Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, redesign and development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Non-product software validation
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Predetermined Change Control Plan
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-028 AI Development
    • GP-029 Software Delivery and Commissioning
    • GP-030 Cyber Security Management
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • General
      • ORG Marco organizativo
      • OP Marco operacional
        • OP.PL Planificación
        • OP.ACC Control de acceso
        • OP.EXP Explotación
          • OP.EXP.1 Inventario de activos
          • OP.EXP.10 Protección de los registros de actividad
          • OP.EXP.11 Protección de las claves criptográficas
          • OP.EXP.2 Configuración de seguridad
          • OP.EXP.3 Gestión de la configuración
          • OP.EXP.4 Mantenimiento
          • OP.EXP.5 Gestión de Cambios - Procedimiento Formal ENS
          • OP.EXP.6 Protección frente a código dañino
          • OP.EXP.7 Gestión de incidentes
          • OP.EXP.8 Registro de la actividad de los usuarios
          • OP.EXP.9 Registro de la gestión de incidentes
        • OP.EXT Servicios externos
        • OP.NUB Servicios en la nube
        • OP.CONT Continuidad del servicio
        • OP.MON Monitorización del sistema
      • MP Medidas de protección
      • Sin asignar
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Legit.Health Utilities
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • BSI Non-Conformities
  • Pricing
  • Public tenders
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • OP Marco operacional
  • OP.EXP Explotación
  • OP.EXP.3 Gestión de la configuración

OP.EXP.3 Gestión de la configuración

Documentos de referencia​

  • NIST SP 800-53 rev4:
    • [CM-3] Configuration Change Control
    • [CM-9] Configuration Management Plan
  • Otras referencias:
    • SANS - CIS Critical Security Controls - Version 6.1
      • CSC.3 - Secure Configurations for Hardware and Software
    • NIST 800-128 Guide for Security-Focused Configuration Management of Information Systems

Guía de implantación​

  1. Por encima de la configuración de cada equipo, hay que tener una visión integral del sistema, de los equipos que trabajan coordinadamente, de la estructura de líneas de defensa en profundidad y de la dinámica del sistema: su evolución temporal desde el punto de vista de arquitectura del sistema y desde el punto de vista de actualizaciones de los componentes.

  2. Los cambios deben ser controlados y la configuración debe ir a la par.

Implementación en la organización​

Sistema de gestión de configuración​

Categorías de elementos de configuración (CIs)​

Nivel 1: Componentes críticos del dispositivo médico​

Incluye los algoritmos de diagnóstico, configuración clínica (umbrales, parámetros de sensibilidad, terminología) y cualquier componente con impacto directo en la funcionalidad clínica.

Control de Cambios: Requiere validación clínica completa y aprobación de la Dirección.

Trazabilidad: Todos los cambios están vinculados al Design History File (DHF) y registros de Verificación y Validación (V&V).

Nivel 2: Infraestructura de soporte​

Incluye servidores, componentes de red (VPC, security groups, WAF) y servicios cloud.

Control de Cambios: Aprobación requerida del Change Advisory Board (CAB).

Proceso de gestión de configuración​

Identificación y registro​

Para cada elemento de configuración (CI) se registra:

  • Identificador único, nombre y tipo (software, hardware, algoritmo, documentación, red, servicio)
  • Criticidad, versión, estado y propietario
  • Dependencias con otros CIs
  • Indicación de si es componente de dispositivo médico y su impacto regulatorio

Control de versiones​

La organización utiliza el formato de versionado MAJOR.MINOR.PATCH.BUILD:

NivelDescripciónAprobación RequeridaValidación
MAJORCambios que afectan la indicación clínicaDirección + Regulatory AffairsEstudio clínico completo
MINORMejoras funcionales sin impacto clínicoResponsable del SistemaPruebas de regresión completas
PATCHCorrecciones y ajustes menoresResponsable del ServicioPruebas unitarias y de integración
BUILDNúmero de compilación automáticoAutomáticoCI/CD pipeline

Control de cambios​

El flujo de control de cambios comprende cuatro fases:

  1. Solicitud de cambio (RFC): Clasificación según CI afectado, evaluación de impacto (clínico, regulatorio, dependencias)
  2. Aprobación: Según matriz de aprobación por tipo de cambio (algoritmo IA, configuración crítica, infraestructura, documentación)
  3. Implementación: Validaciones pre-implementación, backup, ejecución por etapas con rollback disponible, validaciones post-implementación
  4. Verificación y cierre: Pruebas de aceptación, validación clínica si aplica, actualización de documentación

Baseline de configuración​

La organización mantiene un baseline de configuración que documenta las versiones aprobadas de todos los componentes del sistema. El proceso de gestión de baselines incluye:

  • Creación: Recolección de versiones actuales, cálculo de hash de integridad, validación automática (compatibilidad, seguridad, compliance)
  • Comparación: Análisis de diferencias entre baselines para gestión de cambios
  • Monitoreo continuo: Detección automatizada de desviaciones (configuration drift) con acciones según severidad

Auditoría y compliance​

La organización mantiene un registro completo e inmutable de todos los cambios de configuración, incluyendo: CI afectado, acción realizada, valores anterior y nuevo, RFC asociado, usuario, evidencia de aprobación, impacto en dispositivo médico y resultado de verificación de compliance.

Se genera un reporte mensual de gestión de configuración que incluye estadísticas de cambios, compliance con baselines y recomendaciones de mejora.

Métricas e indicadores​

La organización monitorea los siguientes KPIs:

  • Precisión: Tasa de CIs correctamente documentados, compliance con baseline, cobertura de descubrimiento
  • Gestión de cambios: Tasa de éxito, porcentaje de cambios de emergencia, tiempo medio de implementación, tasa de rollback
  • Compliance: Hallazgos por auditoría, tiempo de remediación, tasa de violaciones de políticas

Integración con otros controles ENS​

  • OP.EXP.1: Actualización automática del inventario de activos
  • OP.EXP.2: Aplicación de configuraciones de seguridad
  • OP.EXP.5: Proceso integrado de gestión de cambios
  • OP.EXP.7: Configuraciones relacionadas con incidentes
  • MP.SI.2: Configuración de controles criptográficos

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
  • Approver: JD-001 General Manager
ㅤ

Previous
OP.EXP.2 Configuración de seguridad
Next
OP.EXP.4 Mantenimiento
  • Documentos de referencia
  • Guía de implantación
  • Implementación en la organización
    • Sistema de gestión de configuración
      • Categorías de elementos de configuración (CIs)
        • Nivel 1: Componentes críticos del dispositivo médico
        • Nivel 2: Infraestructura de soporte
    • Proceso de gestión de configuración
      • Identificación y registro
      • Control de versiones
      • Control de cambios
    • Baseline de configuración
    • Auditoría y compliance
    • Métricas e indicadores
    • Integración con otros controles ENS
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI Labs Group S.L.)