Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, redesign and development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Non-product software validation
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Predetermined Change Control Plan
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-028 AI Development
    • GP-029 Software Delivery and Commissioning
    • GP-030 Cyber Security Management
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • General
      • ORG Marco organizativo
      • OP Marco operacional
        • OP.PL Planificación
        • OP.ACC Control de acceso
        • OP.EXP Explotación
        • OP.EXT Servicios externos
        • OP.NUB Servicios en la nube
        • OP.CONT Continuidad del servicio
          • OP.CONT Continuidad del servicio
          • OP.CONT.1 Análisis de impacto
          • OP.CONT.2 Plan de continuidad
          • OP.CONT.3 Pruebas periódicas
          • OP.CONT.4 Medios alternativos
        • OP.MON Monitorización del sistema
      • MP Medidas de protección
      • Sin asignar
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Legit.Health Utilities
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • BSI Non-Conformities
  • Pricing
  • Public tenders
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • OP Marco operacional
  • OP.CONT Continuidad del servicio
  • OP.CONT.1 Análisis de impacto

OP.CONT.1 Análisis de impacto

Finalidad​

Este documento recoge el Análisis de Impacto en el Negocio (BIA) conforme al control OP.CONT.1 del Anexo II del Real Decreto 311/2022. Su objetivo es identificar los servicios críticos, evaluar el impacto de su indisponibilidad en diferentes ventanas temporales, y determinar los objetivos de recuperación (RTO) y la categorización del sistema en las cinco dimensiones de seguridad (CITA).

Alcance​

Diseño, desarrollo, distribución, operación, procesamiento, análisis y soporte de una plataforma de software como servicio (SaaS) destinada al análisis automatizado y gestión de imágenes médicas para entidades sanitarias, según la declaración de aplicabilidad vigente.

Servicios​

Se han identificado cuatro servicios que componen el alcance del sistema de información:

CódigoServicioDescripción
SRV.1Diseño y Desarrollo de la PlataformaActividades de concepción, especificación, codificación, prueba y mejora continua de las funcionalidades de la plataforma. La indisponibilidad prolongada podría impactar indirectamente la disponibilidad, integridad y seguridad del sistema en producción al retrasar la aplicación de parches de seguridad, correcciones de errores críticos o la implementación de nuevas funcionalidades esenciales.
SRV.2Distribución del Servicio de la PlataformaProvisión del acceso, despliegue, configuración inicial y gestión del onboarding de nuevos clientes y usuarios a la plataforma.
SRV.3Soporte de la PlataformaPrestación de asistencia técnica, resolución de incidencias y atención a consultas relativas al uso y funcionamiento de la plataforma para los usuarios finales.
SRV.4Operación y Análisis de Imágenes MédicasEjecución de los procesos de ingestión, almacenamiento seguro, procesamiento automatizado y análisis de las imágenes médicas, así como la generación y presentación de los resultados clínicos a los usuarios finales. Este es el servicio central de la plataforma, que interactúa directamente con los datos más sensibles y críticos del sistema.

Análisis de impacto por servicio​

Para cada servicio se evalúa el impacto de su indisponibilidad en cuatro categorías (Imagen/Prestigio/Reputación, Legal/Normativo/Regulatorio, Retención de Clientes, Impacto Financiero) a lo largo de siete ventanas temporales.

SRV.1: Diseño y Desarrollo de la Plataforma​

Categoría0-4h4-8h8-24h1-3d3d-1s1-2s>2s
Imagen / Prestigio / ReputaciónBajoBajoMedioMedioAltoAltoCrítico
Legal / Normativo / RegulatorioBajoBajoBajoBajoMedioMedioAlto
Retención de ClientesBajoBajoBajoBajoMedioAltoCrítico
Impacto FinancieroBajoBajoMedioMedioAltoAltoCrítico
AgregadoBajoBajoMedioMedioAltoAltoCrítico
  • RTO: 24 horas
  • Disponibilidad: Medio

SRV.2: Distribución del Servicio de la Plataforma​

Categoría0-4h4-8h8-24h1-3d3d-1s1-2s>2s
Imagen / Prestigio / ReputaciónBajoMedioMedioAltoAltoCríticoCrítico
Legal / Normativo / RegulatorioBajoBajoMedioAltoAltoCríticoCrítico
Retención de ClientesBajoBajoMedioAltoAltoCríticoCrítico
Impacto FinancieroBajoBajoMedioAltoAltoCríticoCrítico
AgregadoBajoMedioMedioAltoAltoCríticoCrítico
  • RTO: 8 horas
  • Disponibilidad: Medio

SRV.3: Soporte de la Plataforma​

Categoría0-4h4-8h8-24h1-3d3d-1s1-2s>2s
Imagen / Prestigio / ReputaciónBajoAltoAltoAltoCríticoCríticoCrítico
Legal / Normativo / RegulatorioBajoAltoAltoAltoCríticoCríticoCrítico
Retención de ClientesBajoMedioMedioAltoCríticoCríticoCrítico
Impacto FinancieroBajoAltoAltoAltoCríticoCríticoCrítico
AgregadoBajoAltoAltoAltoCríticoCríticoCrítico
  • RTO: 8 horas
  • Disponibilidad: Medio

SRV.4: Operación y Análisis de Imágenes Médicas​

Categoría0-4h4-8h8-24h1-3d3d-1s1-2s>2s
Imagen / Prestigio / ReputaciónCríticoCríticoCríticoCríticoCríticoCríticoCrítico
Legal / Normativo / RegulatorioCríticoCríticoCríticoCríticoCríticoCríticoCrítico
Retención de ClientesCríticoCríticoCríticoCríticoCríticoCríticoCrítico
Impacto FinancieroCríticoCríticoCríticoCríticoCríticoCríticoCrítico
AgregadoCríticoCríticoCríticoCríticoCríticoCríticoCrítico
  • RTO: 4 horas
  • Disponibilidad: Alto
Servicio crítico

SRV.4 presenta impacto Crítico en todas las categorías y ventanas temporales, incluyendo la ventana 0-4h. Este servicio es el principal impulsor de la categorización ALTO del sistema.

Resumen de objetivos de recuperación​

ServicioRTO (horas)Disponibilidad
SRV.1: Diseño y Desarrollo24Medio
SRV.2: Distribución8Medio
SRV.3: Soporte8Medio
SRV.4: Operación y Análisis de Imágenes4Alto

Valoración de la información (CITA)​

Se valoran los activos de información en las cuatro dimensiones de seguridad de la información: Confidencialidad (C), Integridad (I), Trazabilidad (T) y Autenticidad (A).

ActivoCITATotal
Imágenes Médicas de PacientesAltoAltoAltoAltoAlto
Resultados de Análisis ClínicosAltoAltoAltoAltoAlto
Datos de Identificación de Pacientes y UsuariosAltoAltoAltoAltoAlto
Credenciales de Acceso a la PlataformaAltoAltoAltoAltoAlto
Configuración de la PlataformaAltoAltoAltoAltoAlto
Registros de Actividad (Logs)MedioAltoAltoMedioAlto
Total por DimensiónAltoAltoAltoAlto

Categorización final del sistema​

De conformidad con el Anexo I del Real Decreto 311/2022, y a partir del análisis de impacto y la valoración CITA realizados, la categorización del sistema es:

DimensiónNivel
Disponibilidad (D)Alto
Confidencialidad (C)Alto
Integridad (I)Alto
Trazabilidad (T)Alto
Autenticidad (A)Alto

Categoría del Sistema: ALTO​

Esta categorización implica la aplicación de todas las medidas de seguridad del Anexo II del Real Decreto 311/2022, incluyendo los refuerzos específicos para categoría ALTO, según lo detallado en la Declaración de Aplicabilidad.

Revisión​

Este análisis de impacto será revisado al menos una vez al año, o cuando se produzcan cambios significativos en los servicios, la infraestructura o el marco normativo aplicable.

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
  • Approver: JD-001 General Manager
ㅤ

Previous
OP.CONT Continuidad del servicio
Next
OP.CONT.2 Plan de continuidad
  • Finalidad
  • Alcance
  • Servicios
  • Análisis de impacto por servicio
    • SRV.1: Diseño y Desarrollo de la Plataforma
    • SRV.2: Distribución del Servicio de la Plataforma
    • SRV.3: Soporte de la Plataforma
    • SRV.4: Operación y Análisis de Imágenes Médicas
  • Resumen de objetivos de recuperación
  • Valoración de la información (CITA)
  • Categorización final del sistema
    • Categoría del Sistema: ALTO
  • Revisión
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI Labs Group S.L.)