OP.ACC.2 Requisitos de acceso
Finalidad
Este documento define los requisitos de acceso al sistema de información conforme al control OP.ACC.2 del Anexo II del Real Decreto 311/2022, aplicable a un sistema de categoría ALTO. El objetivo es garantizar que tanto los sistemas en producción como los previos a su puesta en explotación cuenten con un mecanismo de control de acceso adecuado.
Principios de control de acceso
El control de acceso se basa en los siguientes principios:
- Principio de menor privilegio: cada usuario recibe exclusivamente los derechos necesarios para desempeñar sus funciones.
- Necesidad de conocer: el acceso a la información se limita a quienes la necesitan para sus tareas.
- Control basado en identificación y autenticación: todo acceso requiere identificación previa (OP.ACC.1) y un mecanismo de autenticación (OP.ACC.5).
Matriz de control de acceso
La organización mantiene una matriz de control de acceso que relaciona:
- Los componentes del sistema y sus ficheros o registros de configuración.
- Los permisos de cada perfil de usuario.
De este modo, solo pueden acceder a los recursos los usuarios autorizados.
| Recurso | Usuarios de la plataforma | Personal técnico | Integraciones externas |
|---|---|---|---|
| Datos clínicos | Lectura/Escritura (propios) | Sin acceso | Según contrato |
| Configuración del sistema | Sin acceso | Lectura/Escritura | Sin acceso |
| Registros de auditoría | Sin acceso | Solo lectura | Sin acceso |
| Funciones de análisis | Ejecución | Sin acceso | Ejecución (API) |
Definición de derechos de acceso
El Responsable de la Información o del Servicio especifica los derechos de acceso a los recursos de su competencia, responsabilizándose de la asignación de autorización y nivel de acceso.
El proceso es el siguiente:
- El responsable del recurso define los perfiles de acceso necesarios y los documenta.
- El Responsable de Seguridad valida que los perfiles son coherentes con la política de seguridad.
- El Responsable del Sistema implementa los perfiles en la plataforma.
- Se revisan los derechos de acceso de forma periódica (ver OP.ACC.4).
Revisión de accesos
Los derechos de acceso se revisan con la siguiente periodicidad:
| Tipo de acceso | Frecuencia de revisión | Responsable |
|---|---|---|
| Accesos con privilegios de administración | Trimestral | Responsable de Seguridad |
| Accesos estándar | Semestral | Responsable de la Información / Responsable del Servicio |
| Accesos de integraciones y APIs | Anual | Responsable del Sistema |
Responsabilidades
| Rol ENS | Responsabilidad |
|---|---|
| Responsable de la Información | Definir los derechos de acceso a la información de su competencia |
| Responsable del Servicio | Definir los derechos de acceso al servicio de su competencia |
| Responsable de Seguridad | Validar la coherencia de los derechos con la política de seguridad |
| Responsable del Sistema | Implementar y mantener los controles técnicos de acceso |
Documentos de referencia
- Real Decreto 311/2022, Anexo II, OP.ACC.2
- Guías CCN-STIC: Serie 500 (Entornos Windows), Serie 600 (Otros Entornos)
- ISO/IEC 27002:2013: 9.1.1, 9.1.2, 9.4.1
- NIST SP 800-53 rev. 4: AC-3 (Access Enforcement), AC-6 (Least Privilege)
Signature meaning
The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:
- Author: Team members involved
- Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
- Approver: JD-001 General Manager