Declaración de Aplicabilidad
Objeto
El presente documento constituye la Declaración de Aplicabilidad del sistema de información, de conformidad con el artículo 28 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
Artículo 28. Cumplimiento de los requisitos mínimos.
- Para dar cumplimiento a los requisitos mínimos establecidos en el presente real decreto, las entidades adoptarán las medidas y refuerzos de seguridad correspondientes indicados en el anexo II, teniendo en cuenta:
- a) Los activos que constituyen el sistema.
- b) La categoría del sistema según lo previsto en el artículo 40 y en el anexo I.
- c) Las decisiones que se adopten para gestionar los riesgos identificados.
- Las medidas a las que se refiere el apartado 1 tendrán la consideración de mínimos exigibles, siendo ampliables a iniciativa propia o por el preceptivo análisis de riesgos.
- Todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su declaración de aplicabilidad de las medidas del anexo II.
La Declaración de Aplicabilidad cumple tres funciones:
- Definir el perímetro de seguridad: identificar qué controles del Anexo II del RD 311/2022 aplican a nuestro sistema de información y cuáles no.
- Justificar las exclusiones: documentar las razones por las que determinados controles no son de aplicación en nuestro contexto operativo.
- Servir de referencia para auditoría: este documento, junto con la categorización del sistema y el análisis de riesgos, constituye la base sobre la que se verificará el cumplimiento de las medidas de seguridad.
Alcance
La presente declaración aplica al siguiente sistema de información:
Sistema de información que da soporte a los servicios de diseño, desarrollo y mantenimiento de herramientas de soporte al diagnóstico médico según la declaración de aplicabilidad vigente.
Personal dentro del alcance
El alcance incluye a todo el personal que participa directamente en el diseño, desarrollo, mantenimiento y dirección del sistema de información. Se identifican por su ficha de puesto de trabajo (Job Description):
| Ficha de puesto | Función | N.º de personas | Función ENS |
|---|---|---|---|
| JD-001 General Manager | Dirección general y estrategia | 1 | Responsable del Servicio (RSERV), Responsable de la Información (RINFO) |
| JD-003 Design & Development Manager | Dirección de diseño y desarrollo | 1 | Responsable de Seguridad (RSEG) |
| JD-005 Technical Manager & PRRC | Dirección técnica del producto | 1 | — |
| JD-007 Technology Manager | Dirección de infraestructura tecnológica | 1 | Responsable del Sistema (RSIS) |
| JD-009 Medical Data Scientist | Desarrollo de modelos de IA y análisis de datos médicos | 2 | — |
| JD-017 Machine Learning Ops | Operación y despliegue de modelos de ML | 1 | — |
| Total | 7 |
No todo el personal de la organización está dentro del alcance del ENS. Las fichas de puesto relacionadas con funciones comerciales, administrativas, jurídicas, de recursos humanos o de comunicación quedan fuera del alcance, salvo que sus titulares desempeñen además una función ENS (RSERV, RINFO).
Equipamiento asignado al personal del alcance
Cada persona dentro del alcance tiene asignado el siguiente equipamiento:
| Equipamiento | Descripción | Medidas de seguridad |
|---|---|---|
| MacBook Pro | Portátil corporativo (uno por persona) | FileVault (cifrado de disco completo), XProtect, EDR del catálogo CCN, MFA obligatorio |
No se utilizan dispositivos de almacenamiento extraíble (USB, discos externos) ni equipos compartidos.
Sistemas de información dentro del alcance
Los siguientes sistemas componen la infraestructura del sistema de información cubierto por esta declaración:
| Sistema | Tipo | Función | Acceso del personal del alcance |
|---|---|---|---|
| AWS (eu-west-1) | IaaS/PaaS | Infraestructura de producción de la API: computación (ECS Fargate), base de datos (DocumentDB), almacenamiento (S3), API Gateway, seguridad (WAF, Shield, KMS, GuardDuty, CloudTrail) | Dirección técnica y desarrolladores (vía IAM con MFA) |
| Google Workspace | SaaS | Correo electrónico corporativo (Gmail), documentación interna (Drive), identidad corporativa | Todo el personal del alcance |
| GitHub | SaaS | Repositorio de código fuente, CI/CD (GitHub Actions), revisión de código | Dirección técnica y desarrolladores |
| Wazuh | On-premise / SaaS | SIEM: correlación de eventos de seguridad, monitorización centralizada | Responsable de Seguridad y Responsable del Sistema |
Relación entre el personal, los sistemas y los equipos
La matriz detallada de permisos persona × sistema × nivel de acceso se mantiene como registro vivo en OP.ACC.4 — Proceso de gestión de derechos de acceso y se revisa semestralmente.
Categorización del sistema
De acuerdo con el Análisis de Impacto en la Actividad (BIA) y la valoración de las dimensiones de seguridad DICAT (Disponibilidad, Integridad, Confidencialidad, Autenticidad, Trazabilidad), el sistema se categoriza como:
| Dimensión | Nivel |
|---|---|
| Disponibilidad | ALTO |
| Integridad | ALTO |
| Confidencialidad | ALTO |
| Autenticidad | ALTO |
| Trazabilidad | ALTO |
| Categoría | ALTO |
En consecuencia, son de aplicación todas las medidas de seguridad del Anexo II del RD 311/2022 correspondientes a la categoría ALTO, incluidos los refuerzos específicos de dicha categoría.
Declaración de aplicabilidad de las medidas del Anexo II
A continuación se detallan todas las medidas de seguridad del Anexo II del RD 311/2022, indicando para cada una su aplicabilidad en nuestro sistema de información.
Leyenda:
- Aplica: Sí = la medida es de aplicación; No = la medida no es de aplicación (se justifica en la sección de exclusiones).
- Refuerzos ALTO: refuerzos específicos exigidos para la categoría ALTO del sistema.
- Documentación QMS: referencia al documento del QMS donde se recoge la implantación de la medida.
Marco Organizativo [org]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| org.1 | Política de seguridad | Sí | - | GP-110 / org-1-politica-de-seguridad |
| org.2 | Normativa de seguridad | Sí | - | GP-110 / org-2-normativa-de-seguridad |
| org.3 | Procedimientos de seguridad | Sí | - | GP-110 / org-3-procedimientos-operativos-de-seguridad |
| org.4 | Proceso de autorización | Sí | - | GP-110 / org-4-proceso-de-autorizacion |
Marco Operacional [op] - Planificación [op.pl]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| op.pl.1 | Análisis de riesgos | Sí | R2: Análisis formal con fundamento matemático reconocido internacionalmente | GP-110 / op-pl-planificacion |
| op.pl.2 | Arquitectura de seguridad | Sí | R2: Sistema de gestión con mejora continua. R3: Validación de datos de entrada, salida e intermedios | GP-110 / op-pl-planificacion |
| op.pl.3 | Adquisición de nuevos componentes | Sí | - | GP-110 / op-pl-planificacion |
| op.pl.4 | Dimensionamiento / gestión de capacidad | Sí | - | GP-110 / op-pl-planificacion |
| op.pl.5 | Componentes certificados (CPSTIC) | Sí | - | GP-110 / op-pl-planificacion |
Marco Operacional [op] - Control de acceso [op.acc]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| op.acc.1 | Identificación de usuarios | Sí | - | GP-110 / op-acc-control-de-acceso |
| op.acc.2 | Requisitos de acceso | Sí | R1: Privilegios de acceso individuales | GP-110 / op-acc-control-de-acceso |
| op.acc.3 | Segregación de funciones y tareas | Sí | R1: Segregación rigurosa de funciones | GP-110 / op-acc-control-de-acceso |
| op.acc.4 | Proceso de gestión de derechos de acceso | Sí | - | GP-110 / op-acc-control-de-acceso |
| op.acc.5 | Mecanismo de autenticación (usuarios externos) | Sí | - | GP-110 / op-acc-control-de-acceso |
| op.acc.6 | Mecanismo de autenticación (usuarios de la organización) | Sí | R6: Limitación de ventana de acceso. R7: Suspensión por no utilización. R8: Doble factor desde zonas no controladas | GP-110 / op-acc-control-de-acceso |
Marco Operacional [op] - Explotación [op.exp]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| op.exp.1 | Inventario de activos | Sí | - | GP-110 / op-exp-explotacion |
| op.exp.2 | Configuración de seguridad | Sí | - | GP-110 / op-exp-explotacion |
| op.exp.3 | Gestión de la configuración | Sí | R3: Copias de seguridad de la configuración | GP-110 / op-exp-explotacion |
| op.exp.4 | Mantenimiento y actualizaciones | Sí | R2: Prevención de fallos antes de aplicar parches | GP-110 / op-exp-explotacion |
| op.exp.5 | Gestión de cambios | Sí | R1: Prevención de fallos y documentación con valoración de impacto | GP-110 / op-exp-explotacion |
| op.exp.6 | Protección frente a código dañino | Sí | R3: Lista blanca de aplicaciones. R4: Detección y respuesta en el punto final (EDR) | GP-110 / op-exp-explotacion |
| op.exp.7 | Gestión de incidentes de seguridad | Sí | R3: Reconfiguración dinámica | GP-110 / op-exp-explotacion |
| op.exp.8 | Registro de la actividad de los usuarios | Sí | R5: Revisión automática y correlación de eventos (SIEM) | GP-110 / op-exp-explotacion |
| op.exp.9 | Registro de la gestión de incidentes | Sí | - | GP-110 / op-exp-explotacion |
| op.exp.10 | Protección de claves criptográficas | Sí | - | GP-110 / op-exp-explotacion |
Marco Operacional [op] - Recursos externos [op.ext]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| op.ext.1 | Contratación y acuerdos de nivel de servicio | Sí | - | GP-110 / op-ext-servicios-externos |
| op.ext.2 | Gestión diaria de la prestación del servicio externo | Sí | - | GP-110 / op-ext-servicios-externos |
| op.ext.3 | Protección de la cadena de suministro | Sí | Control exclusivo de categoría ALTO | GP-110 / op-ext-servicios-externos |
| op.ext.4 | Interconexión de sistemas | Sí | R1: Coordinación de actividades entre dominios de seguridad | GP-110 / op-ext-servicios-externos |
Marco Operacional [op] - Servicios en la nube [op.nub]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| op.nub.1 | Protección de servicios en la nube | Sí | R2: Configuración de seguridad según guías CCN-STIC específicas | GP-110 / op-nub-servicios-en-la-nube |
Marco Operacional [op] - Continuidad del servicio [op.cont]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| op.cont.1 | Análisis de impacto | Sí | - | GP-110 / op-cont-continuidad-del-servicio |
| op.cont.2 | Plan de continuidad | Sí | Control de categoría ALTO | GP-110 / op-cont-continuidad-del-servicio |
| op.cont.3 | Pruebas periódicas del plan de continuidad | Sí | Control de categoría ALTO | GP-110 / op-cont-continuidad-del-servicio |
| op.cont.4 | Medios alternativos | Sí | Control de categoría ALTO | GP-110 / op-cont-continuidad-del-servicio |
Marco Operacional [op] - Monitorización del sistema [op.mon]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| op.mon.1 | Detección de intrusiones | Sí | R2: Procedimientos de respuesta a alertas | GP-110 / op-mon-monitorizacion-del-sistema |
| op.mon.2 | Sistema de métricas | Sí | - | GP-110 / op-mon-monitorizacion-del-sistema |
| op.mon.3 | Vigilancia | Sí | - | GP-110 / op-mon-monitorizacion-del-sistema |
Medidas de Protección [mp] - Protección de las instalaciones e infraestructuras [mp.if]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| mp.if.1 | Áreas separadas y con control de acceso | Sí | - | GP-110 / mp-if-proteccion-de-las-instalaciones. Cubierto por certificaciones ENS ALTO de AWS y Google |
| mp.if.2 | Identificación de las personas | Sí | - | GP-110 / mp-if-proteccion-de-las-instalaciones. Cubierto por certificaciones ENS ALTO de AWS y Google |
| mp.if.3 | Acondicionamiento de los locales | Sí | - | GP-110 / mp-if-proteccion-de-las-instalaciones. Cubierto por certificaciones ENS ALTO de AWS y Google |
| mp.if.4 | Energía eléctrica | Sí | - | GP-110 / mp-if-proteccion-de-las-instalaciones. Cubierto por certificaciones ENS ALTO de AWS y Google |
| mp.if.5 | Protección frente a incendios | Sí | - | GP-110 / mp-if-proteccion-de-las-instalaciones. Cubierto por certificaciones ENS ALTO de AWS y Google. Sin oficina física propia (teletrabajo 100%) |
| mp.if.6 | Protección frente a inundaciones | Sí | - | GP-110 / mp-if-proteccion-de-las-instalaciones. Cubierto por certificaciones ENS ALTO de AWS y Google. Sin oficina física propia (teletrabajo 100%) |
| mp.if.7 | Registro de entrada y salida de equipamiento | Sí | - | GP-110 / mp-if-proteccion-de-las-instalaciones. Cubierto por certificaciones ENS ALTO de AWS y Google |
Medidas de Protección [mp] - Gestión del personal [mp.per]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| mp.per.1 | Caracterización del puesto de trabajo | Sí | - | GP-110 / mp-per-gestion-del-personal |
| mp.per.2 | Deberes y obligaciones | Sí | R1: Firma de confirmación expresa | GP-110 / mp-per-gestion-del-personal |
| mp.per.3 | Concienciación | Sí | - | GP-110 / mp-per-gestion-del-personal |
| mp.per.4 | Formación | Sí | - | GP-110 / mp-per-gestion-del-personal |
Medidas de Protección [mp] - Protección de los equipos [mp.eq]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| mp.eq.1 | Puesto de trabajo despejado | Sí | - | GP-110 / mp-eq-proteccion-de-los-equipos |
| mp.eq.2 | Bloqueo de puesto de trabajo | Sí | R1: Cierre de sesiones abiertas | GP-110 / mp-eq-proteccion-de-los-equipos |
| mp.eq.3 | Protección de dispositivos portátiles | Sí | R1: Cifrado de disco. R2: Restricción a entornos protegidos fuera de instalaciones | GP-110 / mp-eq-proteccion-de-los-equipos |
| mp.eq.4 | Otros dispositivos conectados a la red | No | - | Ver justificación en sección de exclusiones |
Medidas de Protección [mp] - Protección de las comunicaciones [mp.com]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| mp.com.1 | Perímetro seguro | Sí | - | GP-110 / mp-com-proteccion-de-las-comunicaciones. WAF de AWS implementado (app-pro-backend-waf) |
| mp.com.2 | Protección de la confidencialidad | No | - | Ver justificación en sección de exclusiones |
| mp.com.3 | Protección de la autenticidad y de la integridad | Sí | - | GP-110 / mp-com-proteccion-de-las-comunicaciones. Certificados AWS, TLS, SSL |
| mp.com.4 | Segregación de redes | No | - | Ver justificación en sección de exclusiones |
Medidas de Protección [mp] - Protección de los soportes de información [mp.si]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| mp.si.1 | Etiquetado | Sí | - | GP-110 / mp-si |
| mp.si.2 | Criptografía | No | - | Ver justificación en sección de exclusiones |
| mp.si.3 | Custodia | Sí | - | GP-110 / mp-si |
| mp.si.4 | Transporte | Sí | - | GP-110 / mp-si |
| mp.si.5 | Borrado y destrucción | Sí | - | GP-110 / mp-si |
Medidas de Protección [mp] - Protección de las aplicaciones informáticas [mp.sw]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| mp.sw.1 | Desarrollo de aplicaciones | Sí | - | GP-110 / mp-sw-proteccion-de-las-aplicaciones-informaticas |
| mp.sw.2 | Aceptación y puesta en servicio | Sí | R2: Inspección de código fuente | GP-110 / mp-sw-proteccion-de-las-aplicaciones-informaticas |
Medidas de Protección [mp] - Protección de la información [mp.info]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| mp.info.1 | Datos de carácter personal | Sí | - | GP-110 / mp-info-proteccion-de-la-informacion |
| mp.info.2 | Calificación de la información | Sí | - | GP-110 / mp-info-proteccion-de-la-informacion |
| mp.info.3 | Firma electrónica | Sí | - | GP-110 / mp-info-proteccion-de-la-informacion |
| mp.info.4 | Sellos de tiempo | No | - | Ver justificación en sección de exclusiones |
| mp.info.5 | Limpieza de documentos | Sí | - | GP-110 / mp-info-proteccion-de-la-informacion |
| mp.info.6 | Copias de seguridad | Sí | R2: Copias en ubicación física separada | GP-110 / mp-info-proteccion-de-la-informacion |
Medidas de Protección [mp] - Protección de los servicios [mp.s]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| mp.s.1 | Protección del correo electrónico | Sí | - | GP-110 / mp-s-proteccion-de-los-servicios |
| mp.s.2 | Protección de servicios y aplicaciones web | Sí | R2: Pruebas de caja blanca. R3: Protección de cachés | GP-110 / mp-s-proteccion-de-los-servicios |
| mp.s.3 | Protección de la navegación web | Sí | R1: Monitorización de la navegación web | GP-110 / mp-s-proteccion-de-los-servicios |
| mp.s.4 | Protección frente a la denegación de servicio | Sí | R1: Detección y reacción, incluyendo comunicación con proveedor | GP-110 / mp-s-proteccion-de-los-servicios |
Justificación de exclusiones
Los siguientes controles del Anexo II no son de aplicación en nuestro sistema de información. Se documenta a continuación la justificación para cada exclusión:
mp.eq.4 - Otros dispositivos conectados a la red
No aplica.
La organización opera en modalidad de teletrabajo al 100%. No disponemos de oficinas físicas propias ni, por tanto, de una red local corporativa a la que puedan conectarse dispositivos periféricos (impresoras, escáneres, dispositivos IoT u otros). Los únicos equipos utilizados son los portátiles asignados a cada empleado, que se conectan directamente a los servicios en la nube (AWS, Google Workspace) mediante conexiones cifradas. En consecuencia, no existen "otros dispositivos conectados a la red" que requieran medidas de protección específicas.
mp.com.2 - Protección de la confidencialidad (VPN)
No aplica.
Esta medida tiene por objeto proteger la confidencialidad de las comunicaciones mediante el uso de redes privadas virtuales (VPN) o mecanismos equivalentes cuando se accede a recursos internos a través de redes públicas. En nuestro caso, no disponemos de infraestructura de red interna (servidores on-premise, aplicaciones internas en LAN). Toda nuestra infraestructura se encuentra desplegada en servicios en la nube (AWS y Google Cloud), accesibles de forma nativa mediante protocolos cifrados (TLS/SSL). Los accesos a consolas de administración se realizan con autenticación multifactor (MFA) y comunicaciones cifradas extremo a extremo. Por tanto, el escenario de uso de VPN para acceder a recursos internos no se materializa.
mp.com.4 - Segregación de redes
No aplica.
La segregación de redes tiene por objeto aislar segmentos de red para limitar la propagación de incidentes y controlar los flujos de información entre zonas con distintos niveles de seguridad. La organización no dispone de red local corporativa ni de infraestructura de red propia que segregar. Toda la infraestructura se encuentra en la nube (AWS y Google Cloud), donde la segregación se implementa mediante los mecanismos propios de dichas plataformas (VPC, security groups, subnets, IAM policies). El control de accesos a los servicios cloud suple la función de la segregación de red tradicional.
mp.info.4 - Sellos de tiempo
No aplica.
La medida mp.info.4 exige la implantación de servicios de sellado de tiempo cualificados (TSA) conforme al RFC 3161 para garantizar la integridad temporal de documentos y transacciones con valor legal.
La organización no emite documentos electrónicos dirigidos a terceros que requieran un sello de tiempo cualificado para su validez legal. El producto es una API de soporte al diagnóstico médico que opera exclusivamente máquina-a-máquina (machine-to-machine); los resultados se entregan al sistema integrador, que es responsable de su sellado temporal si así lo requiere su propia normativa.
Los registros de auditoría internos (CloudTrail, Google Workspace Audit Log, Wazuh) utilizan marcas de tiempo sincronizadas con fuentes NTP fiables, lo que proporciona trazabilidad temporal suficiente para los requisitos internos de auditoría y seguridad. Esta trazabilidad queda cubierta por los controles op.exp.8 (registro de actividad) y op.mon (monitorización), sin necesidad de un servicio de sellado de tiempo cualificado adicional.
La exclusión fue acordada con la consultora ENS (BSI Ingertec) en la revisión de la Declaración de Aplicabilidad de marzo de 2026.
mp.si.2 - Criptografía en soportes de información
No aplica.
La política de seguridad de la organización prohíbe el uso de dispositivos de almacenamiento extraíbles (USB, discos externos, tarjetas de memoria) para el manejo de información corporativa. Toda la información se gestiona a través de los servicios en la nube autorizados (Google Drive, AWS S3), que disponen de cifrado en reposo y en tránsito. Los portátiles corporales cuentan con cifrado de disco completo (FileVault en macOS). En consecuencia, no existen soportes de información extraíbles que requieran medidas de cifrado específicas. No obstante, la documentación del QMS contempla las medidas que serían aplicables en caso de que esta política se modificara.
Resumen
| Familia | Total controles | Aplican | No aplican |
|---|---|---|---|
| org - Marco organizativo | 4 | 4 | 0 |
| op.pl - Planificación | 5 | 5 | 0 |
| op.acc - Control de acceso | 6 | 6 | 0 |
| op.exp - Explotación | 10 | 10 | 0 |
| op.ext - Recursos externos | 4 | 4 | 0 |
| op.nub - Servicios en la nube | 1 | 1 | 0 |
| op.cont - Continuidad del servicio | 4 | 4 | 0 |
| op.mon - Monitorización | 3 | 3 | 0 |
| mp.if - Instalaciones e infraestructuras | 7 | 7 | 0 |
| mp.per - Gestión del personal | 4 | 4 | 0 |
| mp.eq - Protección de equipos | 4 | 3 | 1 |
| mp.com - Protección de comunicaciones | 4 | 2 | 2 |
| mp.si - Soportes de información | 5 | 4 | 1 |
| mp.sw - Aplicaciones informáticas | 2 | 2 | 0 |
| mp.info - Protección de la información | 6 | 5 | 1 |
| mp.s - Protección de los servicios | 4 | 4 | 0 |
| TOTAL | 73 | 68 | 5 |
Aprobación
La presente Declaración de Aplicabilidad ha sido elaborada por el Responsable de la Seguridad y aprobada por el Comité de Seguridad de la Información.
Y en prueba de conformidad con cuanto antecede, lo firman todas partes mediante firma digital.
The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:
- Author: Team members involved
- Approver: JD-001 General Manager, JD-003 Design & Development Manager, JD-007 Technology Manager