Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-008 Product requirements
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, redesign and development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Software validation plan
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Predetermined Change Control Plan
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-028 AI Development
    • GP-029 Software Delivery and Commissioning
    • GP-030 Cyber Security Management
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • General
        • comite-de-seguridad
          • Acta de Constitución del Comité de Seguridad ENS
          • Carta de Designación de los Representantes del Comité de Seguridad de la Información
          • Carta de Designación de los Representantes del Comité de Seguridad de la Información
          • Carta de Designación de los Representantes del Comité de Seguridad de la Información
          • Carta de Designación de los Representantes del Comité de Seguridad de la Información
      • ORG Marco organizativo
      • OP Marco operacional
      • MP Medidas de protección
      • Sin asignar
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Legit.Health Utilities
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • Pricing
  • Public tenders
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • General
  • comite-de-seguridad
  • Acta de Constitución del Comité de Seguridad ENS

Acta de Constitución del Comité de Seguridad ENS

Acta de Constitución del Comité de Seguridad de la Información​

En esta acta se determinan las responsabilidades concretas dentro del Esquema Nacional de Seguridad, de acuerdo con la Guía de Seguridad de las TIC CCN-STIC 801 y las personas sobre las que recaen esas responsabilidades. Será objeto de revisión de este documento la reasignación de responsabilidades motivada por cambios en la estructura organizativa de LEGIT HEALTH, identificación de nuevas áreas de responsabilidad, etc.

El Comité de Seguridad de la Información coordina la seguridad de la información en la entidad, y está formado, tal y como se ha establecido en las Política de Seguridad, por:

  • Responsable de Seguridad:
  • Responsable del Sistema:
  • Responsable del Servicio:
  • Responsable de Información:

A continuación, se detallan las responsabilidades del Comité y los diferentes responsables:

Funciones o responsabilidades del Comité de Seguridad​

  • Atender las inquietudes de la Dirección de la entidad y de los diferentes departamentos.
  • Informar regularmente del estado de la seguridad de la información a la Dirección.
  • Promover la mejora continua del sistema de gestión de la seguridad de la información.
  • Elaborar la estrategia de evolución de la organización en lo que respecta a seguridad de la información.
  • Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, que están alineados con la estrategia decidida en la materia, evitando duplicidades.
  • Elaborar (y revisar regularmente) la Política de Seguridad de la Información para su aprobación por la Dirección.
  • Aprobar la Normativa de Seguridad de la información.
  • Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios, desde el punto de vista de seguridad de la información.
  • Monitorizar los principales riesgos residuales asumidos por la organización y recomendar posibles actuaciones.
  • Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos. En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de tales incidentes.
  • Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
  • Aprobar planes de mejora de la seguridad de la información de la organización. En particular velará por la coordinación de distintos planes que puedan realizarse en diferentes áreas.
  • Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.
  • Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación. En particular, deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
  • Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de la organización, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.

Responsable de la Información​

  • Determina los requisitos (de seguridad) de la información tratada, según los parámetros del Anexo I del ENS.
  • Formar parte y tomar decisiones en el Comité de Seguridad de la Información.
  • Aprobación de los niveles de seguridad de la información.
  • Proteger los activos.
  • Cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos.

Responsable del Servicio​

  • Determina los requisitos (de seguridad) de los servicios prestados, según los parámetros del Anexo I del ENS.
  • Formar parte y tomar decisiones en el Comité de Seguridad de la Información.
  • Aprobación de los niveles de seguridad de los servicios.
  • Proteger los activos.
  • Cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos.

Responsable de Seguridad​

  • Determina las decisiones de seguridad pertinentes para satisfacer los requisitos establecidos por los responsables de la información y de los servicios.
  • Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo con lo establecido en la Política de Seguridad de la Información de la organización.
  • Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.
  • Convoca las reuniones del Comité de Seguridad de la Información.
  • Prepara los temas a tratar en las reuniones del Comité, aportando información puntual para la toma de decisiones.
  • Elabora el acta de las reuniones.
  • Es responsable de la ejecución directa o delegada de las decisiones del Comité.
  • Elaborar y proponer para aprobación por la organización las políticas de seguridad, que incluirán las medidas técnicas y organizativas, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados y para prevenir y reducir al mínimo los efectos de los ciber incidentes que afecten a la organización y los servicios.
  • Desarrollar las políticas de seguridad, normativas y procedimientos derivados de la organización, supervisar su efectividad y llevar a cabo auditorías periódicas de seguridad.
  • Elaborar el documento de Declaración de Aplicabilidad.
  • Actuar como capacitador de buenas prácticas en seguridad de las redes y sistemas de información, tanto en aspectos físicos como lógicos.
  • Constituirse como punto de contacto con la autoridad competente en materia de seguridad de las redes y sistemas de información y responsable ante aquella del cumplimiento de las obligaciones que se derivan del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información y de su Reglamento de Desarrollo.
  • Constituir el punto de contacto especializado para la coordinación con el CSIRT de referencia.
  • Notificar a la autoridad competente, a través del CSIRT de referencia y sin dilación indebida, los incidentes que tengan efectos perturbadores en la prestación de los servicios.
  • Recibir, interpretar y aplicar las instrucciones y guías emanadas de la Autoridad Competente, tanto para la operativa habitual como para la subsanación de las deficiencias observadas.
  • Recopilar, preparar y suministrar información o documentación a la autoridad competente o el CSIRT de referencia, a su solicitud o por propia iniciativa.

Responsable del Sistema​

  • Formar parte y tomar decisiones en el Comité de Seguridad de la Información.
  • Desarrollar, operar y mantener del Sistema durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
  • Definir la topología y política de gestión del Sistema estableciendo los criterios de uso y los servicios disponibles en el mismo.
  • Definir la política de conexión o desconexión de equipos y usuarios nuevos en el Sistema.
  • Aprobar los cambios que afecten a la seguridad del modo de operación del Sistema.
  • Decidir las medidas de seguridad que aplicarán los suministradores de componentes del Sistema durante las etapas de desarrollo, instalación y prueba de este.
  • Implantar y controlar las medidas específicas de seguridad del Sistema y cerciorarse de que éstas se integren adecuadamente dentro del marco general de seguridad.
  • Determinar la configuración autorizada de hardware y software a utilizar en el Sistema.
  • Aprobar toda modificación sustancial de la configuración de cualquier elemento del Sistema.
  • Llevar a cabo el preceptivo proceso de análisis y gestión de riesgos en el Sistema.
  • Determinar la categoría del sistema según el procedimiento descrito en el Anexo I del ENS y determinar las medidas de seguridad que deben aplicarse según se describe en el Anexo II del ENS.
  • Elaborar y aprobar la documentación de seguridad del Sistema.
  • Delimitar las responsabilidades de cada entidad involucrada en el mantenimiento, explotación, implantación y supervisión del Sistema.
  • Investigar los incidentes de seguridad que afecten al Sistema, y en su caso, comunicación al responsable de Seguridad o a quién éste determine.
  • Establecer planes de contingencia y emergencia, llevando a cabo frecuentes ejercicios para que el personal se familiarice con ellos.
  • Puede acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con los responsables de la información afectada, del servicio afectado y el responsable de seguridad, antes de ser ejecutada.

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003, JD-004
  • Approver: JD-001
Previous
General
Next
Carta de Designación de los Representantes del Comité de Seguridad de la Información
  • Acta de Constitución del Comité de Seguridad de la Información
    • Funciones o responsabilidades del Comité de Seguridad
    • Responsable de la Información
    • Responsable del Servicio
    • Responsable de Seguridad
    • Responsable del Sistema
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI Labs Group S.L.)