y responsabilidades relativas a la seguridad de la información
      • 18.1.1 - Identificación de legislación aplicable y requisitos contractuales
  • NIST SP 800-53 rev.4
    • [PM-2] Senior Information Security Officer
    • [PM-11] Mission/Business Process Definition

Guía de implantación​

  1. La política de seguridad es un documento de alto nivel que define el significado de “seguridad de la información” en una organización. El documento debe estar accesible y ser conocido por todos los miembros de la organización y redactado de forma sencilla, precisa y comprensible. Conviene que sea breve, dejando los detalles técnicos para otros documentos normativos.

  2. Establece las autoridades dentro de la organización: roles y funciones. La política tiene carácter de obligado cumplimiento.

Alcance​

Esta política aplica a todos nuestros sistemas de información, a las personas que conforman nuestra organización y a nuestros prestadores de servicios o proveedores de soluciones TIC.

Misión y objetivos​

Nuestra misión está recogida en nuestro manual de calidad, concretamente en el Annex 1 Quality Policy. Este documento incluye la misión, visión y valores de la organización, así como los objetivos estratégicos que guían nuestras acciones y decisiones.

Los objetivos en materia de seguridad que pretendemos garantizar con la presente política serán:

  • Garantizar la confidencialidad, integridad, autenticidad de la información y la continuidad en la prestación de los servicios.
  • Implementar medidas de seguridad en función del riesgo.
  • Formar y concienciar a los integrantes de nuestra empresa respecto a la seguridad de la información. Implementar medidas de seguridad que permitan la trazabilidad de los accesos y respetar, entre otros, el principio de mínimo privilegio, reforzando también el deber de confidencialidad de las personas usuarias en relación con la información que conocen en el desempeño de sus funciones.
  • Desplegar y controlar la seguridad física haciendo que los activos de información se encuentren en áreas seguras, protegidos por controles de acceso, atendiendo a los riesgos detectados.
  • Establecer la seguridad en la gestión de comunicaciones mediante los procedimientos necesarios, logrando que la información que sea transmitida a través de redes de comunicaciones sea adecuadamente protegida.
  • Controlar la adquisición, desarrollo y mantenimiento de los sistemas de información en todas las fases del ciclo de vida de los sistemas de información, garantizando su seguridad por defecto.
  • Controlar el cumplimiento de las medidas de seguridad en la prestación de los servicios, manteniendo el control en la adquisición e incorporación de nuevos componentes del sistema.
  • Gestionar los incidentes de seguridad para la correcta detección, contención, mitigación y resolución de estos, adoptando las medidas necesarias para que los mismos no vuelvan a reproducirse.
  • Proteger la información personal, adoptando las medidas técnicas y organizativas en atención a los riesgos derivados del tratamiento conforme a la legislación en materia de protección de datos.
  • Supervisar de forma continuada el sistema de gestión de la seguridad, mejorando y corrigiendo las ineficiencias detectadas.

Principios de la Política​

Nuestra política de seguridad se fundamenta en los siguientes principios:

  • Alcance estratégico: la seguridad de la información debe contar con el compromiso y apoyo de todos los niveles de la entidad y deberá coordinarse e integrarse con el resto de las iniciativas estratégicas de forma coherente.
  • Seguridad integral: la seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con los sistemas de la información, procurando evitar cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información debe considerarse como parte de la operativa habitual, estando presente y aplicándose desde el diseño inicial de los sistemas TIC.
  • Gestión de la seguridad basada en el riesgo: la gestión de la seguridad basada en los riesgos identificados permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. Las medidas de seguridad se establecerán en función de los riesgos a que esté sujeta la información y sus sistemas. Y serán proporcionales al riesgo que tratan, debiendo estar justificadas. Se tendrán también en cuenta los riesgos identificados en el tratamiento de datos personales.
  • Prevención, detección, respuesta y conservación con la implementación de acciones preventivas de incidentes, minimizando las vulnerabilidades detectadas, evitando la materialización de las amenazas y, cuando estas se produzcan, dando una respuesta ágil para restaurar la información o servicios prestados, garantizando una conservación segura de la información.
  • Existencia de líneas de defensa, la estrategia de seguridad de la entidad se diseña e implementa en capas de seguridad.
  • Vigilancia continua y re-evaluación periódica: la entidad implementa medios de detección y respuesta a actividades o comportamientos anómalos. Además, de otros que permitan una evaluación continuada del estado de seguridad de los activos. Existirá, también, un proceso de mejora continua para la revisión y actualización de las medidas de seguridad, de manera periódica, conforme a su eficacia y la evolución de los riesgos y sistemas de protección.
  • Seguridad por defecto y desde el diseño: los sistemas deben estar diseñados y configurados para garantizar la seguridad por defecto. Los sistemas proporcionarán la funcionalidad mínima necesaria para prestar el servicio para el que fueron diseñados.
  • Diferenciación de responsabilidades, en aplicación de este principio las funciones del Responsable de la Seguridad y del Responsable del Sistema estarán diferenciadas.

Marco normativo​

Con el objetivo de plasmar por escrito las responsabilidades que podamos tener por nuestra naturaleza legal, por nuestra obligación a atender normativa nacional o sectorial y por obligaciones contraídas con terceros, en nuestro manual de calidad, concretamente en el Annex 1 Quality Policy, indicamos las normas que nos aplican.

En especial, cabe señalar que al ser un fabricante de dispositivos sanitarios, nos regimos por el Reglamento sobre los productos sanitarios (Regulation (EU) 2017/745), que establece requisitos específicos para la seguridad de la información en el ámbito de los dispositivos médicos.

En lo que respecta al Esquema Nacional de Seguridad, al ser una entidad privada que presta servicios a entidades del sector público, nos regimos por el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

Artículo 2. Ámbito de aplicación.

  1. Este real decreto también se aplica a los sistemas de información de las entidades del sector privado, incluida la obligación de contar con la política de seguridad a que se refiere el artículo 12, cuando, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presten servicios o provean soluciones a las entidades del sector público para el ejercicio por estas de sus competencias y potestades administrativas.

Organización de seguridad​

Modelo de gobernanza​

De acuerdo al artículo 11 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad:

Artículo 11. Diferenciación de responsabilidades.

  1. En los sistemas de información se diferenciará el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema.
  2. La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la explotación de los sistemas de información concernidos.
  3. La política de seguridad de la organización detallará las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos.

Para establecer las responsabilidades y funciones, seguimos el modelo de la Guía CCN-STIC 801 (junio de 2025). Dicha guía diferencia tres grandes bloques de responsabilidad:

  • Gobierno: La responsabilidad legal y la especificación de las necesidades o requisitos, que corresponde a la Dirección de la entidad y a los responsables de la información y del servicio
  • Supervisión: La supervisión de la seguridad, que corresponde al Responsable de la Seguridad y al Delegado de Protección de Datos
  • Operación: La operación de los sistemas, que corresponde al Responsable del Sistema y a los

En nuestro caso, atendiendo a la estructura organizativa de nuestra empresa, las funciones de cada uno de los roles se distribuyen de la siguiente manera:

  • JD-001 General Manager:
    • Titular de la entidad, máxima autoridad responsable de la seguridad de la información.
    • Responsable de la información
    • Responsable del servicio
  • DPD:
    • Delegado de Protección de Datos
    • Responsable de la seguridad
  • JD-007 IT Manager:
    • Responsable del sistema

En lo que respecta a la relación entre las obligaciones en materia de seguridad de la información y las obligaciones en materia de protección de datos, se establece que:

Comités​

Algunas responsabilidades pueden instrumentalizarse por medio de Comités, que se constituirán como órganos colegiados, de conformidad con lo señalado en la Ley 40/2015. Sin embargo, la creación de Comités no es obligatoria y dependerá de las necesidades de cada entidad. En nuestro caso, hemos optado por no crear comités, sino por designar personas responsables para cada función.

Nivel de gobierno​

En el nivel de gobierno se encuentran las figuras del Titular de la entidad (la Dirección), el Responsable de la Información y el Responsable del Servicio. Estas figuras son clave para establecer las bases de la seguridad de la información en la organización.

Dirección de la Entidad​
Referencia Normativa​

La derivada de la aplicación de la Ley 40/2015 / otra normativa sectorial considerada (Ley 7/1985, de 2 de abril, reguladora de las bases de régimen local, ...)

Funciones y/o Características​

La figura de la Dirección de la entidad (personificada en su Titular) cobra una importancia capital: de la Dirección depende el compromiso de la entidad con la seguridad y su adecuada implantación, gestión y mantenimiento

Entidades del Sector Público del ámbito de aplicación del ENS, cuyo titular ostenta la máxima responsabilidad en el desarrollo de las competencias de la entidad, incluyendo las de seguridad de la información, de conformidad con lo dispuesto en las funciones de la normativa sectorial que le aplique en función de la tipología de la entidad.

Responsable de la Información​
tip

Las figuras de Responsable de la Información y Responsable del Servicio, debido a la estructura de nuestra organización, recaen sobre la misma persona. Ambas figuras además son coincidentes asimismo con la del Titular de la entidad.

Referencia Normativa​

ENS, arts. 13, 41, Op.exp.7, Mp.info.2

Funciones y/o Características​

En terminología del ENS, el Responsable de la Información tiene la potestad de determinar los niveles de seguridad de la información.

  • Persona física singular o un órgano colegiado.
  • Determina los requisitos (de seguridad) de la información tratada.
  • Efectúa las valoraciones de categorías de seguridad (art. 40 del ENS).
  • Recibe información sobre incidentes y actuaciones realizadas.
  • Determinación y documentación del nivel de seguridad requerido para cada información.
Responsable del Servicio​
Referencia Normativa​

ENS, art. 13, art. 41, Op.exp.7 r2.3

Funciones y/o Características​

El ENS asigna al Responsable del Servicio la función principal de establecer los requisitos del servicio en materia de seguridad. O, en terminología del ENS, la potestad de determinar los niveles de seguridad de los servicios.

  • Persona física singular o un órgano colegiado.
  • Determina los requisitos de los servicios prestados.
  • Realiza valoraciones de categorías de seguridad.
  • Es informado sobre incidentes y actuaciones para su resolución.

Aunque la aprobación formal de los niveles corresponda al Responsable del Servicio, se puede recabar una propuesta al Responsable de la Seguridad y conviene que se escuche la opinión del Responsable del Sistema y del Delegado de Protección de Datos

Nivel de supervisión​

En el nivel de supervisión se encuentran las figuras del Responsable de la Seguridad y del Delegado de Protección de Datos, que tienen funciones diferenciadas pero complementarias.

Responsable de la Seguridad​
Responsable de la Seguridad = DPD

La AEPD ha señalado la posibilidad de que el Delegado de Protección de Datos coincida con el Responsable de la Seguridad del ENS

en aquellas organizaciones que, por su tamaño y recursos, no pudieran observar dicha separación, sería admisible la designación como delegado de protección de datos de la persona que ejerciera las funciones de responsable de seguridad del ENS, siempre que en la misma concurran los requisitos de formación y capacitación previstos en el RGPD

Referencia Normativa​

ENS, arts. 13, 28, 31, 41, Op.exp.5, Mp.info.1, Anexo III

Funciones y/o Características​
  • Determina decisiones para satisfacer requisitos de seguridad.
  • Supervisa implantación de medidas necesarias.
  • Reporta sobre cumplimiento.
  • Canaliza y supervisa cumplimiento de requisitos en servicios externalizados.
  • Analiza informes de auditoría.
  • Determina categoría de seguridad del sistema.
  • Aprueba cambios de alto riesgo antes de su implementación.
  • Implementa requisitos de protección de datos personales.
caution

El Responsable de la Seguridad debe ser una figura diferenciada del Responsable del Sistema, no habiendo dependencia jerárquica entre ambos

Delegado de Protección de Datos​
Referencia Normativa​

ENS, art. 3, Mp.info.1

Funciones y/o Características​
  • Asesora en análisis de riesgos y evaluaciones de impacto.
  • Supervisa la implementación de requisitos en protección de datos personales.
  • Informa sobre incidentes relacionados con datos personales.

Nivel de operación​

En el nivel de operación se encuentran las figuras del Responsable del Sistema y los Administradores del sistema/de la seguridad, que tienen funciones específicas en la implementación y gestión de la seguridad de la información.

Responsable del Sistema​
Referencia Normativa​

ENS, arts. 13, 31, ANEXO III

Funciones y/o Características​

El Responsable del Sistema tiene entre otras funciones:

  1. Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, incluyendo sus especificaciones, instalación y verificación de su correcto funcionamiento.
  2. Adopción de las medidas correctoras derivadas de las auditorías de seguridad.
  • Diferenciado del Responsable de la Seguridad.
  • Desarrolla la implementación concreta de seguridad.
  • Supervisa operación diaria.
  • Adopta medidas correctoras derivadas de auditorías.
  • Puede suspender temporalmente tratamientos o servicios por deficiencias graves.
Administradores del sistema/de la seguridad​
Referencia Normativa​

ENS, Art.13, Op.acc.1 r1.1, Op.acc.1 r1.3, Op.exp.3 r2.1

Funciones y/o Características​
  • Delegados del Responsable del Sistema o del Responsable de la Seguridad.
  • Mantienen lista actualizada de usuarios autorizados.
  • Configuran el sistema operativo y aplicaciones del sistema.

Mecanismos de coordinación​

El Responsable de la Seguridad colaborará con el Delegado de Protección de Datos de la Entidad en la gestión de los incidentes que afecten a datos personales y, en su caso, a la notificación a las autoridades de control y a las personas afectadas.

En el supuesto de externalizaciones de servicios, la entidad tercera debe disponer de un Punto de Contacto (POC), sin perjuicio de otras figuras que puedan requerirse por normativa sectorial especifica como la de protección de datos personales.

Los Responsables del Sistema Delegados se harán cargo, en su ámbito competencial, de todas aquellas acciones delegadas por el Responsable del Sistema relacionadas con la operación, mantenimiento, instalación y verificación del correcto funcionamiento del sistema de información

Procedimientos de designación de personas​

Es función de la Dirección designar:

  • A los Responsables de la Información, del Servicio, de la Seguridad y del Sistema
  • A los responsables delegados de la Seguridad y del Sistemas, a propuesta de los Responsables titulares correspondientes
  • A los Administradores de la seguridad y del sistema, así como los delegados de estos, a propuesta del Responsable de la Seguridad y del Sistema respectivamente

Los responsables de la Información y/o del Servicio podrán configurarse como un órgano colegiado que será constituido de acuerdo con la normativa reguladora de la entidad. Dicho órgano colegiado podrá ser el propio Comité de Seguridad de la Información en entidades de pequeño tamaño.

El procedimiento de nombramiento de los responsables mencionados en el párrafo anterior debe hacerse mediante un registro formal, firmado por la persona que asigna la responsabilidad y por la persona designada, que debe incluir al menos los siguientes datos:

  • Nombre y apellidos de la persona designada
  • Cargo o puesto de trabajo
  • Fecha de inicio de la responsabilidad
  • Fecha de finalización de la responsabilidad (si aplica)

Los nombramientos podrán ser revisados cada dos años, pudiendo realizarse antes cuando el puesto quede vacante o por un incumplimiento reiterado de sus funciones, previo apercibimiento.

Asimismo, disponemos de un mecanismo que permite la sustitución de los responsables designados en caso de ausencias de larga duración o aquellas de menor duración pero que puedan provocar ineficiencias en las funciones de cada uno de ellos que afecten al sistema. Para ello, utilizamos el manual de calidad, concretamente el Annex 4 Substitution table, donde se recogen los sustitutos para cada job description.

Resolución de conflictos​

En el caso de conflictos entre los diferentes responsables, el Comité de Seguridad de la Información podrá dirimir las discrepancias.

Gestión del personal​

La gestión del personal, incluyendo la formación de nuestros empleados, se gestiona de acuerdo con el procedimiento GP-005 GP-005 Human Resources and Training, que establece las pautas para la selección, formación y gestión del personal, asegurando que todos los empleados son conscientes de sus responsabilidades en materia de seguridad de la información. Estas labores recaen sobre el JD-006 Human Resources Manager.

Directrices de estructuración documental​

Las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso.

A grandes rasgos,se definen los instrumentos que se utilizarán para el desarrollo de la Política en la nuestra empresa.

Concienciación y formación​

Con el objetivo de lograr la plena conciencia respecto a que la seguridad de la información afecta a todos los miembros de nuestra empresa y a todas las actividades, de acuerdo con el principio de Seguridad como proceso integral recogido en el Artículo 6 del ENS, llevamos a cabo acciones formativas. Esto tiene también el objetivo de articular los medios necesarios para que todas las personas que intervienen en el proceso y sus responsables jerárquicos tengan una sensibilidad hacia los riesgos que se corren.

La gestión del personal, incluyendo la formación de nuestros empleados, se gestiona de acuerdo con el procedimiento GP-005 GP-005 Human Resources and Training, que establece las pautas para la selección, formación y gestión del personal, asegurando que todos los empleados son conscientes de sus responsabilidades en materia de seguridad de la información. Estas labores recaen sobre el JD-006 Human Resources Manager.

Gestión de riesgos​

La forma de realizar el análisis de riesgos se detalla en el Anexo II del ENS, medida OP.PL.1 Análisis de riesgos, estableciendo una proporcionalidad entre el nivel de detalle del análisis y la categoría del sistema de información, con medidas de refuerzo en función de la categorización del sistema.

La gestión de riesgos se realizará de acuerdo con el procedimiento GP-013 Risk Management, que establece las pautas para la identificación, evaluación y tratamiento de los riesgos asociados a la seguridad de la información. Este procedimiento cumple con los requisitos del ENS, así como otros estándares internacionales más exigentes como la ISO/IEC 27005:2018, que es aplicable a nuestra empresa al ser un fabricante de dispositivos médicos. Este análisis contempla riesgos de múltiples dimensiones:

  • Riesgos derivados de la normativa de protección de datos, contando con el asesoramiento del Delegado de Protección de Datos.
  • Riesgos derivados de la normativa de seguridad de la información, siguiendo las pautas del ENS.
  • Riesgos derivados de la ciberseguridad, de acuerdo a las guías IMDRF Principles and Practices for Medical Device Cybersecurity (IMDRF/CYBER WG/N60FINAL:2020) y MDCG 2019-16 Guidance on Cybersecurity for medical devices (MDCG 2019-16).
  • Riesgos derivados de la normativa sectorial específica, como el Reglamento sobre los productos sanitarios (Regulation (EU) 2017/745), de acuerdo a ISO/IEC 27005:2018.
  • Riesgos derivados de la ingeniería de usabilidad, de acuerdo al estándar IEC 62366, así como el FDA guidance Applying Human Factors and Usability Engineering to Medical Devices.
  • Riesgos derivados del uso de inteligencia artificial, de acuerdo al Reglamento (UE) 2024/1689.

El análisis de riesgos es la base para determinar las medidas de seguridad que se deben adoptar, además de los mínimos establecidos en el Artículo 7 del ENS.

De acuerdo con el apartado 1.1.d del Anexo III del ENS se revisará y aprobará anualmente.

Recogidos en el procedimiento GP-013 Risk Management

Los siguientes elementos se recogen en el procedimiento GP-013 Risk Management:

  • Plan de análisis: Se define el alcance, los objetivos y la metodología del análisis de riesgos, así como los criterios para la identificación y evaluación de los riesgos.
  • Criterios de evaluación de riesgos: Se establecen los criterios para la evaluación de los riesgos, incluyendo la probabilidad de ocurrencia, el impacto y la criticidad de los activos.
  • Directrices de tratamiento: Se definen las directrices para el tratamiento de los riesgos identificados, incluyendo las medidas de seguridad a implementar y los responsables de su ejecución.
  • Proceso de aceptación del riesgo residual: Se establece el proceso para la aceptación del riesgo residual, incluyendo los criterios para su aceptación y los responsables de la decisión.
  • Integración con el análisis de riesgos en protección de datos: Se detalla cómo se integra el análisis de riesgos

Proceso de revisión de la política de seguridad​

  1. La Política de Seguridad de la Información es un documento que será aprobado formalmente por la Alta Dirección de la Organización u órgano con competencias. La Política se aprobará mediante una resolución o acuerdo que obligará a la entidad tanto internamente como frente a terceros (al afectar la seguridad de la información a los intereses de las penas que se relacionan con dicha entidad), por lo que deberá ser objeto de publicación, en páginas web, portales de transparencia o boletines oficiales, en función de la normativa sectorial que le sea de aplicación.

  2. Así mismo estará sujeto a un proceso de revisión regular que lo adapte a nuevas circunstancias, técnicas u organizativas, y evite que quede obsoleto.

  3. Por ello se establecerá un proceso organizativo que asegure que regularmente se revisa la oportunidad, idoneidad, completitud y precisión de lo que la Política establezca y sea sometido a aprobación formal por la Alta Dirección.

  4. El proceso de elaboración y aprobación debe explicitarse en la misma Política, sin perjuicio, de que, al tratarse de una aprobación mediante resolución o acuerdo, esté sometida a los trámites establecidos para la aprobación de resoluciones en las entidades dentro del alcance del ENS.

Contratación de servicios​

La selección y evaluación de proveedores se gestiona de acuerdo con el procedimiento GP-010 Purchases and suppliers evaluation. En el caso de contratar sistemas de información o en la adquisición de productos de seguridad, el responsable de compras o contratación deberá solicitar asesoramiento al Responsable de la Seguridad sobre los requisitos a solicitar a los licitadores, de conformidad con el artículo 19 del ENS. En caso de que el prestador de servicios contratado realice tratamientos de datos personales por cuenta de la entidad, además, deberá consultarse al Delegado de Protección de Datos.

En la contratación del suministro de un derecho de uso de activos en la nube deberá atenderse al contenido de la medida de seguridad OP.NUB Servicios en la nube y en las Guía que se desarrollen, siendo relevante, además, que el prestador cuente con un POC debidamente formado cuyo contacto deberá comunicar antes del inicio del contrato.

Gestión de incidentes de seguridad​

Disponemos de un procedimiento para la gestión ágil de los eventos e incidentes de seguridad que supongan una amenaza para la información y los servicios. Este procedimiento se integrará con otros relacionados con los incidentes de seguridad de otras normas sectoriales como la de protección de datos personales u otras que sean de aplicación, como la vigilancia de los dispositivos médicos.

De acuerdo a la guía CCN-STIC 817, la gestión de incidentes de seguridad se realizará de acuerdo a las siguientes pautas:

  • Administrador de Seguridad: Deberá llevar un registro actualizado de las incidencias detectadas, tanto comunicadas internamente dentro de la propia entidad como por terceras contratadas. Los incidentes se tramitarán conforme a lo establecido en la Guía CCN-STIC 817, asignando a cada registro una etiqueta con su clasificación. El incidente será comunicado a:
    • Administrador del Sistema: para que inicie las actividades de resolución y/o contención para evitar su propagación.
    • Responsable de la Seguridad: en todo caso, en los incidentes altos, muy altos o críticos (según la Guía CCN-STIC 817), deberá revisar la clasificación y, en su caso, comunicar al Titular de la entidad la necesidad de comunicar, con carácter inmediato, a las autoridades competentes (CCN-CERT, sin perjuicio de la comunicación a INCIBE en empresas privadas). Además, deberá tenerse en cuenta el impacto en la entidad de las Directiva NIS2 teniendo en cuenta que los incidentes significativos deben ser comunicados al CSIRT de referencia, con los plazos establecidos en otra normativa sectorial, y el intercambio de datos en ciberamenazas, sin perjuicio de las especialidades de las entidades consideradas como críticas.
    • Delegado de Protección de Datos: que tramitará la brecha conforme a la normativa sectorial y los criterios interpretativos de las autoridades de control, dentro del plazo y con los requisitos de la normativa sectorial.
  • Administrador del Sistema: Aislar el incidente para evitar la propagación a elementos ajenos a la situación de riesgo, bajo la supervisión del Responsable del Sistema que podrá suspender el sistema, debiendo comunicarlo de forma inmediata al Responsable de la Seguridad, de la Información y del Servicio y al Titular de la entidad.
  • Administrador del Sistema: Mantener y recuperar la información almacenada por el sistema de información y sus servicios asociados, teniendo en cuenta las indicaciones del Responsable del Sistema.
  • Administrador de Seguridad: Investigar el incidente: determinar el modo, los medios, los motivos y el origen del incidente, bajo la supervisión del Responsable de la Seguridad.
  • RSEG: Analizar y proponer salvaguardas que prevengan incidentes similares en el futuro, pudiendo solicitar la opinión del Responsable de la Información, del Servicio y del Delegado de Protección de Datos, en su caso. Proponer la comunicación al CCN-CERT al Titular de la entidad y gestionar la misma. En caso de ser una entidad prestadora de servicios, el POC deberá comunicar el incidente de forma inmediata al RSEG de la entidad contratante.
  • RSIS: Planificar la implantación de las salvaguardas en el sistema, implementadas por el Administrador del Sistema.
  • Comité de Seguridad de la Información: Proponer para su aprobación por la Dirección, el Plan de Mejora de la Seguridad, con su dotación presupuestaria correspondiente.
  • RSIS: Ejecutar el plan de mejora de la seguridad aprobado.
  • RSEG: Supervisar la implementación de dichas medidas, dando cuenta al Comité de Seguridad de la Información sobre el grado de ejecución.

Matriz RACI​

La matriz RACI que se expone a continuación es orientativa y cada entidad deberá adecuarla a su organización particular.

La matriz de la asignación de responsabilidades (RACI, por las iniciales inglesas de los tipos de responsabilidad) se utiliza generalmente en la gestión de proyectos para relacionar actividades con recursos (individuos o equipos de trabajo). De esta manera, se logra asegurar que cada una de las tareas esté asignada a un individuo o a un equipo.

RolDescripción
A
Accountable		Toma la decisión (y responde de ello). A veces se dice que Autoriza (el trabajo a realizar) y Aprueba (el trabajo finalizado y, a partir de ese momento, se hace responsable de él).
Solo puede existir un A por cada tarea.
Se trata de la figura que debe asegurar que se ejecutan las tareas.
R
Responsible		Realiza el trabajo (previamente autorizado por A) y es responsable por su realización.
Lo habitual es que exista un solo R. Si existe más de uno, entonces el trabajo debería ser subdividido a un nivel más bajo.
Se trata de la figura que debe ejecutar las tareas.
C
Consulted		Se le consulta antes de tomar la decisión.
Este rol posee alguna información o capacidad necesaria para terminar el trabajo. Se le informa y se le consulta información (comunicación bidireccional).
I
Informed		Se le informa de las decisiones tomadas.
Este rol debe ser informado sobre el progreso y los resultados del trabajo. A diferencia del Consultado, la comunicación es unidireccional.
TareaDirecciónRINFORSERVRSEGRSISAS
Niveles de seguridad requeridos por la informaciónAIRC
Niveles de seguridad requeridos por el servicioIARC
Determinación de la categoría del sistemaIII
Análisis de riesgosAIIRC
Declaración de aplicabilidadACI
Medidas de seguridad adicionalesIIAC
Configuración de seguridadIIACR
Aceptación del riesgo residualACRI
Documentación de seguridadACI
Política de seguridadACCRC
Normativa de seguridadCCACI
Procedimientos de seguridadIICA
Implantación de las medidas de seguridadIICAR
Supervisión de las medidas de seguridadAIR
Estado de seguridad del sistemaIIAIR
Planes de mejora de la seguridadIIA/RC
Planes de concienciación y formaciónIIAC
Planes de continuidadIICA
Suspensión cautelar del servicioIIAR/A
Seguridad en el ciclo de vidaCA

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003, JD-004
  • Approver: JD-001
Previous
ORG Marco organizativo
Next
ORG.2 Normativa de Seguridad
  • Documentos de referencia
  • Guía de implantación
  • Alcance
  • Misión y objetivos
  • Principios de la Política
  • Marco normativo
  • Organización de seguridad
    • Modelo de gobernanza
      • Comités
      • Nivel de gobierno
        • Dirección de la Entidad
        • Referencia Normativa
          • Funciones y/o Características
        • Responsable de la Información
          • Referencia Normativa
          • Funciones y/o Características
        • Responsable del Servicio
          • Referencia Normativa
          • Funciones y/o Características
      • Nivel de supervisión
        • Responsable de la Seguridad
          • Referencia Normativa
          • Funciones y/o Características
        • Delegado de Protección de Datos
          • Referencia Normativa
          • Funciones y/o Características
      • Nivel de operación
        • Responsable del Sistema
          • Referencia Normativa
          • Funciones y/o Características
        • Administradores del sistema/de la seguridad
          • Referencia Normativa
          • Funciones y/o Características
    • Mecanismos de coordinación
    • Procedimientos de designación de personas
    • Resolución de conflictos
    • Gestión del personal
  • Directrices de estructuración documental
  • Concienciación y formación
  • Gestión de riesgos
  • Proceso de revisión de la política de seguridad
  • Contratación de servicios
  • Gestión de incidentes de seguridad
    • Matriz RACI
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI LABS GROUP S.L.)