Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, redesign and development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Non-product software validation
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Predetermined Change Control Plan
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-028 AI Development
    • GP-029 Software Delivery and Commissioning
    • GP-030 Cyber Security Management
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • General
      • ORG Marco organizativo
        • ORG.1 Política de Seguridad de la Información
        • ORG.2 Normativa de Seguridad
        • ORG.3 Procedimientos Operativos de Seguridad
        • ORG.4 Proceso de Autorización
        • ORG.5 Checklist de Auditoría Interna ENS
        • Plantilla de Documento ENS
      • OP Marco operacional
      • MP Medidas de protección
      • Sin asignar
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Legit.Health Utilities
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • Pricing
  • Public tenders
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • ORG Marco organizativo
  • ORG.1 Política de Seguridad de la Información

ORG.1 Política de Seguridad de la Información

Documento de uso público

Esta Política de Seguridad de la Información es un documento público, de conformidad con el artículo 12 del Real Decreto 311/2022. Debe ser comunicada a todas las partes interesadas.

Aprobación y entrada en vigor​

Esta Política de Seguridad de la Información es efectiva desde la fecha de firma y hasta que sea reemplazada por una nueva Política. Será objeto de revisión y aprobación anual por la Dirección, de conformidad con el artículo 9 del Real Decreto 311/2022 sobre reevaluación periódica.

Misión de la organización​

Para alcanzar nuestros objetivos, asumimos nuestro compromiso con la seguridad de la información, comprometiéndonos a la adecuada gestión de esta, con el fin de ofrecer a todos nuestros grupos de interés las mayores garantías en torno a la seguridad de la información utilizada.

Nuestra actividad consiste en el diseño, desarrollo y mantenimiento de herramientas de soporte al diagnóstico médico. En concreto, desarrollamos una plataforma de software como servicio (SaaS) que permite el análisis automatizado de imágenes médicas para entidades sanitarias. Nuestros productos están clasificados como dispositivos médicos de acuerdo con el Reglamento (UE) 2017/745.

Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo con el Artículo 8 del ENS (Artículo 8. Prevención, detección, respuesta y conservación).

Alcance​

Esta política se aplica a todos los sistemas TIC de la entidad y a todos los miembros de la organización implicados en servicios y proyectos destinados al sector público que requieran la aplicación del ENS, sin excepciones.

Objetivos​

La Dirección establece los siguientes objetivos de seguridad de la información:

  • Proporcionar un marco para aumentar la capacidad de resistencia o resiliencia para dar una respuesta eficaz.
  • Asegurar la recuperación rápida y eficiente de los servicios frente a cualquier desastre físico o contingencia que pudiera ocurrir y que pusiera en riesgo la continuidad de las operaciones.
  • Prevenir incidentes de seguridad de la información en la medida que sea técnica y económicamente viable, así como mitigar los riesgos de seguridad de la información generados por nuestras actividades.
  • Garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.

Marco normativo​

Uno de nuestros objetivos es cumplir con los requisitos legales aplicables y con cualesquiera otros requisitos que suscribamos, además de los compromisos adquiridos con los clientes, así como la actualización continua de los mismos. El marco legal y regulatorio en el que desarrollamos nuestras actividades es:

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD).
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS).
  • Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).
  • Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
  • Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
  • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual.
  • Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios (MDR).
  • Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, por el que se establecen normas armonizadas en materia de inteligencia artificial (AI Act).

Desarrollo de la política​

Para poder lograr estos objetivos es necesario:

  • Mejorar continuamente nuestro sistema de seguridad de la información.
  • Identificar las amenazas potenciales, así como el impacto en las operaciones de negocio que dichas amenazas, caso de materializarse, puedan causar.
  • Preservar los intereses de sus principales partes interesadas (clientes, accionistas, empleados y proveedores), la reputación, la marca y las actividades de creación de valor.
  • Trabajar de forma conjunta con nuestros suministradores y subcontratistas con el fin de mejorar la prestación de servicios de TI, la continuidad de los servicios y la seguridad de la información.
  • Evaluar y garantizar la competencia técnica del personal, así como asegurar la motivación adecuada para su participación en la mejora continua de nuestros procesos, proporcionando la formación y la comunicación interna adecuada.
  • Garantizar un análisis de manera continua de todos los procesos relevantes, estableciéndose las mejoras pertinentes en función de los resultados obtenidos y de los objetivos establecidos.

La documentación de seguridad se estructura en:

  • Política de Seguridad: el presente documento, de carácter público.
  • Normativa de seguridad: documentos que describen el uso de equipos, servicios e instalaciones, lo que se considera uso indebido, la responsabilidad del personal y las medidas disciplinarias. De carácter interno.
  • Documentos específicos: documentación de seguridad desarrollada según las guías CCN-STIC que resulten de aplicación.
  • Procedimientos de seguridad: documentos que detallan cómo operar los elementos del sistema.

Organización de seguridad​

La responsabilidad esencial recae sobre la Dirección General de la organización, que es responsable de organizar las funciones y responsabilidades y de facilitar los recursos adecuados para conseguir los objetivos del ENS.

De acuerdo con el artículo 11 del Real Decreto 311/2022, en los sistemas de información se diferencia el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema. La responsabilidad de la seguridad de los sistemas de información está diferenciada de la responsabilidad sobre la explotación de los sistemas de información concernidos.

FunciónDeberes y responsabilidades
Responsable de la información (RINFO)Tomar las decisiones relativas a la información tratada. Determinar los requisitos de seguridad de la información según los parámetros del Anexo I del ENS.
Responsable de los servicios (RSERV)Determinar los requisitos de seguridad de los servicios prestados según los parámetros del Anexo I del ENS.
Responsable de la seguridad (RSEG)Determinar la idoneidad de las medidas técnicas de seguridad. Supervisar la implantación de las medidas necesarias. Elaborar la Declaración de Aplicabilidad.
Responsable del sistema (RSIS)Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida. Adoptar las medidas correctoras derivadas de las auditorías de seguridad.
DirecciónProporcionar los recursos necesarios. Aprobar la Política de Seguridad. Designar a los responsables.
Administrador de Seguridad (AS)Implantación, gestión y mantenimiento de las medidas de seguridad aplicables al sistema de información.
Diferenciación de responsabilidades

El Responsable de la Seguridad y el Responsable del Sistema son personas distintas, sin dependencia jerárquica entre ellos, de conformidad con el artículo 11.2 del Real Decreto 311/2022.

Las diferencias de criterios que pudiesen derivar en un conflicto se tratarán en el seno del Comité de Seguridad y prevalecerá en todo caso el criterio de la Dirección General.

Matriz RACI​

TareaDirecciónRINFORSERVRSEGRSISAS
Niveles de seguridad (información)AIRC
Niveles de seguridad (servicio)IARC
Categoría del sistemaIII
Análisis de riesgosAIIRC
Declaración de aplicabilidadACI
Configuración de seguridadIIACR
Aceptación del riesgo residualACRI
Política de seguridadACCRC
Normativa de seguridadCCACI
Procedimientos de seguridadIICA
Implantación de medidas de seguridadIICAR
Planes de continuidadIICA

Comité de Seguridad​

El Comité de Seguridad es el órgano con mayor responsabilidad dentro del sistema de gestión de seguridad de la información. Todas las decisiones más importantes relacionadas con la seguridad se acuerdan por este comité.

Los miembros del Comité de Seguridad de la Información son:

  • Responsable de la Seguridad
  • Responsable del Sistema
  • Responsable del Servicio
  • Responsable de la Información

Estos miembros son designados por la Dirección mediante cartas de designación formales, de conformidad con el artículo 11 del Real Decreto 311/2022. El Comité de Seguridad es un órgano autónomo, ejecutivo y con autonomía para la toma de decisiones.

La organización de la seguridad de la información, incluyendo las funciones detalladas de cada responsable, se desarrolla en el Acta de Constitución del Comité de Seguridad.

Gestión de riesgos​

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se revisa regularmente:

  • Al menos una vez al año.
  • Cuando cambie la información manejada.
  • Cuando cambien los servicios prestados.
  • Cuando ocurra un incidente grave de seguridad.
  • Cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, el Comité de Seguridad establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

Para la realización del análisis de riesgos se tendrá en cuenta la metodología de análisis de riesgos desarrollada en el procedimiento de Análisis de Riesgos.

Gestión de personal​

Todos los miembros de la organización tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados.

Todos los miembros de la organización atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de la organización, en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación como si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

Profesionalidad y seguridad de los recursos humanos​

Esta Política se aplica a todo el personal de la organización y al personal externo que realiza tareas dentro de la empresa.

Recursos Humanos incluirá funciones de seguridad de la información en las descripciones de los puestos de trabajo, informará a todo el personal que contrate de sus obligaciones con respecto al cumplimiento de la Política de Seguridad de la Información, gestionará los compromisos de confidencialidad con el personal y coordinará las tareas de capacitación de los usuarios.

El Responsable de la Seguridad es responsable de monitorear, documentar y analizar los incidentes de seguridad reportados, así como de comunicarlos al Comité de Seguridad y a los propietarios de información.

Todo el personal de la organización es responsable de informar sobre las debilidades e incidentes de seguridad de la información que se detecten oportunamente.

Autorización y control de acceso a los sistemas de información​

El control del acceso a los sistemas de información tiene por objetivo:

  • Evitar el acceso no autorizado a sistemas de información, bases de datos y servicios de información.
  • Implementar la seguridad en el acceso de los usuarios a través de técnicas de autenticación y autorización.
  • Controlar la seguridad en la conexión entre nuestras redes y otras redes públicas o privadas.
  • Revisar los eventos críticos y las actividades llevadas a cabo por los usuarios en los sistemas.
  • Concienciar sobre su responsabilidad por el uso de contraseñas y equipos.
  • Garantizar la seguridad de la información cuando se utilizan ordenadores portátiles y dispositivos personales para el trabajo remoto.

Adquisición de productos de seguridad y contratación de servicios​

Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

Se tendrá en cuenta la seguridad de la información en la adquisición y mantenimiento de los sistemas de información, limitando y gestionando el cambio.

Seguridad por defecto​

Consideramos estratégico para la entidad que los procesos integren la seguridad de la información como parte de su ciclo de vida. Los sistemas de información y los servicios deben incluir la seguridad por defecto desde su creación hasta su retirada, incluyéndose la seguridad en las decisiones de desarrollo y/o adquisición y en todas las actividades en explotación, estableciéndose la seguridad como un proceso integral y transversal.

Integridad y actualización del sistema​

Nos comprometemos a garantizar la integridad del sistema mediante un proceso de gestión de cambios que permita el control de la actualización de los elementos físicos o lógicos mediante la autorización previa a su instalación en el sistema. Dicha evaluación será llevada a cabo principalmente por el Responsable del Sistema, que evaluará el impacto en la seguridad del sistema antes de realizar los cambios y controlará de forma documentada aquellos cambios que se evalúen como importantes o con implicaciones en la seguridad de los sistemas.

Mediante revisiones periódicas de seguridad se evaluará el estado de seguridad de los sistemas, en relación con las especificaciones de los fabricantes, las vulnerabilidades y las actualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de estos.

Protección de la información almacenada y en tránsito​

Establecemos medidas de protección para la seguridad de la información almacenada o en tránsito a través de entornos inseguros. Tendrán la consideración de entornos inseguros los equipos portátiles, asistentes personales, dispositivos periféricos, soportes de información y comunicaciones sobre redes abiertas o con cifrado débil.

Prevención ante sistemas de información interconectados​

Establecemos medidas de protección para la seguridad de la información, especialmente para proteger el perímetro, en particular si se conecta a redes públicas.

En todo caso se analizarán los riesgos derivados de la interconexión del sistema, a través de redes, con otros sistemas, y se controlará su punto de unión.

Registro de la actividad y detección de código dañino​

Se registrará la actividad de los usuarios en los sistemas de información, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas. Se dispondrán de mecanismos de detección de código dañino en todos los puntos relevantes del sistema.

Incidentes de seguridad​

Disponemos de un procedimiento para la gestión ágil de los eventos e incidentes de seguridad que supongan una amenaza para la información y los servicios. Este procedimiento se integrará con otros relacionados con los incidentes de seguridad de otras normas sectoriales como la de protección de datos personales u otras que sean de aplicación.

Se notificarán los incidentes de seguridad al CCN-CERT de conformidad con las instrucciones técnicas de seguridad aplicables, sin perjuicio de la comunicación a INCIBE.

Continuidad de la actividad​

Con el objetivo de garantizar la continuidad de las actividades, establecemos medidas para que los sistemas dispongan de copias de seguridad y mecanismos necesarios para garantizar la continuidad de las operaciones en caso de pérdida de los medios habituales de trabajo.

Mejora continua del proceso de seguridad​

Establecemos un proceso de mejora continua de la seguridad de la información aplicando los criterios y metodología establecida en el ciclo de Deming (planificar, hacer, verificar, actuar) y en normas internacionales como ISO 27001.

Revisión de la política​

Esta Política de Seguridad de la Información será revisada y aprobada anualmente por la Dirección, de conformidad con el artículo 9 del Real Decreto 311/2022 y el apartado 1.1.d del Anexo III del ENS.

La revisión comprenderá: cambios en el marco normativo, cambios organizativos y técnicos, resultados de auditorías y evaluaciones de riesgos, y lecciones aprendidas de incidentes de seguridad.

Firmado por la Dirección.

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
  • Approver: JD-001 General Manager
Previous
ORG Marco organizativo
Next
ORG.2 Normativa de Seguridad
  • Aprobación y entrada en vigor
  • Misión de la organización
  • Alcance
  • Objetivos
  • Marco normativo
  • Desarrollo de la política
  • Organización de seguridad
    • Matriz RACI
  • Comité de Seguridad
  • Gestión de riesgos
  • Gestión de personal
  • Profesionalidad y seguridad de los recursos humanos
  • Autorización y control de acceso a los sistemas de información
  • Adquisición de productos de seguridad y contratación de servicios
  • Seguridad por defecto
  • Integridad y actualización del sistema
  • Protección de la información almacenada y en tránsito
  • Prevención ante sistemas de información interconectados
  • Registro de la actividad y detección de código dañino
  • Incidentes de seguridad
  • Continuidad de la actividad
  • Mejora continua del proceso de seguridad
  • Revisión de la política
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI Labs Group S.L.)