Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, redesign and development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Non-product software validation
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Predetermined Change Control Plan
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-028 AI Development
    • GP-029 Software Delivery and Commissioning
    • GP-030 Cyber Security Management
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • General
      • ORG Marco organizativo
      • OP Marco operacional
        • OP.PL Planificación
        • OP.ACC Control de acceso
        • OP.EXP Explotación
          • OP.EXP.1 Inventario de activos
          • OP.EXP.10 Protección de los registros de actividad
          • OP.EXP.11 Protección de las claves criptográficas
          • OP.EXP.2 Configuración de seguridad
          • OP.EXP.3 Gestión de la configuración
          • OP.EXP.4 Mantenimiento
          • OP.EXP.5 Gestión de Cambios - Procedimiento Formal ENS
          • OP.EXP.6 Protección frente a código dañino
          • OP.EXP.7 Gestión de incidentes
          • OP.EXP.8 Registro de la actividad de los usuarios
          • OP.EXP.9 Registro de la gestión de incidentes
        • OP.EXT Servicios externos
        • OP.NUB Servicios en la nube
        • OP.CONT Continuidad del servicio
        • OP.MON Monitorización del sistema
      • MP Medidas de protección
      • Sin asignar
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Legit.Health Utilities
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • BSI Non-Conformities
  • Pricing
  • Public tenders
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • OP Marco operacional
  • OP.EXP Explotación
  • OP.EXP.1 Inventario de activos

OP.EXP.1 Inventario de activos

Documentos de referencia​

  • ISO/IEC 27000
    • 27002:2013:
      • 8.1.1 - Inventario de activos
      • 8.1.2 - Propiedad de los activos
  • NIST SP 800-53 rev4:
    • [CM-8] Information System Component Inventory
    • [PM-5] Information System Inventory
  • Otras referencias:
    • SANS - CIS Critical Security Controls - Version 6.1
    • CSC.1 - Inventory of Authorized and Unauthorized Devices
    • CSC.2 - Inventory of Authorized and Unauthorized Software

Guía de implantación​

  1. El inventario debe cubrir todo el dominio de seguridad del responsable de la seguridad del sistema de información, hasta alcanzar los puntos de interconexión y los servicios prestados por terceros. La granularidad debe ser suficiente para cubrir las necesidades de reporte de incidentes y para hacer un seguimiento, tanto formal (auditorías) como reactivo en el proceso de gestión de incidentes.
  • Identificación del activo: fabricante, modelo, número de serie
  • Configuración del activo: perfil, política, software instalado
  • Software instalado: fabricante, producto, versión y parches aplicados
  • Equipamiento de red: MAC, IP asignada (o rango)
  • Ubicación del activo: ¿dónde está?
  • Propiedad del activo: persona responsable del mismo

Implementación en la organización​

Inventario centralizado en GP-018​

El inventario de activos de hardware y software se gestiona de forma centralizada en el procedimiento GP-018 (Infrastructure and Facilities) y sus registros asociados. El presente control (OP.EXP.1) define los requisitos de seguridad que dicho inventario debe cumplir para el ENS, y referencia GP-018 como fuente de datos.

Para la primera auditoría ENS, el alcance mínimo del inventario es hardware y software. En futuras iteraciones se ampliará a datos, comunicaciones y otros activos.

Alcance del inventario​

El inventario de activos cubre todos los componentes del sistema de información, clasificados según las categorías Magerit:

  • Datos/Información: Datos clínicos, configuraciones del sistema, registros de auditoría, documentación regulatoria
  • Claves criptográficas: Certificados, claves de cifrado, secretos de aplicación
  • Servicios: Servicios de diagnóstico, distribución, soporte, operación y análisis
  • Software: Aplicaciones, componentes de IA, servicios backend, bases de datos, librerías
  • Hardware: Equipos de los empleados (MacBook), dispositivos de red
  • Comunicaciones/Redes: Redes virtuales, VPNs, conexiones a proveedores
  • Soportes de información: Almacenamiento cloud, backups

Un activo puede pertenecer a varios grupos Magerit simultáneamente. Los activos se agrupan por tipo (por ejemplo, todos los MacBook juntos), no individualmente.

Estructura del inventario​

Para cada activo, el inventario debe recoger como mínimo:

  • Identificador único del activo
  • Nombre y descripción
  • Grupo(s) Magerit (datos, claves, servicios, software, hardware, comunicaciones, soportes)
  • Propietario del activo: Siempre la empresa (quien contrata y paga el activo)
  • Propietario del riesgo: Persona responsable de gestionar los riesgos del activo (normalmente el Responsable del Sistema)
  • Usuario asignado: Solo para dispositivos asignados a personas concretas (no aplica a servidores ni servicios cloud)
  • Clasificación de seguridad (dimensiones CITA)
  • Criticidad (alta, media, baja)
  • Ubicación (física o lógica)
  • Versión (si aplica)
  • Fecha de alta y estado operacional

Categorización de activos por criticidad​

Nivel 1 - Críticos (Impacto directo en diagnóstico)​

  • Modelos de IA para diagnóstico
  • Base de datos de imágenes clínicas
  • Algoritmos de scoring de severidad
  • Interfaz de visualización diagnóstica

Nivel 2 - Importantes (Soporte al diagnóstico)​

  • Sistema de autenticación y autorización
  • Logs de auditoría clínica
  • APIs de integración con sistemas externos
  • Sistema de backup y recuperación

Nivel 3 - Estándar (Operación general)​

  • Documentación de usuario
  • Herramientas administrativas
  • Sistemas de monitorización

Responsabilidades​

Responsable del Sistema​

  • Aprobación del inventario maestro
  • Revisión trimestral de activos críticos
  • Autorización de nuevos activos de Nivel 1

Responsable de Seguridad​

  • Mantenimiento del inventario
  • Clasificación de seguridad de activos
  • Auditorías semestrales del inventario

Responsable del Servicio​

  • Actualización de activos de infraestructura
  • Gestión de versiones de software
  • Documentación de cambios técnicos

Procedimientos de gestión​

Alta de nuevos activos​

  1. Solicitud: Justificación clínica/técnica
  2. Evaluación: Análisis de riesgos
  3. Clasificación: Asignación de nivel de criticidad y seguridad
  4. Registro: Entrada en el sistema de inventario
  5. Notificación: Comunicación a las partes interesadas

Actualización del inventario​

  • Frecuencia: Mensual para activos críticos, trimestral para el resto
  • Triggers de actualización:
    • Cambios en versiones de software
    • Modificaciones en infraestructura
    • Incidentes de seguridad
    • Auditorías regulatorias
    • Cambios en algoritmos de IA

Baja de activos​

  1. Evaluación de impacto: Análisis de dependencias
  2. Plan de migración: Si aplica
  3. Sanitización: Borrado seguro según NIST SP 800-88
  4. Documentación: Registro de la baja
  5. Archivo: Mantener registro por 10 años (requisito MDR)

Métricas e indicadores​

KPIs del inventario​

  • Completitud: % de activos documentados vs. descubiertos
  • Actualización: Tiempo medio de registro de nuevos activos
  • Conformidad: % de activos con clasificación completa
  • Riesgos: Número de activos críticos sin propietario asignado

Integración con otros controles ENS​

  • OP.EXP.2: Configuración de seguridad basada en criticidad de activos
  • OP.EXP.5: Gestión de cambios vinculada al inventario
  • OP.EXP.7: Priorización de incidentes según activos afectados
  • MP.SI.2: Cifrado aplicado según clasificación de activos

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
  • Approver: JD-001 General Manager
ㅤ

Previous
OP.EXP Explotación
Next
OP.EXP.10 Protección de los registros de actividad
  • Documentos de referencia
  • Guía de implantación
  • Implementación en la organización
    • Inventario centralizado en GP-018
    • Alcance del inventario
    • Estructura del inventario
    • Categorización de activos por criticidad
      • Nivel 1 - Críticos (Impacto directo en diagnóstico)
      • Nivel 2 - Importantes (Soporte al diagnóstico)
      • Nivel 3 - Estándar (Operación general)
    • Responsabilidades
      • Responsable del Sistema
      • Responsable de Seguridad
      • Responsable del Servicio
    • Procedimientos de gestión
      • Alta de nuevos activos
      • Actualización del inventario
      • Baja de activos
    • Métricas e indicadores
      • KPIs del inventario
    • Integración con otros controles ENS
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI Labs Group S.L.)