Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, redesign and development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Non-product software validation
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Predetermined Change Control Plan
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-028 AI Development
    • GP-029 Software Delivery and Commissioning
    • GP-030 Cyber Security Management
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • General
      • ORG Marco organizativo
        • ORG.1 Política de Seguridad de la Información
        • ORG.2 Normativa de Seguridad
        • ORG.3 Procedimientos Operativos de Seguridad
        • ORG.4 Proceso de Autorización
        • ORG.5 Checklist de Auditoría Interna ENS
        • Plantilla de Documento ENS
      • OP Marco operacional
      • MP Medidas de protección
      • Sin asignar
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Legit.Health Utilities
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • Pricing
  • Public tenders
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • ORG Marco organizativo
  • ORG.4 Proceso de Autorización

ORG.4 Proceso de Autorización

Finalidad​

Este documento establece el proceso formal de autorización conforme al Artículo 10 del Real Decreto 311/2022, definiendo quién es responsable de autorizar cada tipo de actuación sobre los sistemas de información y a través de qué medio se formaliza dicha autorización, de forma que exista evidencia trazable.

Este proceso complementa los procedimientos de autorización ya existentes en el sistema de gestión de calidad (GP-009, GP-013), añadiendo las categorías específicamente requeridas por el Anexo II del ENS.

Ámbito de aplicación​

El proceso de autorización es de aplicación a todos los elementos del sistema de información. Para los elementos ya en producción a la fecha de aprobación de este documento, se entiende que cuentan con autorización implícita derivada de los procesos de gestión existentes. A partir de la entrada en vigor de este documento, toda nueva incorporación o cambio sustancial deberá seguir el proceso aquí descrito.

Tabla de autorizaciones​

La siguiente tabla define, para cada categoría requerida por el Anexo II del Real Decreto 311/2022, el responsable de autorizar y el medio a través del cual se formaliza la autorización:

Ref.AutorizaciónResponsable de autorizarMedio de autorización
org.4.aUtilización de instalaciones, habituales y alternativasDirecciónTodo el personal queda autorizado al uso de las instalaciones habituales desde la firma de su contrato laboral. La organización opera al 100 % en remoto; en caso de necesitar utilizar instalaciones alternativas (espacios de coworking, salas de reuniones, etc.), se autorizará mediante correo electrónico de Dirección.
org.4.bEntrada de equipos en producción, en particular equipos que involucren criptografíaResponsable de SeguridadMediante correo electrónico del Responsable de Seguridad. Para equipos que involucren funciones criptográficas, la autorización debe ser explícita e incluir la justificación técnica.
org.4.cEntrada de aplicaciones en producciónResponsable del ServicioMediante correo electrónico o aprobación en el sistema de integración continua (CI/CD). Los despliegues a producción quedan registrados en el historial de versiones del repositorio.
org.4.dEstablecimiento de enlaces de comunicaciones con otros sistemasResponsable del SistemaMediante correo electrónico. Incluye la habilitación de nuevas integraciones, APIs, canales de transferencia de datos o cualquier conexión con sistemas externos no previstos en la arquitectura de seguridad vigente.
org.4.eUtilización de medios de comunicación, habituales y alternativosResponsable de la InformaciónTodo el personal contratado queda autorizado a utilizar los medios de comunicación habituales (correo corporativo, plataforma de videoconferencia, mensajería corporativa) desde la creación de su cuenta de usuario. Para utilizar medios alternativos no incluidos en la lista de herramientas aprobadas, se requiere autorización mediante correo electrónico.
org.4.fUtilización de soportes de informaciónResponsable de la InformaciónMediante correo electrónico. El uso de soportes removibles (USB, discos externos) está prohibido por defecto según la Normativa de Seguridad (ORG.2). Cualquier excepción requiere autorización explícita con justificación.
org.4.gUtilización de equipos móviles (portátiles, tabletas, teléfonos u otros de naturaleza análoga)Responsable de la Información / Responsable del SistemaTodo el personal al que se le asigna un equipo portátil queda autorizado a su uso desde el momento de la entrega, que se formaliza mediante el documento de Aceptación de Políticas, Obligaciones y Credenciales (ORG.2). Para equipos adicionales o cambios, mediante correo electrónico.
org.4.hUtilización de servicios de terceros, bajo contrato, convenio o encargoResponsable de SeguridadMediante aprobación de la contratación. La evaluación de proveedores se realiza conforme al procedimiento GP-009. Para adquisiciones que conlleven un riesgo alto para la seguridad, la autorización final corresponde al Responsable de Seguridad independientemente de lo debatido en comité.

Evidencia y trazabilidad​

Toda autorización debe generar evidencia trazable. Los medios aceptados como evidencia de autorización son:

  • Correo electrónico: mensaje del responsable autorizante dirigido al solicitante, con copia al Responsable de Seguridad cuando proceda.
  • Aprobación en herramienta corporativa: registro en el sistema de gestión de proyectos, CI/CD, o sistema de tickets que identifique al autorizante y la fecha.
  • Contrato laboral: para autorizaciones implícitas derivadas de la contratación.
  • Documento de aceptación firmado: para la entrega de equipos y credenciales (ORG.2).
  • Aprobación de compra: para la contratación de servicios de terceros (GP-009).

Las evidencias de autorización se conservarán durante un mínimo de 5 años y estarán disponibles para auditorías.

Criterios de autorización​

Antes de emitir una autorización, el responsable debe verificar que:

  1. El elemento o actuación solicitada es necesario para el desempeño de las funciones asignadas.
  2. Se han evaluado los riesgos asociados y son aceptables.
  3. Se cumplen las medidas de seguridad aplicables según la categoría del sistema (ALTO).
  4. No existen incompatibilidades con la política o normativa de seguridad vigente.
  5. Se dispone de los recursos necesarios para mantener la seguridad del elemento autorizado.

Para actuaciones de alto riesgo (entrada de equipos criptográficos en producción, nuevas integraciones con sistemas externos, contratación de proveedores con acceso a datos sensibles), se recomienda consulta previa al Comité de Seguridad.

Revocación y revisión de autorizaciones​

Las autorizaciones podrán ser revocadas en cualquier momento por el responsable que las emitió, o por el Responsable de Seguridad, cuando:

  • Desaparezca la necesidad que motivó la autorización.
  • Se detecte un uso indebido del elemento autorizado.
  • Cambien las condiciones de seguridad que justificaron la autorización.
  • Finalice la relación laboral o contractual del titular.

Las autorizaciones vigentes serán revisadas al menos una vez al año por el Responsable de Seguridad, coincidiendo con la revisión periódica de la Normativa de Seguridad.

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
  • Approver: JD-001 General Manager
Previous
ORG.3 Procedimientos Operativos de Seguridad
Next
ORG.5 Checklist de Auditoría Interna ENS
  • Finalidad
  • Ámbito de aplicación
  • Tabla de autorizaciones
  • Evidencia y trazabilidad
  • Criterios de autorización
  • Revocación y revisión de autorizaciones
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI Labs Group S.L.)