Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, redesign and development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Non-product software validation
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Predetermined Change Control Plan
    • GP-025 Usability and Human Factors Engineering
    • GP-026 Market-specific product requirements
    • GP-027 Corporate Governance
    • GP-028 AI Development
    • GP-029 Software Delivery and Commissioning
    • GP-030 Cyber Security Management
    • GP-031 Training Data Governance
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-110 Esquema Nacional de Seguridad
      • General
      • ORG Marco organizativo
      • OP Marco operacional
        • OP.PL Planificación
        • OP.ACC Control de acceso
        • OP.EXP Explotación
        • OP.EXT Servicios externos
        • OP.NUB Servicios en la nube
        • OP.CONT Continuidad del servicio
          • OP.CONT Continuidad del servicio
          • OP.CONT.1 Análisis de impacto
          • OP.CONT.2 Plan de continuidad
          • OP.CONT.3 Pruebas periódicas
          • OP.CONT.4 Medios alternativos
        • OP.MON Monitorización del sistema
      • MP Medidas de protección
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-600 Equality Planning
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Legit.Health Utilities
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • BSI Non-Conformities
  • Pricing
  • Public tenders
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • OP Marco operacional
  • OP.CONT Continuidad del servicio
  • OP.CONT.1 Análisis de impacto

OP.CONT.1 Análisis de impacto

Finalidad​

Este procedimiento define la metodología para realizar el Análisis de Impacto en el Negocio (BIA) conforme al control OP.CONT.1 del Anexo II del Real Decreto 311/2022 y a la Guía CCN-STIC 803. Su objetivo es establecer un proceso sistemático y repetible para identificar los servicios críticos, evaluar el impacto de su indisponibilidad, y determinar los objetivos de recuperación y la categorización del sistema.

Alcance​

El análisis de impacto se aplica a todos los servicios que componen el sistema de información dentro del alcance de la declaración de aplicabilidad vigente.

Metodología​

El BIA se ejecuta en las siguientes fases:

Fase 1: Identificación de servicios​

Se identifican todos los servicios que componen el sistema de información. Para cada servicio se documenta:

  • Código: identificador único (SRV.1, SRV.2, etc.)
  • Nombre: denominación descriptiva del servicio
  • Descripción: funcionalidad y alcance del servicio

Fase 2: Análisis de impacto por servicio​

Para cada servicio se evalúa el impacto de su indisponibilidad en cuatro categorías a lo largo de siete ventanas temporales:

Categorías de impacto:

CategoríaQué evalúa
Imagen / Prestigio / ReputaciónDaño reputacional ante clientes, reguladores y mercado
Legal / Normativo / RegulatorioIncumplimientos normativos, sanciones o responsabilidades legales
Retención de ClientesRiesgo de pérdida de clientes o contratos
Impacto FinancieroPérdidas económicas directas e indirectas

Ventanas temporales: 0-4h, 4-8h, 8-24h, 1-3 días, 3 días-1 semana, 1-2 semanas, >2 semanas.

Escala de impacto:

NivelDescripción
Sin impactoNo se produce efecto apreciable
BajoImpacto menor, asumible sin consecuencias significativas
MedioImpacto apreciable que requiere atención
AltoImpacto grave con consecuencias significativas
CríticoImpacto catastrófico con consecuencias irreversibles o muy graves

El impacto agregado de cada ventana temporal es el nivel máximo alcanzado en cualquiera de las cuatro categorías.

Fase 3: Determinación del RTO​

A partir del análisis de impacto, se determina el Tiempo Objetivo de Recuperación (RTO) de cada servicio. El RTO corresponde a la ventana temporal a partir de la cual el impacto agregado alcanza un nivel inaceptable para la organización.

Se asigna también un nivel de Disponibilidad (Bajo, Medio, Alto) en función del RTO:

DisponibilidadRTO orientativo
Alto≤ 4 horas
Medio4 - 24 horas
Bajo> 24 horas

Fase 4: Valoración de la información (CITA)​

Se valoran los activos de información del sistema en las cuatro dimensiones de seguridad de la información:

DimensiónQué evalúa
Confidencialidad (C)Daño por divulgación no autorizada
Integridad (I)Daño por modificación no autorizada
Trazabilidad (T)Daño por incapacidad de rastrear quién hizo qué y cuándo
Autenticidad (A)Daño por falsedad en el origen o destinatario de la información

Cada activo se valora en cada dimensión con nivel Bajo, Medio o Alto, conforme a los criterios de la Guía CCN-STIC 803. El total por activo es el nivel máximo de las cuatro dimensiones.

Fase 5: Categorización del sistema​

De conformidad con el Anexo I del Real Decreto 311/2022, la categoría del sistema se determina como el nivel máximo alcanzado en las cinco dimensiones de seguridad (Disponibilidad, Confidencialidad, Integridad, Trazabilidad, Autenticidad), considerando tanto el análisis de impacto de los servicios como la valoración CITA de los activos.

La categoría resultante determina las medidas de seguridad aplicables del Anexo II.

Registro​

El resultado de cada ejecución del BIA se documenta en el registro R-110-007 Análisis de Impacto en el Negocio (BIA).

Revisión​

Este procedimiento y el análisis de impacto asociado serán revisados al menos una vez al año, o cuando se produzcan cambios significativos en los servicios, la infraestructura o el marco normativo aplicable.

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
  • Approver: JD-001 General Manager
ㅤ

Previous
OP.CONT Continuidad del servicio
Next
OP.CONT.2 Plan de continuidad
  • Finalidad
  • Alcance
  • Metodología
    • Fase 1: Identificación de servicios
    • Fase 2: Análisis de impacto por servicio
    • Fase 3: Determinación del RTO
    • Fase 4: Valoración de la información (CITA)
    • Fase 5: Categorización del sistema
  • Registro
  • Revisión
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI Labs Group S.L.)