Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, redesign and development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Non-product software validation
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Predetermined Change Control Plan
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-028 AI Development
    • GP-029 Software Delivery and Commissioning
    • GP-030 Cyber Security Management
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • General
      • ORG Marco organizativo
      • OP Marco operacional
      • MP Medidas de protección
        • MP.IF Protección de las instalaciones e infraestructuras
        • MP.PER Gestión del personal
        • MP.EQ Protección de los equipos
        • MP.COM Protección de las comunicaciones
        • MP.SI Protección de los soportes de información
        • MP.SW Protección de las aplicaciones informáticas
        • MP.INFO Protección de la información
        • MP.S Protección de los servicios
        • MP.AUX - Protección de Medios Auxiliares
      • Sin asignar
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Legit.Health Utilities
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • BSI Non-Conformities
  • Pricing
  • Public tenders
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • MP Medidas de protección
  • MP.EQ Protección de los equipos

MP.EQ Protección de los equipos

Esta sección establece las medidas de protección para equipos en el contexto de dispositivos médicos, siguiendo el Esquema Nacional de Seguridad (ENS) y las directrices de ciberseguridad para dispositivos médicos.

Aplicabilidad según categoría del sistema​

MedidaBásicaMediaAlta
mp.eq.1 - Puesto de trabajo despejado✓✓✓
mp.eq.2 - Bloqueo de puesto de trabajo✓✓✓
mp.eq.3 - Protección de equipos portátiles-✓✓
mp.eq.4 - Medios alternativos--✓

MP.EQ.1 Puesto de trabajo despejado [APLICA: BÁSICA, MEDIA, ALTA]​

Objetivo​

Garantizar que los puestos de trabajo donde se gestionan dispositivos médicos y datos de pacientes mantengan la confidencialidad y disponibilidad de la información, aplicando políticas de escritorio limpio.

Documentos de referencia​

  • Real Decreto 311/2022 - Anexo II, mp.eq.1
  • Guía CCN-STIC 804 - Guía de implantación del ENS
  • ISO 27001:2022 - A.11.2.9 Clear desk and clear screen policy

Guía de implantación​

Implementación para dispositivos médicos​

Medidas obligatorias:

  1. Política de escritorio limpio

    • Los puestos de trabajo con acceso a sistemas de dispositivos médicos no deben mostrar información sensible cuando no estén atendidos
    • Documentación física de pacientes debe guardarse en armarios cerrados
    • Pantallas deben orientarse para evitar visualización no autorizada

  2. Control de información sensible

    • Datos de pacientes solo visibles cuando sea necesario para la tarea
    • Historiales clínicos digitales con acceso controlado por rol
    • Informes de dispositivos médicos con clasificación de confidencialidad

  3. Gestión de medios extraíbles

    • USB, CDs y otros medios removibles bajo control estricto
    • Registro de uso de medios para transferencia de datos médicos
    • Cifrado obligatorio para datos de pacientes en medios portátiles

Controles técnicos:

  • Salvapantallas con bloqueo automático después de 5 minutos de inactividad
  • Cierre automático de sesiones de sistemas críticos después de 15 minutos
  • Notificaciones visuales de información confidencial en pantalla

Evaluación del cumplimiento:

  • Auditorías trimestrales de puestos de trabajo
  • Verificación del cumplimiento de políticas de escritorio limpio
  • Revisión de registros de acceso a información de pacientes

Responsabilidades:

  • Usuario: Aplicar la política de escritorio limpio
  • Responsable del área: Supervisar el cumplimiento
  • Seguridad: Realizar auditorías y formación

MP.EQ.2 Bloqueo del puesto de trabajo [APLICA: BÁSICA, MEDIA, ALTA]​

Objetivo​

Implementar mecanismos automáticos y manuales de bloqueo para prevenir el acceso no autorizado a sistemas de dispositivos médicos y datos de pacientes.

Documentos de referencia​

  • Real Decreto 311/2022 - Anexo II, mp.eq.2
  • Guía CCN-STIC 804 - Guía de implantación del ENS
  • MDR Anexo I, Capítulo II, 17.4 - Protección contra acceso no autorizado

Guía de implantación​

Implementación para dispositivos médicos​

Medidas obligatorias:

  1. Bloqueo automático

    • Activación automática tras 5 minutos de inactividad en sistemas críticos
    • Activación automática tras 15 minutos en sistemas de soporte
    • Mantenimiento de sesiones de aplicaciones médicas críticas durante el bloqueo

  2. Bloqueo manual

    • Combinación de teclas rápida (Ctrl+Alt+L o Windows+L)
    • Botón de bloqueo visible en aplicaciones médicas
    • Procedimientos de bloqueo de emergencia para situaciones críticas

  3. Gestión de sesiones médicas

    • Preservación del estado de aplicaciones médicas durante el bloqueo
    • Notificaciones de alarmas médicas incluso con pantalla bloqueada
    • Acceso rápido para personal médico autorizado en emergencias

Controles técnicos:

  • Integración con Active Directory para políticas centralizadas
  • Logs de eventos de bloqueo y desbloqueo
  • Excepciones temporales para procedimientos médicos críticos

Configuraciones específicas:

  • Sistemas de monitoreo de pacientes: bloqueo visual, alarmas activas
  • Estaciones de trabajo clínicas: bloqueo total después de inactividad
  • Sistemas administrativos: bloqueo estándar según política empresarial

Configuración por categoría ENS:

CategoríaTiempo de bloqueoMétodo de desbloqueo
BÁSICA15 minutosContraseña
MEDIA10 minutosContraseña robusta
ALTA5 minutosMFA obligatorio

Excepciones autorizadas:

  • Quirófanos durante intervenciones: extensión temporal autorizada
  • Sistemas de emergencia: bloqueo visual manteniendo funcionalidad
  • Monitores de constantes vitales: sin bloqueo, solo protección física

MP.EQ.3 Protección de los equipos portátiles [APLICA: MEDIA, ALTA]​

Objetivo​

Asegurar la protección física y lógica de equipos portátiles utilizados en el contexto de dispositivos médicos, incluyendo tablets, laptops y dispositivos móviles de diagnóstico.

Documentos de referencia​

  • Real Decreto 311/2022 - Anexo II, mp.eq.3
  • Guía CCN-STIC 804 - Guía de implantación del ENS

Guía de implantación​

Implementación para dispositivos médicos​

Medidas obligatorias:

  1. Protección física

    • Cables de seguridad Kensington para equipos fijos temporales
    • Armarios con cerradura para almacenamiento nocturno
    • Registro de entrada y salida de equipos portátiles del hospital

  2. Cifrado de datos

    • Cifrado completo del disco (BitLocker, FileVault)
    • Particiones separadas para datos de pacientes con cifrado adicional
    • Claves de recuperación gestionadas centralmente por TI

  3. Control de acceso remoto

    • VPN obligatoria para acceso desde equipos portátiles
    • Certificados digitales para autenticación de dispositivo
    • Desactivación remota en caso de pérdida o robo

  4. Gestión de dispositivos móviles (MDM)

    • Configuración automática de políticas de seguridad
    • Borrado remoto de datos médicos
    • Control de aplicaciones instaladas y actualizaciones

Controles específicos para dispositivos médicos:

  • Validación de integridad para aplicaciones médicas móviles
  • Backup automático de datos críticos antes del desplazamiento
  • Restricciones de red para prevenir exfiltración de datos

Protocolos de incidentes:

  • Procedimiento de reporte inmediato en caso de pérdida
  • Evaluación de impacto en datos de pacientes comprometidos
  • Notificación a autoridades según GDPR si procede

Requisitos adicionales por categoría:

CategoríaRequisitos adicionales
MEDIA- Cifrado AES-128 mínimo
- Inventario actualizado
- Auditoría anual
ALTA- Cifrado AES-256
- Geolocalización activa
- Auditoría semestral
- Contenedor seguro para apps

Registro de entrega y devolución de material​

Todo equipo entregado a un empleado debe quedar registrado formalmente. El registro documenta la entrega, los compromisos del empleado y, en su caso, la devolución del material.

Plantilla de registro de entrega​

Datos del empleado:

CampoValor
Nombre completo
Puesto
Departamento
Fecha de entrega

Equipos entregados:

TipoMarcaModeloNúmero de serie
Portátil
Monitor
Teclado
Ratón
Otros

Compromisos del empleado:

El empleado se compromete a:

  1. Cuidado del equipo: Mantener el equipo en buen estado de conservación, evitando golpes, líquidos y exposición a condiciones adversas
  2. Uso exclusivamente profesional: Utilizar el equipo únicamente para las funciones laborales asignadas
  3. Custodia adecuada: No dejar el equipo desatendido en lugares públicos o sin las medidas de seguridad apropiadas (ver política de escritorio limpio, MP.EQ.1)
  4. Transporte seguro: Transportar el equipo en funda o maletín protector, sin dejarlo visible en vehículos, y aplicar cifrado de disco completo (FileVault)
  5. Comunicación inmediata de incidencias: Notificar de inmediato la pérdida, robo, deterioro o cualquier incidencia de seguridad según el protocolo establecido en ORG.2

Firma del empleado: ********_******** Fecha: **_**

Firma del responsable: ********_******** Fecha: **_**

Registro de devolución​

CampoValor
Fecha de devolución
MotivoBaja / Cambio de equipo / Fin de contrato / Otro
Estado del equipoBueno / Con daños (detallar)
Borrado seguro realizadoSí / No
Responsable de la devolución
Registros retrospectivos

Para empleados que ya dispongan de equipos asignados antes de la implantación de este procedimiento, se generarán registros retrospectivos con los datos disponibles. Estos registros tendrán como fecha de entrega la fecha real de asignación del equipo y como fecha del registro la fecha de regularización.

MP.EQ.4 Otros dispositivos conectados [APLICA: ALTA]​

Objetivo​

Establecer controles de seguridad para dispositivos no tradicionales conectados a la red (IoT médico, wearables, sensores), garantizando que no comprometan la seguridad del sistema.

Documentos de referencia​

  • Real Decreto 311/2022 - Anexo II, mp.eq.4
  • Guía CCN-STIC 804 - Guía de implantación del ENS
  • IEC 80001-1 - Application of risk management for IT-networks

Guía de implantación​

Control de dispositivos IoT médicos​

Medidas obligatorias para categoría ALTA:

  1. Inventario y clasificación

    • Registro completo de dispositivos IoT médicos
    • Clasificación por criticidad y riesgo
    • Mapeo de flujos de datos y comunicaciones
    • Identificación de vulnerabilidades conocidas

  2. Segmentación de red

    • VLAN dedicada para dispositivos IoT médicos
    • Firewall específico con reglas restrictivas
    • Aislamiento de dispositivos no gestionados
    • Comunicación controlada con sistemas críticos

  3. Control de acceso y autenticación

    • Cambio obligatorio de credenciales por defecto
    • Autenticación fuerte para administración
    • Certificados digitales cuando sea posible
    • Deshabilitación de servicios innecesarios

  4. Monitorización y detección de anomalías

    • Análisis de comportamiento de dispositivos
    • Detección de comunicaciones anómalas
    • Alertas por cambios de configuración
    • Integración con SIEM corporativo

Control de dispositivos USB y removibles:

  1. Política de uso

    • Lista blanca de dispositivos autorizados
    • Bloqueo por defecto de puertos USB
    • Registro de uso y transferencias
    • Escaneo automático de malware

  2. Cifrado obligatorio

    • Todos los dispositivos USB deben estar cifrados
    • Gestión centralizada de claves
    • Imposibilidad de uso sin cifrado

  3. Tipos de dispositivos controlados

    • Memorias USB
    • Discos duros externos
    • Lectores de tarjetas
    • Dispositivos de imagen médica portátiles
    • Smartphones y tablets personales

Data Loss Prevention (DLP):

  • Prevención de copia de datos sensibles a USB
  • Marcado de agua en documentos confidenciales
  • Alertas por intentos de exfiltración
  • Cuarentena automática de transferencias sospechosas

Evaluación de eficacia​

Indicadores clave de rendimiento (KPIs)​

MedidaIndicadorObjetivo MEDIAObjetivo ALTA
mp.eq.1% cumplimiento escritorio limpio> 90%> 95%
mp.eq.2Tiempo medio de bloqueo automático< 10 min< 5 min
mp.eq.3% portátiles con cifrado activo100%100%
mp.eq.4Dispositivos IoT no autorizados detectados00

Auditoría y revisión​

Frecuencia de auditoría:

  • Categoría BÁSICA: Anual
  • Categoría MEDIA: Semestral
  • Categoría ALTA: Trimestral

Elementos a auditar:

  1. Cumplimiento de políticas de escritorio limpio
  2. Configuración de bloqueo automático
  3. Estado de cifrado de dispositivos
  4. Inventario de dispositivos conectados
  5. Logs de acceso y uso de USB

Formación y concienciación​

Plan de formación:

  • Inducción para nuevo personal
  • Actualización anual obligatoria
  • Simulacros de seguridad trimestrales
  • Boletines de concienciación mensuales

Contenidos específicos:

  • Política de escritorio limpio
  • Uso seguro de dispositivos portátiles
  • Procedimientos de bloqueo
  • Gestión de dispositivos USB
  • Respuesta ante pérdida o robo

Responsabilidades​

RolResponsabilidades
Usuario- Aplicar política de escritorio limpio
- Bloquear puesto al ausentarse
- Reportar pérdida de equipos
Administrador de sistemas- Configurar bloqueo automático
- Gestionar cifrado
- Mantener inventario
Responsable de seguridad- Definir políticas
- Auditar cumplimiento
- Gestionar incidentes
Responsable del servicio- Aprobar excepciones
- Asignar equipos
- Supervisar cumplimiento

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
  • Approver: JD-001 General Manager
ㅤ

Previous
MP.PER.2 Registro de Formación y Concienciación ENS
Next
MP.COM Protección de las comunicaciones
  • Aplicabilidad según categoría del sistema
  • MP.EQ.1 Puesto de trabajo despejado [APLICA: BÁSICA, MEDIA, ALTA]
    • Objetivo
    • Documentos de referencia
    • Guía de implantación
      • Implementación para dispositivos médicos
  • MP.EQ.2 Bloqueo del puesto de trabajo [APLICA: BÁSICA, MEDIA, ALTA]
    • Objetivo
    • Documentos de referencia
    • Guía de implantación
      • Implementación para dispositivos médicos
  • MP.EQ.3 Protección de los equipos portátiles [APLICA: MEDIA, ALTA]
    • Objetivo
    • Documentos de referencia
    • Guía de implantación
      • Implementación para dispositivos médicos
    • Registro de entrega y devolución de material
      • Plantilla de registro de entrega
      • Registro de devolución
  • MP.EQ.4 Otros dispositivos conectados [APLICA: ALTA]
    • Objetivo
    • Documentos de referencia
    • Guía de implantación
      • Control de dispositivos IoT médicos
  • Evaluación de eficacia
    • Indicadores clave de rendimiento (KPIs)
    • Auditoría y revisión
    • Formación y concienciación
  • Responsabilidades
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI Labs Group S.L.)