Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-008 Product requirements
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, redesign and development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Software validation plan
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Predetermined Change Control Plan
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-028 AI Development
    • GP-029 Software Delivery and Commissioning
    • GP-030 Cyber Security Management
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • ORG Marco organizativo
      • OP Marco operacional
      • MP Medidas de protección
        • MP.IF Protección de las instalaciones e infraestructuras
        • MP.PER Gestión del personal
          • MP.PER Gestión del personal
          • MP.PER.2 Registro de Formación y Concienciación ENS
        • MP.EQ Protección de los equipos
        • MP.COM Protección de las comunicaciones
        • MP.SI Protección de los soportes de información
        • MP.SW Protección de las aplicaciones informáticas
        • MP.INFO Protección de la información
        • MP.S Protección de los servicios
        • MP.AUX - Protección de Medios Auxiliares
      • Sin asignar
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • Grants
  • Pricing
  • Public tenders
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • MP Medidas de protección
  • MP.PER Gestión del personal
  • MP.PER Gestión del personal

MP.PER Gestión del personal

Esta sección establece las medidas de gestión del personal para organizaciones que desarrollan, fabrican o utilizan dispositivos médicos, garantizando la competencia, concienciación y responsabilidad en materia de ciberseguridad y seguridad de la información.

MP.PER.1 Caracterización del puesto de trabajo​

Objetivo​

Definir y documentar los requisitos de seguridad específicos para cada puesto de trabajo relacionado con dispositivos médicos, estableciendo perfiles de competencia y niveles de acceso apropiados según las responsabilidades.

Documentos de referencia​

  • T-024-006 Cybersecurity Risk Management Plan
  • Real Decreto 311/2022 - Artículo 34
  • ISO 27001:2022 - Control A.6.2 (Remote working)
  • Guía CCN-STIC 801 - Responsabilidades y funciones

Guía de implantación​

Implementación para dispositivos médicos​

Medidas obligatorias:

  1. Clasificación de puestos por criticidad

    • Críticos: Personal con acceso a sistemas de soporte vital, desarrollo de software médico crítico
    • Importantes: Personal sanitario con acceso a datos de pacientes, técnicos de mantenimiento de dispositivos
    • Normales: Personal administrativo con acceso limitado a sistemas médicos

  2. Perfiles de competencia específicos

    • Conocimientos técnicos requeridos por especialidad médica
    • Certificaciones profesionales obligatorias (bioingeniería, electromedicina)
    • Experiencia mínima en entornos sanitarios regulados

  3. Requisitos de seguridad diferenciados

    • Verificación de antecedentes para personal con acceso a datos críticos
    • Clearance de seguridad para desarrolladores de dispositivos implantables
    • Evaluaciones psicotécnicas para operadores de sistemas críticos

  4. Matriz de accesos por puesto

    • Definición granular de permisos por sistema médico
    • Principio de menor privilegio aplicado por función específica
    • Segregación de funciones entre desarrollo, testing y producción

Puestos específicos identificados:

  • Ingeniero de software médico senior/junior
  • Especialista en ciberseguridad de dispositivos médicos
  • Técnico de mantenimiento de equipos electromédicos
  • Personal sanitario usuario de dispositivos
  • Administrador de sistemas de información hospitalaria

Documentación requerida:

  • Descripción detallada de funciones y responsabilidades
  • Matriz de riesgos asociados al puesto
  • Procedimientos de emergencia específicos por rol
  • Criterios de evaluación de desempeño en seguridad

MP.PER.2 Deberes y obligaciones​

Objetivo​

Establecer claramente los deberes y obligaciones del personal en materia de ciberseguridad y protección de datos médicos, definiendo responsabilidades específicas y consecuencias por incumplimiento.

Documentos de referencia​

  • T-024-007 Threat Modeling Assessment
  • Real Decreto 311/2022 - Artículo 34
  • GDPR - Artículo 32 (Security of processing)
  • Código Deontológico Médico

Guía de implantación​

Implementación para dispositivos médicos​

Medidas obligatorias:

  1. Código de conducta específico para dispositivos médicos

    • Obligaciones de confidencialidad reforzadas para datos de pacientes
    • Prohibición de uso personal de sistemas médicos
    • Procedimientos obligatorios de reporte de incidentes de seguridad

  2. Responsabilidades por rol

    • Desarrolladores: Secure coding practices, testing de seguridad, documentación de vulnerabilidades
    • Personal sanitario: Uso responsable de dispositivos, reporte de anomalías, protección de credenciales
    • Administradores: Mantenimiento de configuraciones seguras, gestión de parches, monitoreo continuo
    • Directivos: Asignación de recursos, definición de políticas, supervisión de cumplimiento

  3. Gestión de conflictos de interés

    • Declaración de relaciones con proveedores de dispositivos médicos
    • Separación de funciones entre evaluación y adquisición
    • Transparencia en decisiones que afecten la seguridad de pacientes

  4. Procedimientos disciplinarios

    • Escalado progresivo por incumplimiento de políticas de seguridad
    • Suspensión inmediata de accesos ante violaciones graves
    • Procesos de rehabilitación y formación adicional

Documentos contractuales:

  • Cláusulas de confidencialidad específicas para datos médicos
  • Acuerdos de uso aceptable para sistemas de dispositivos médicos
  • Términos de responsabilidad por daños derivados de negligencia
  • Obligaciones post-empleo para protección de información sensible

MP.PER.3 Concienciación​

Objetivo​

Desarrollar y mantener una cultura de seguridad robusta en toda la organización, asegurando que el personal comprenda los riesgos específicos de ciberseguridad en el contexto de dispositivos médicos.

Documentos de referencia​

  • T-030-006 Incident Response Plan
  • Real Decreto 311/2022 - Artículo 34
  • NIST Cybersecurity Framework - Govern function
  • Guía CCN-STIC 808 - Verificación del cumplimiento de las medidas en el ENS

Guía de implantación​

Implementación para dispositivos médicos​

Medidas obligatorias:

  1. Programa de concienciación integral

    • Sesiones trimestrales sobre amenazas específicas del sector médico
    • Casos de estudio de incidentes reales en hospitales y dispositivos médicos
    • Simulacros de phishing adaptados al contexto sanitario

  2. Comunicaciones regulares de seguridad

    • Boletines mensuales de amenazas específicas para dispositivos médicos
    • Alertas inmediatas sobre vulnerabilidades críticas descubiertas
    • Historias de éxito en detección y prevención de incidentes

  3. Campañas temáticas específicas

    • "Mes de la contraseña segura": Enfoque en autenticación para sistemas críticos
    • "Semana del dispositivo seguro": Buenas prácticas para uso de equipos médicos
    • "Día de la privacidad del paciente": Protección de datos personales de salud

  4. Herramientas de concienciación interactivas

    • Plataforma e-learning con contenido específico de ciberseguridad médica
    • Juegos serios sobre respuesta a incidentes en entornos hospitalarios
    • Quizzes periódicos sobre políticas de seguridad y procedimientos

Métricas de efectividad:

  • Tasa de participación en formaciones > 95%
  • Reducción de incidentes de seguridad atribuibles a error humano > 40% anual
  • Tiempo medio de reporte de incidentes sospechosos < 30 minutos
  • Puntuación promedio en evaluaciones de conocimiento > 85%

MP.PER.3.1 Programa ENS de Concienciación en Seguridad​

Estructura del Programa Integral​

Programa Base Anual de Concienciación ENS:

  • Duración: 12 meses
  • Modalidad: Híbrida (presencial + e-learning)
  • Certificación: Obligatoria renovación anual

Módulos Fundamentales:

MóduloDuraciónContenidoEvaluación
1. Fundamentos ENS4 horas• Marco legal ENS (RD 311/2022)
• Niveles de seguridad y categorización
• Responsabilidades personales según ENS
• Integración ENS-dispositivos médicos		Examen 20 preguntas (80% mínimo)
2. Dispositivos Médicos Seguridad6 horas• Ciberseguridad específica dispositivos médicos
• Regulaciones FDA/MDR aplicables
• Gestión de vulnerabilidades médicas
• Casos de estudio: ataques reales hospitalarios		Simulación práctica incidente
3. Protección Datos Salud4 horas• GDPR específico datos de salud
• Clasificación información médica
• Procedimientos manejo PHI
• Comunicación segura en entorno clínico		Casos prácticos clasificación datos
4. Respuesta Incidentes3 horas• Identificación incidentes seguridad
• Procedimientos escalado y notificación
• Respuesta inicial y preservación evidencia
• Comunicación crisis con pacientes		Simulacro respuesta incidente
5. Tecnologías Emergentes3 horas• Seguridad en IA/ML médica
• IoMT (Internet of Medical Things)
• Telemedicina y consulta remota
• Blockchain en salud digital		Proyecto evaluación riesgos tecnología

Duración Total: 20 horas

Programas Especializados por Rol​

1. Personal Clínico:

  • Duración: 8 horas anuales
  • Modalidad: Microlearning + workshops presenciales
  • Contenido: Uso seguro dispositivos médicos, protección privacidad paciente
  • Evaluación: Observación práctica + quiz adaptativo (85% mínimo)

2. Administradores IT:

  • Duración: 24 horas anuales
  • Modalidad: Labs prácticos + certificación externa
  • Contenido: Implementación controles ENS, gestión vulnerabilidades dispositivos médicos
  • Certificaciones requeridas: CISSP Healthcare, CompTIA Healthcare IT
  • Evaluación: Laboratorio práctico + proyecto real (90% mínimo)

3. Ejecutivos:

  • Duración: 12 horas anuales
  • Modalidad: Workshops ejecutivos + business cases
  • Contenido: Responsabilidad legal ENS, ROI ciberseguridad médica
  • Evaluación: Business case presentation + Q&A session

4. Desarrolladores:

  • Duración: 20 horas anuales
  • Contenido: Secure coding médico, análisis vulnerabilidades, compliance FDA/MDR
  • Evaluación: Código review + certificación

5. Equipo de Seguridad:

  • Duración: 32 horas anuales
  • Contenido: Threat hunting médico, incident response, forensics dispositivos
  • Evaluación: Certificaciones profesionales + auditoría práctica

Plataforma de Aprendizaje:

Características:

  • Motor de aprendizaje adaptativo basado en desempeño individual
  • Entorno de simulación de hospital virtual (Philips IntelliVue, DICOM, Epic/Cerner)
  • Escenarios de incidentes: Ransomware, compromiso IoT ICU, breach EHR
  • Evaluación en tiempo real con escenarios de presión temporal

Currículum Personalizado:

  • Módulos base + específicos por rol
  • Ajustes por experiencia y formación previa
  • Módulos de remediación según gaps identificados
  • Duración estimada y calendario optimizado por empleado

MP.PER.3.2 Campañas de Concienciación Específicas​

Calendario Anual de Campañas​

Calendario Anual de Campañas de Concienciación:

PeríodoCampañaEnfoqueActividades ClaveMétrica Objetivo
Ene-Feb"Año Nuevo, Contraseñas Nuevas"Gestión segura credenciales sistemas médicos• Password managers clínico
• Workshops 2FA
• Simulaciones credential stuffing		95% adoption password manager
Mar-Abr"Dispositivos Médicos Conectados Seguros"IoMT security and device management• IoT device assessment tools
• Network segmentation médica
• Vendor security evaluation		100% IoMT segmentados
May-Jun"Mes de la Privacidad del Paciente"GDPR compliance healthcare• PHI handling best practices
• Privacy impact assessment
• Patient consent systems		Zero privacy incidents
Jul-Ago"Vacaciones Seguras, Sistemas Protegidos"Continuity planning y remote access• Secure remote access on-call
• Vacation coverage protocols
• Emergency access procedures		No security incidents
Sep-Oct"Mes de la Ciberseguridad - Salud Digital"National Cybersecurity Awareness Month• Phishing simulations healthcare
• Incident response tabletop
• Supply chain assessments		50% mejora detección phishing
Nov-Dic"Preparación para el Nuevo Año ENS"Annual compliance review• ENS compliance assessment
• Security goals next year
• Lessons learned integration		100% compliance review

Herramientas de Comunicación y Engagement​

Herramientas de Comunicación y Engagement:

1. Comunicaciones Internas:

HerramientaFrecuenciaContenidoFormato/CanalesObjetivo Engagement
Security NewsletterMensualVulnerabilidades dispositivos médicos, actualizaciones ENS, casos de éxitoInteractive HTML + mobile-friendly80% open rate, 25% click-through
Digital SignageSemanalTips seguridad, niveles amenaza actual, estado complianceHospital lobbies, break rooms, nursing stationsVisibilidad constante
Mobile App NotificationsSegún criticidadAlertas seguridad, recordatorios formación, actualizaciones políticasApp comunicación interna hospitalInmediato (crítico), 24h (informativo)

2. Engagement Interactivo:

Security Champions Program:

  • Estructura: Peer-to-peer security advocacy
  • Champions por departamento: 2-3 (según tamaño)
  • Formación adicional: 16 horas especializadas
  • Reconocimiento: Awards trimestrales y reconocimiento público

Gamificación:

  • Security Score Cards: Performance individual y equipo
  • Achievement Badges: Detección phishing, reporte incidentes, completar formación
  • Competiciones: Quarterly security knowledge competitions con premios
  • Leaderboards: Rankings departamentales de performance seguridad

MP.PER.4 Formación​

Objetivo​

Proporcionar formación técnica especializada y actualizada para garantizar que el personal posea las competencias necesarias para operar, mantener y desarrollar dispositivos médicos de forma segura.

Documentos de referencia​

  • T-024-006 Cybersecurity Risk Management Plan
  • Real Decreto 311/2022 - Artículo 34
  • ISO 14971:2019 - Application of risk management to medical devices
  • FDA Cybersecurity in Medical Devices - Postmarket guidance

Guía de implantación​

Implementación para dispositivos médicos​

Medidas obligatorias:

  1. Formación técnica especializada

    • Desarrolladores: Secure coding para dispositivos médicos, análisis de vulnerabilidades, testing de penetración
    • Personal sanitario: Uso seguro de dispositivos, reconocimiento de anomalías, procedimientos de emergencia
    • Técnicos: Mantenimiento seguro, actualización de firmware, calibración con consideraciones de seguridad
    • Administradores: Gestión de redes médicas, segmentación, monitoreo de dispositivos IoMT

  2. Certificaciones profesionales requeridas

    • CISSP-Healthcare para especialistas en ciberseguridad médica
    • CompTIA Healthcare IT Technician para técnicos de soporte
    • Certified Biomedical Equipment Technician (CBET) para mantenimiento
    • Formación específica del fabricante para cada tipo de dispositivo crítico

  3. Programas de formación continua

    • Actualización anual obligatoria sobre nuevas amenazas y vulnerabilidades
    • Formación específica antes de implementar nuevos dispositivos médicos
    • Cross-training para garantizar continuidad en roles críticos

  4. Simulacros y ejercicios prácticos

    • Simulacros de respuesta a ciberataques contra dispositivos médicos
    • Ejercicios de recuperación de sistemas críticos tras incidentes
    • Prácticas de comunicación de crisis con pacientes y familiares

Plan de formación diferenciado:

  • Personal nuevo: 40 horas de formación inicial en seguridad médica
  • Personal existente: 16 horas anuales de actualización
  • Personal crítico: 32 horas anuales + formación especializada
  • Directivos: 8 horas anuales de awareness ejecutivo

Evaluación y seguimiento:

  • Exámenes teóricos y prácticos tras cada formación
  • Evaluación de competencias en situaciones reales supervisadas
  • Certificación interna renovable cada 2 años
  • Registro detallado de formación por empleado

MP.PER.5 Personal alternativo​

Objetivo​

Garantizar la continuidad operacional de sistemas críticos de dispositivos médicos mediante la disponibilidad de personal alternativo capacitado y la gestión eficaz de la sustitución temporal.

Documentos de referencia​

  • T-030-006 Incident Response Plan
  • Real Decreto 311/2022 - Artículo 34
  • Plan de Continuidad de Negocio sectorial
  • Normativa laboral sanitaria aplicable

Guía de implantación​

Implementación para dispositivos médicos​

Medidas obligatorias:

  1. Identificación de roles críticos

    • Análisis de impacto de ausencia por puesto de trabajo
    • Definición de roles únicos vs roles con respaldo posible
    • Matriz de criticidad basada en impacto en seguridad del paciente

  2. Estrategias de cobertura diferenciada

    • Roles únicos críticos: Personal de guardia 24/7 con competencias equivalentes
    • Roles importantes: Cross-training de al menos 2 personas adicionales
    • Roles normales: Procedimientos documentados para sustitución externa

  3. Gestión de personal temporal y subcontratado

    • Verificación de competencias equivalentes al personal interno
    • Formación específica en políticas y procedimientos de seguridad
    • Supervisión reforzada durante período de adaptación
    • Restricciones de acceso hasta completar proceso de verificación

  4. Planes de contingencia por escenarios

    • Ausencia planificada (vacaciones, formación, bajas programadas)
    • Ausencia imprevista (enfermedad, emergencia personal)
    • Ausencia masiva (epidemia, desastre natural)
    • Rotación planificada para evitar dependencia excesiva

Procedimientos de activación:

  • Protocolos de notificación y escalado según criticidad del rol
  • Transferencia documentada de responsabilidades y accesos
  • Briefing de seguridad para personal sustituto
  • Monitoreo reforzado durante período de transición

Gestión del conocimiento:

  • Documentación actualizada de todos los procedimientos críticos
  • Base de conocimiento accesible para personal alternativo
  • Sistemas de mentoring y shadowing para roles complejos
  • Revisiones post-incidente para mejorar procedimientos de sustitución

Evaluación de eficacia​

Indicadores clave de rendimiento:

  • Tiempo medio de cobertura de roles críticos < 2 horas
  • Porcentaje de incidentes de seguridad durante sustituciones < 5%
  • Satisfacción del personal alternativo con formación recibida > 80%
  • Cumplimiento de planes de cross-training > 90%

Revisión y mejora continua:

  • Evaluación anual de efectividad de planes de personal alternativo
  • Simulacros trimestrales de activación de personal de respaldo
  • Actualización de competencias requeridas según evolución tecnológica
  • Benchmarking con mejores prácticas del sector sanitario

Consideraciones especiales para dispositivos médicos​

Aspectos regulatorios:

  • Cumplimiento con requisitos de cualificación del personal según FDA/CE
  • Validación de competencias para personal que opera dispositivos clase III
  • Documentación de formación para auditorías regulatorias
  • Trazabilidad de decisiones críticas tomadas por personal alternativo

Gestión de riesgos asociada:

  • Evaluación de riesgo de cada substitución según criticidad del sistema
  • Procedimientos de escalado automático ante detección de competencias insuficientes
  • Registro de lecciones aprendidas para mejorar futuros procesos de sustitución
  • Integración con sistema de gestión de riesgos general de la organización

Referencias cruzadas ENS​

Controles ENS Relacionados​

  • ORG.1: Política de seguridad define responsabilidades del personal
  • ORG.2: Normativa específica para gestión de personal en ENS
  • ORG.3: Procedimientos operativos incluyen gestión del personal
  • OP.ACC.4: Gestión de derechos de acceso integrada con gestión personal
  • OP.EXP.7: Respuesta a incidentes requiere personal capacitado
  • OP.CONT.2: Personal alternativo crítico para continuidad del servicio

Documentos QMS​

  • GP-001: Sistema de gestión documental para procedimientos de personal
  • GP-050: Gestión de recursos humanos y competencias
  • R-TF-013-002: Riesgos relacionados con competencias del personal
  • T-024-008: Plan de respuesta a incidentes - roles y responsabilidades

Estándares y Regulaciones​

  • Real Decreto 311/2022: Artículo 34 - Medidas de protección del personal
  • ISO/IEC 27001:2022: Control A.6.8 - Remote working
  • ISO 13485:2016: Competencia y toma de conciencia del personal
  • MDR (EU) 2017/745: Artículo 15 - Qualified persons
  • GDPR: Artículo 32 - Security of processing (personal training)

Registros y Evidencias​

  • R-110-004: Registro de formación en seguridad del personal
  • R-110-005: Evaluaciones de competencia en ciberseguridad
  • R-110-006: Incidentes de seguridad relacionados con personal
  • R-110-007: Plan de personal alternativo y sustituciones

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003, JD-004
  • Approver: JD-001
Previous
MP.PER Gestión del personal
Next
MP.PER.2 Registro de Formación y Concienciación ENS
  • MP.PER.1 Caracterización del puesto de trabajo
    • Objetivo
    • Documentos de referencia
    • Guía de implantación
      • Implementación para dispositivos médicos
  • MP.PER.2 Deberes y obligaciones
    • Objetivo
    • Documentos de referencia
    • Guía de implantación
      • Implementación para dispositivos médicos
  • MP.PER.3 Concienciación
    • Objetivo
    • Documentos de referencia
    • Guía de implantación
      • Implementación para dispositivos médicos
    • MP.PER.3.1 Programa ENS de Concienciación en Seguridad
      • Estructura del Programa Integral
      • Programas Especializados por Rol
    • MP.PER.3.2 Campañas de Concienciación Específicas
      • Calendario Anual de Campañas
      • Herramientas de Comunicación y Engagement
  • MP.PER.4 Formación
    • Objetivo
    • Documentos de referencia
    • Guía de implantación
      • Implementación para dispositivos médicos
  • MP.PER.5 Personal alternativo
    • Objetivo
    • Documentos de referencia
    • Guía de implantación
      • Implementación para dispositivos médicos
    • Evaluación de eficacia
    • Consideraciones especiales para dispositivos médicos
  • Referencias cruzadas ENS
    • Controles ENS Relacionados
    • Documentos QMS
    • Estándares y Regulaciones
    • Registros y Evidencias
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI LABS GROUP S.L.)