Declaración de Aplicabilidad
Objeto
El presente documento constituye la Declaración de Aplicabilidad del sistema de información, de conformidad con el artículo 28 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
Artículo 28. Cumplimiento de los requisitos mínimos.
- Para dar cumplimiento a los requisitos mínimos establecidos en el presente real decreto, las entidades adoptarán las medidas y refuerzos de seguridad correspondientes indicados en el anexo II, teniendo en cuenta:
- a) Los activos que constituyen el sistema.
- b) La categoría del sistema según lo previsto en el artículo 40 y en el anexo I.
- c) Las decisiones que se adopten para gestionar los riesgos identificados.
- Las medidas a las que se refiere el apartado 1 tendrán la consideración de mínimos exigibles, siendo ampliables a iniciativa propia o por el preceptivo análisis de riesgos.
- Todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su declaración de aplicabilidad de las medidas del anexo II.
La Declaración de Aplicabilidad cumple tres funciones:
- Definir el perímetro de seguridad: identificar qué controles del Anexo II del RD 311/2022 aplican a nuestro sistema de información y cuáles no.
- Justificar las exclusiones: documentar las razones por las que determinados controles no son de aplicación en nuestro contexto operativo.
- Servir de referencia para auditoría: este documento, junto con la categorización del sistema y el análisis de riesgos, constituye la base sobre la que se verificará el cumplimiento de las medidas de seguridad.
Alcance
La presente declaración aplica al siguiente sistema de información:
Sistema de información que da soporte a los servicios de diseño, desarrollo y mantenimiento de herramientas de soporte al diagnóstico médico según la declaración de aplicabilidad vigente.
Categorización del sistema
De acuerdo con el Análisis de Impacto en la Actividad (BIA) y la valoración de las dimensiones de seguridad DICAT (Disponibilidad, Integridad, Confidencialidad, Autenticidad, Trazabilidad), el sistema se categoriza como:
| Dimensión | Nivel |
|---|---|
| Disponibilidad | ALTO |
| Integridad | ALTO |
| Confidencialidad | ALTO |
| Autenticidad | ALTO |
| Trazabilidad | ALTO |
| Categoría | ALTO |
En consecuencia, son de aplicación todas las medidas de seguridad del Anexo II del RD 311/2022 correspondientes a la categoría ALTO, incluidos los refuerzos específicos de dicha categoría.
Declaración de aplicabilidad de las medidas del Anexo II
A continuación se detallan todas las medidas de seguridad del Anexo II del RD 311/2022, indicando para cada una su aplicabilidad en nuestro sistema de información.
Leyenda:
- Aplica: Sí = la medida es de aplicación; No = la medida no es de aplicación (se justifica en la sección de exclusiones).
- Refuerzos ALTO: refuerzos específicos exigidos para la categoría ALTO del sistema.
- Documentación QMS: referencia al documento del QMS donde se recoge la implantación de la medida.
Marco Organizativo [org]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| org.1 | Política de seguridad | Sí | - | GP-110 / org-1-politica-de-seguridad |
| org.2 | Normativa de seguridad | Sí | - | GP-110 / org-2-normativa-de-seguridad |
| org.3 | Procedimientos de seguridad | Sí | - | GP-110 / org-3-procedimientos-operativos-de-seguridad |
| org.4 | Proceso de autorización | Sí | - | GP-110 / org-4-proceso-de-autorizacion |
Marco Operacional [op] - Planificación [op.pl]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| op.pl.1 | Análisis de riesgos | Sí | R2: Análisis formal con fundamento matemático reconocido internacionalmente | GP-110 / op-pl-planificacion |
| op.pl.2 | Arquitectura de seguridad | Sí | R2: Sistema de gestión con mejora continua. R3: Validación de datos de entrada, salida e intermedios | GP-110 / op-pl-planificacion |
| op.pl.3 | Adquisición de nuevos componentes | Sí | - | GP-110 / op-pl-planificacion |
| op.pl.4 | Dimensionamiento / gestión de capacidad | Sí | - | GP-110 / op-pl-planificacion |
| op.pl.5 | Componentes certificados (CPSTIC) | Sí | - | GP-110 / op-pl-planificacion |
Marco Operacional [op] - Control de acceso [op.acc]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| op.acc.1 | Identificación de usuarios | Sí | - | GP-110 / op-acc-control-de-acceso |
| op.acc.2 | Requisitos de acceso | Sí | R1: Privilegios de acceso individuales | GP-110 / op-acc-control-de-acceso |
| op.acc.3 | Segregación de funciones y tareas | Sí | R1: Segregación rigurosa de funciones | GP-110 / op-acc-control-de-acceso |
| op.acc.4 | Proceso de gestión de derechos de acceso | Sí | - | GP-110 / op-acc-control-de-acceso |
| op.acc.5 | Mecanismo de autenticación (usuarios externos) | Sí | - | GP-110 / op-acc-control-de-acceso |
| op.acc.6 | Mecanismo de autenticación (usuarios de la organización) | Sí | R6: Limitación de ventana de acceso. R7: Suspensión por no utilización. R8: Doble factor desde zonas no controladas | GP-110 / op-acc-control-de-acceso |
Marco Operacional [op] - Explotación [op.exp]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| op.exp.1 | Inventario de activos | Sí | - | GP-110 / op-exp-explotacion |
| op.exp.2 | Configuración de seguridad | Sí | - | GP-110 / op-exp-explotacion |
| op.exp.3 | Gestión de la configuración | Sí | R3: Copias de seguridad de la configuración | GP-110 / op-exp-explotacion |
| op.exp.4 | Mantenimiento y actualizaciones | Sí | R2: Prevención de fallos antes de aplicar parches | GP-110 / op-exp-explotacion |
| op.exp.5 | Gestión de cambios | Sí | R1: Prevención de fallos y documentación con valoración de impacto | GP-110 / op-exp-explotacion |
| op.exp.6 | Protección frente a código dañino | Sí | R3: Lista blanca de aplicaciones. R4: Detección y respuesta en el punto final (EDR) | GP-110 / op-exp-explotacion |
| op.exp.7 | Gestión de incidentes de seguridad | Sí | R3: Reconfiguración dinámica | GP-110 / op-exp-explotacion |
| op.exp.8 | Registro de la actividad de los usuarios | Sí | R5: Revisión automática y correlación de eventos (SIEM) | GP-110 / op-exp-explotacion |
| op.exp.9 | Registro de la gestión de incidentes | Sí | - | GP-110 / op-exp-explotacion |
| op.exp.10 | Protección de claves criptográficas | Sí | - | GP-110 / op-exp-explotacion |
Marco Operacional [op] - Recursos externos [op.ext]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| op.ext.1 | Contratación y acuerdos de nivel de servicio | Sí | - | GP-110 / op-ext-servicios-externos |
| op.ext.2 | Gestión diaria de la prestación del servicio externo | Sí | - | GP-110 / op-ext-servicios-externos |
| op.ext.3 | Protección de la cadena de suministro | Sí | Control exclusivo de categoría ALTO | GP-110 / op-ext-servicios-externos |
| op.ext.4 | Interconexión de sistemas | Sí | R1: Coordinación de actividades entre dominios de seguridad | GP-110 / op-ext-servicios-externos |
Marco Operacional [op] - Servicios en la nube [op.nub]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| op.nub.1 | Protección de servicios en la nube | Sí | R2: Configuración de seguridad según guías CCN-STIC específicas | GP-110 / op-nub-servicios-en-la-nube |
Marco Operacional [op] - Continuidad del servicio [op.cont]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| op.cont.1 | Análisis de impacto | Sí | - | GP-110 / op-cont-continuidad-del-servicio |
| op.cont.2 | Plan de continuidad | Sí | Control de categoría ALTO | GP-110 / op-cont-continuidad-del-servicio |
| op.cont.3 | Pruebas periódicas del plan de continuidad | Sí | Control de categoría ALTO | GP-110 / op-cont-continuidad-del-servicio |
| op.cont.4 | Medios alternativos | Sí | Control de categoría ALTO | GP-110 / op-cont-continuidad-del-servicio |
Marco Operacional [op] - Monitorización del sistema [op.mon]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| op.mon.1 | Detección de intrusiones | Sí | R2: Procedimientos de respuesta a alertas | GP-110 / op-mon-monitorizacion-del-sistema |
| op.mon.2 | Sistema de métricas | Sí | - | GP-110 / op-mon-monitorizacion-del-sistema |
| op.mon.3 | Vigilancia | Sí | - | GP-110 / op-mon-monitorizacion-del-sistema |
Medidas de Protección [mp] - Protección de las instalaciones e infraestructuras [mp.if]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| mp.if.1 | Áreas separadas y con control de acceso | Sí | - | GP-110 / mp-if-proteccion-de-las-instalaciones. Cubierto por certificaciones ENS ALTO de AWS y Google |
| mp.if.2 | Identificación de las personas | Sí | - | GP-110 / mp-if-proteccion-de-las-instalaciones. Cubierto por certificaciones ENS ALTO de AWS y Google |
| mp.if.3 | Acondicionamiento de los locales | Sí | - | GP-110 / mp-if-proteccion-de-las-instalaciones. Cubierto por certificaciones ENS ALTO de AWS y Google |
| mp.if.4 | Energía eléctrica | Sí | - | GP-110 / mp-if-proteccion-de-las-instalaciones. Cubierto por certificaciones ENS ALTO de AWS y Google |
| mp.if.5 | Protección frente a incendios | Sí | - | GP-110 / mp-if-proteccion-de-las-instalaciones. Cubierto por certificaciones ENS ALTO de AWS y Google. Sin oficina física propia (teletrabajo 100%) |
| mp.if.6 | Protección frente a inundaciones | Sí | - | GP-110 / mp-if-proteccion-de-las-instalaciones. Cubierto por certificaciones ENS ALTO de AWS y Google. Sin oficina física propia (teletrabajo 100%) |
| mp.if.7 | Registro de entrada y salida de equipamiento | Sí | - | GP-110 / mp-if-proteccion-de-las-instalaciones. Cubierto por certificaciones ENS ALTO de AWS y Google |
Medidas de Protección [mp] - Gestión del personal [mp.per]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| mp.per.1 | Caracterización del puesto de trabajo | Sí | - | GP-110 / mp-per-gestion-del-personal |
| mp.per.2 | Deberes y obligaciones | Sí | R1: Firma de confirmación expresa | GP-110 / mp-per-gestion-del-personal |
| mp.per.3 | Concienciación | Sí | - | GP-110 / mp-per-gestion-del-personal |
| mp.per.4 | Formación | Sí | - | GP-110 / mp-per-gestion-del-personal |
Medidas de Protección [mp] - Protección de los equipos [mp.eq]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| mp.eq.1 | Puesto de trabajo despejado | Sí | - | GP-110 / mp-eq-proteccion-de-los-equipos |
| mp.eq.2 | Bloqueo de puesto de trabajo | Sí | R1: Cierre de sesiones abiertas | GP-110 / mp-eq-proteccion-de-los-equipos |
| mp.eq.3 | Protección de dispositivos portátiles | Sí | R1: Cifrado de disco. R2: Restricción a entornos protegidos fuera de instalaciones | GP-110 / mp-eq-proteccion-de-los-equipos |
| mp.eq.4 | Otros dispositivos conectados a la red | No | - | Ver justificación en sección de exclusiones |
Medidas de Protección [mp] - Protección de las comunicaciones [mp.com]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| mp.com.1 | Perímetro seguro | Sí | - | GP-110 / mp-com-proteccion-de-las-comunicaciones. WAF de AWS implementado (app-pro-backend-waf) |
| mp.com.2 | Protección de la confidencialidad | No | - | Ver justificación en sección de exclusiones |
| mp.com.3 | Protección de la autenticidad y de la integridad | Sí | - | GP-110 / mp-com-proteccion-de-las-comunicaciones. Certificados AWS, TLS, SSL |
| mp.com.4 | Segregación de redes | No | - | Ver justificación en sección de exclusiones |
Medidas de Protección [mp] - Protección de los soportes de información [mp.si]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| mp.si.1 | Etiquetado | Sí | - | GP-110 / mp-si |
| mp.si.2 | Criptografía | No | - | Ver justificación en sección de exclusiones |
| mp.si.3 | Custodia | Sí | - | GP-110 / mp-si |
| mp.si.4 | Transporte | Sí | - | GP-110 / mp-si |
| mp.si.5 | Borrado y destrucción | Sí | - | GP-110 / mp-si |
Medidas de Protección [mp] - Protección de las aplicaciones informáticas [mp.sw]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| mp.sw.1 | Desarrollo de aplicaciones | Sí | - | GP-110 / mp-sw-proteccion-de-las-aplicaciones-informaticas |
| mp.sw.2 | Aceptación y puesta en servicio | Sí | R2: Inspección de código fuente | GP-110 / mp-sw-proteccion-de-las-aplicaciones-informaticas |
Medidas de Protección [mp] - Protección de la información [mp.info]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| mp.info.1 | Datos de carácter personal | Sí | - | GP-110 / mp-info-proteccion-de-la-informacion |
| mp.info.2 | Calificación de la información | Sí | - | GP-110 / mp-info-proteccion-de-la-informacion |
| mp.info.3 | Firma electrónica | Sí | - | GP-110 / mp-info-proteccion-de-la-informacion |
| mp.info.4 | Sellos de tiempo | Sí | - | GP-110 / mp-info-proteccion-de-la-informacion |
| mp.info.5 | Limpieza de documentos | Sí | - | GP-110 / mp-info-proteccion-de-la-informacion |
| mp.info.6 | Copias de seguridad | Sí | R2: Copias en ubicación física separada | GP-110 / mp-info-proteccion-de-la-informacion |
Medidas de Protección [mp] - Protección de los servicios [mp.s]
| Código | Medida de seguridad | Aplica | Refuerzos ALTO | Documentación QMS |
|---|---|---|---|---|
| mp.s.1 | Protección del correo electrónico | Sí | - | GP-110 / mp-s-proteccion-de-los-servicios |
| mp.s.2 | Protección de servicios y aplicaciones web | Sí | R2: Pruebas de caja blanca. R3: Protección de cachés | GP-110 / mp-s-proteccion-de-los-servicios |
| mp.s.3 | Protección de la navegación web | Sí | R1: Monitorización de la navegación web | GP-110 / mp-s-proteccion-de-los-servicios |
| mp.s.4 | Protección frente a la denegación de servicio | Sí | R1: Detección y reacción, incluyendo comunicación con proveedor | GP-110 / mp-s-proteccion-de-los-servicios |
Justificación de exclusiones
Los siguientes controles del Anexo II no son de aplicación en nuestro sistema de información. Se documenta a continuación la justificación para cada exclusión:
mp.eq.4 - Otros dispositivos conectados a la red
No aplica.
La organización opera en modalidad de teletrabajo al 100%. No disponemos de oficinas físicas propias ni, por tanto, de una red local corporativa a la que puedan conectarse dispositivos periféricos (impresoras, escáneres, dispositivos IoT u otros). Los únicos equipos utilizados son los portátiles asignados a cada empleado, que se conectan directamente a los servicios en la nube (AWS, Google Workspace) mediante conexiones cifradas. En consecuencia, no existen "otros dispositivos conectados a la red" que requieran medidas de protección específicas.
mp.com.2 - Protección de la confidencialidad (VPN)
No aplica.
Esta medida tiene por objeto proteger la confidencialidad de las comunicaciones mediante el uso de redes privadas virtuales (VPN) o mecanismos equivalentes cuando se accede a recursos internos a través de redes públicas. En nuestro caso, no disponemos de infraestructura de red interna (servidores on-premise, aplicaciones internas en LAN). Toda nuestra infraestructura se encuentra desplegada en servicios en la nube (AWS y Google Cloud), accesibles de forma nativa mediante protocolos cifrados (TLS/SSL). Los accesos a consolas de administración se realizan con autenticación multifactor (MFA) y comunicaciones cifradas extremo a extremo. Por tanto, el escenario de uso de VPN para acceder a recursos internos no se materializa.
mp.com.4 - Segregación de redes
No aplica.
La segregación de redes tiene por objeto aislar segmentos de red para limitar la propagación de incidentes y controlar los flujos de información entre zonas con distintos niveles de seguridad. La organización no dispone de red local corporativa ni de infraestructura de red propia que segregar. Toda la infraestructura se encuentra en la nube (AWS y Google Cloud), donde la segregación se implementa mediante los mecanismos propios de dichas plataformas (VPC, security groups, subnets, IAM policies). El control de accesos a los servicios cloud suple la función de la segregación de red tradicional.
mp.si.2 - Criptografía en soportes de información
No aplica.
La política de seguridad de la organización prohíbe el uso de dispositivos de almacenamiento extraíbles (USB, discos externos, tarjetas de memoria) para el manejo de información corporativa. Toda la información se gestiona a través de los servicios en la nube autorizados (Google Drive, AWS S3), que disponen de cifrado en reposo y en tránsito. Los portátiles corporales cuentan con cifrado de disco completo (FileVault en macOS). En consecuencia, no existen soportes de información extraíbles que requieran medidas de cifrado específicas. No obstante, la documentación del QMS contempla las medidas que serían aplicables en caso de que esta política se modificara.
Resumen
| Familia | Total controles | Aplican | No aplican |
|---|---|---|---|
| org - Marco organizativo | 4 | 4 | 0 |
| op.pl - Planificación | 5 | 5 | 0 |
| op.acc - Control de acceso | 6 | 6 | 0 |
| op.exp - Explotación | 10 | 10 | 0 |
| op.ext - Recursos externos | 4 | 4 | 0 |
| op.nub - Servicios en la nube | 1 | 1 | 0 |
| op.cont - Continuidad del servicio | 4 | 4 | 0 |
| op.mon - Monitorización | 3 | 3 | 0 |
| mp.if - Instalaciones e infraestructuras | 7 | 7 | 0 |
| mp.per - Gestión del personal | 4 | 4 | 0 |
| mp.eq - Protección de equipos | 4 | 3 | 1 |
| mp.com - Protección de comunicaciones | 4 | 2 | 2 |
| mp.si - Soportes de información | 5 | 4 | 1 |
| mp.sw - Aplicaciones informáticas | 2 | 2 | 0 |
| mp.info - Protección de la información | 6 | 6 | 0 |
| mp.s - Protección de los servicios | 4 | 4 | 0 |
| TOTAL | 73 | 69 | 4 |
Aprobación
La presente Declaración de Aplicabilidad ha sido elaborada por el Responsable de la Seguridad y aprobada por el Comité de Seguridad de la Información.
Y en prueba de conformidad con cuanto antecede, lo firman todas partes mediante firma digital.
The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:
- Author: Team members involved
- Approver: JD-001 General Manager, JD-003 Design & Development Manager, JD-007 Technology Manager