ORG.4 Proceso de Autorización

☑️Aplicación de la medida

De acuerdo al ANEXO II, 2 Selección de medidas de seguridad, la medida de seguridad ORG.4 Proceso de Autorización sí aplica dada la categoría de seguridad del sistema.

Documentos de referencia

Normativa ENS

• Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad
  • Artículo 10 - Proceso de autorización
  • Artículo 9 - Reevaluación periódica
  • Artículo 34 - Análisis de riesgos
  • Artículo 35 - Gestión de riesgos
  • Anexo II - Medidas de seguridad

Guías CCN-STIC

• Guía CCN-STIC-801 - ENS Responsables y Funciones
• Guía CCN-STIC-402 - Organización y Gestión para la Seguridad de los Sistemas TIC
• Guía CCN-STIC-803 - ENS Valoración
• Guía CCN-STIC-804 - ENS Guía de Implantación
• Guía CCN-STIC-806 - ENS Proceso de Adecuación
• Guía CCN-STIC-821 - Normas de Protección (serie NP)

Estándares internacionales

• ISO/IEC 27001:2022
  • Cláusula 5.3 - Roles, responsabilidades y autoridades en la organización
  • Cláusula 6.1 - Acciones para abordar riesgos y oportunidades
• ISO/IEC 27002:2022
  • 5.1 - Políticas para la seguridad de la información
  • 5.2 - Roles y responsabilidades de seguridad de la información

Documentación interna

• T-110-001 - Plan de Implementación ENS
• T-110-002 - Guía de Implementación CCN-STIC
• T-110-003 - Matriz de Cumplimiento ENS
• GP-013 - Gestión de Ciberseguridad
• R-TF-013-002 - Registro de Análisis de Riesgos

Finalidad

Este documento establece el proceso formal de autorización conforme al Artículo 10 del Real Decreto 311/2022, garantizando que los sistemas de información cumplen con los requisitos de seguridad del ENS antes de su puesta en operación. El proceso asegura que:

• Se han implementado las medidas de seguridad proporcionales a la categoría del sistema
• Los riesgos residuales son conocidos, documentados y aceptados formalmente
• Existe responsabilidad explícita sobre la seguridad del sistema
• Se establece un marco de monitorización y reevaluación continua

Ámbito de aplicación

Conforme al Artículo 10.1 del RD 311/2022, el proceso de autorización es obligatorio para:

Sistemas nuevos

• Cualquier sistema de información antes de su entrada en operación
• Nuevos servicios electrónicos o módulos funcionales
• Infraestructuras tecnológicas de procesamiento de información
• El dispositivo médico Legit Health Plus y sus actualizaciones mayores

Modificaciones sustanciales

• Cambios que afecten a la categorización del sistema
• Modificaciones en la arquitectura de seguridad
• Alteraciones del modelo de amenazas o perfil de riesgo
• Integraciones con terceros o servicios en la nube
• Cambios en el tipo de información procesada

Reevaluaciones periódicas

• Sistemas con autorización vencida (máximo 2 años)
• Tras incidentes de seguridad graves
• Por cambios en el marco normativo aplicable
• Cuando lo determine el Responsable de Seguridad

Principios del proceso de autorización ENS

Gestión de riesgos (Art. 10.2 RD 311/2022)

La autorización se basa en el análisis y gestión de riesgos según:

• Metodología MAGERIT v3.0 o superior
• Identificación de activos esenciales y sus dependencias
• Evaluación del riesgo inherente y residual
• Implementación de medidas de seguridad del Anexo II
• Aceptación formal del riesgo residual
• Documentación en el Sistema de Gestión de Riesgos (R-TF-013-002)

Responsabilidad y rendición de cuentas (Art. 10.3)

El proceso establece claramente:

• Responsable de la Información: Define requisitos de seguridad
• Responsable del Servicio: Solicita y justifica la autorización
• Responsable del Sistema: Implementa medidas técnicas
• Responsable de Seguridad: Evalúa conformidad ENS
• Comité de Seguridad: Supervisa el proceso

Cada rol debe estar formalmente designado y capacitado según CCN-STIC-801.

Proporcionalidad (Art. 10.4)

Las exigencias del proceso son proporcionales a:

• La categoría del sistema (BÁSICA/MEDIA/ALTA)
• El nivel de seguridad requerido (NP10/NP20/NP30/NP40)
• La criticidad del servicio para la organización
• El impacto potencial de un incidente de seguridad
• Los recursos disponibles y el coste de las medidas

Trazabilidad y evidencia (Art. 10.5)

Toda autorización genera:

• Expediente completo con todas las evidencias
• Registro formal en el sistema documental
• Trazabilidad de decisiones y cambios
• Custodia segura de la documentación
• Disponibilidad para auditorías y supervisión

Clasificación de autorizaciones según CCN-STIC-806

Autorización inicial (Tipo A)

Aplicable a:

• Sistemas nuevos sin autorización previa
• Sistemas de categoría MEDIA o ALTA
• Procesamiento de datos de salud (Legit Health Plus)
• Servicios con impacto crítico en la organización

Requisitos según Anexo II RD 311/2022:

• Análisis de riesgos completo (MAGERIT v3)
• Declaración de aplicabilidad de medidas ENS
• Auditoría de conformidad ENS (CCN-STIC-802)
• Plan de adecuación si existen no conformidades
• Plan de continuidad y recuperación ante desastres
• Formación acreditada del personal
• Procedimientos operativos de seguridad documentados

Reautorización (Tipo B)

Aplicable a:

• Modificaciones sustanciales de sistemas autorizados
• Vencimiento del periodo de autorización (máximo 2 años)
• Cambios en la categorización del sistema
• Nuevas integraciones o interconexiones
• Actualización a nueva versión mayor de Legit Health Plus

Requisitos específicos:

• Análisis diferencial de riesgos
• Evaluación de impacto en la seguridad
• Verificación de medidas de seguridad afectadas
• Actualización de la documentación de seguridad
• Pruebas de regresión de seguridad
• Informe de cambios y su justificación

Autorización provisional (Tipo C)

Aplicable según Art. 10.6 RD 311/2022:

• Situaciones de emergencia o crisis
• Parches críticos de seguridad
• Medidas temporales de mitigación
• Pilotos o pruebas de concepto limitadas

Condiciones obligatorias:

• Duración máxima: 90 días (prorrogable una vez)
• Alcance limitado y documentado
• Controles compensatorios implementados
• Monitorización reforzada durante el periodo
• Plan de regularización con fechas concretas
• Aceptación explícita del riesgo adicional

Cambios menores sin reautorización

No requieren autorización formal:

• Parches de seguridad rutinarios
• Actualizaciones menores sin cambio funcional
• Renovación de certificados digitales
• Ajustes de configuración documentados
• Mantenimiento preventivo planificado

Requisitos mínimos:

• Registro en gestión de cambios
• Pruebas en entorno de preproducción
• Aprobación del Responsable del Sistema
• Notificación al Responsable de Seguridad

Proceso de autorización según ENS

Fase 1: Solicitud formal (Art. 10.7 RD 311/2022)

1.1 Iniciación del expediente

El Responsable del Servicio presenta la solicitud mediante el formulario ENS-AUT-001:

FORMULARIO ENS-AUT-001 SOLICITUD DE AUTORIZACIÓN ENS - LEGIT HEALTH

1. IDENTIFICACIÓN DEL SISTEMA

   • Denominación: [___]
   • Código de activo: [___]
   • Versión/Release: [___]
   • Tipo de autorización: [Inicial/Reautorización/Provisional]
   • Categoría ENS: [BÁSICA/MEDIA/ALTA]
   • Fecha prevista producción: [___]

2. CLASIFICACIÓN DE LA INFORMACIÓN

   • Confidencialidad: [BAJO/MEDIO/ALTO]
   • Integridad: [BAJO/MEDIO/ALTO]
   • Disponibilidad: [BAJO/MEDIO/ALTO]
   • Autenticidad: [BAJO/MEDIO/ALTO]
   • Trazabilidad: [BAJO/MEDIO/ALTO]

3. ALCANCE Y FUNCIONALIDAD

   • Descripción funcional: [___]
   • Tipos de datos procesados: [___]
   • Volumen estimado: [___]
   • Usuarios concurrentes: [___]
   • Criticidad del servicio: [___]
   • Interconexiones con otros sistemas: [___]

4. CUMPLIMIENTO NORMATIVO

   • ENS (RD 311/2022)
   • RGPD/LOPDGDD
   • MDR (Dispositivos médicos)
   • NIS2 (si aplica)
   • ISO 27001 (si aplica)
   • ISO 13485 (dispositivos médicos)

5. DOCUMENTACIÓN REQUERIDA (Anexo)

   • Análisis de riesgos (MAGERIT)
   • Declaración de aplicabilidad ENS
   • Arquitectura de seguridad
   • Plan de pruebas de seguridad
   • Plan de contingencia (BCP/DRP)
   • Procedimientos operativos
   • Informe de auditoría (si existe)
   • Plan de formación

6. DECLARACIÓN DEL SOLICITANTE Declaro que la información proporcionada es veraz y completa.

   Responsable del Servicio: [] Cargo: [] Fecha: [] Firma electrónica: []

1.2 Verificación administrativa

El Responsable de Seguridad realiza la verificación inicial en 5 días hábiles:

Checklist de verificación ENS-CHK-001:

Verificación_Documental:

• Solicitud_completa: [SI/NO]
• Documentación_adjunta: [COMPLETA/INCOMPLETA]
• Categorización_correcta: [SI/NO/REVISAR]
• Firmas_requeridas: [SI/NO]

Viabilidad_Técnica:

• Recursos_disponibles: [SI/NO]
• Plazo_realista: [SI/NO]
• Dependencias_identificadas: [SI/NO]
• Conflictos_detectados: [SI/NO]

Resultado:

• ACEPTADA - Proceder con evaluación
• SUBSANACIÓN - Requiere completar documentación
• RECHAZADA - No cumple requisitos mínimos

Observaciones: [] Revisor: [Responsable de Seguridad] Fecha: []

En caso de subsanación, el solicitante dispone de 10 días hábiles para completar la documentación.

Fase 2: Evaluación de conformidad ENS

2.1 Análisis documental (CCN-STIC-802)

El equipo evaluador revisa sistemáticamente:

a) Cumplimiento del Anexo II - Medidas de seguridad:

• Marco organizativo (ORG.1 a ORG.4)

  • Política de seguridad documentada
  • Normativa de seguridad aprobada
  • Procedimientos operativos definidos
  • Proceso de autorización establecido

• Marco operacional (OP.PL a OP.MON)

  • Planificación de la seguridad
  • Control de acceso implementado
  • Explotación segura
  • Servicios externos gestionados
  • Continuidad del servicio asegurada
  • Monitorización activa

• Medidas de protección (MP.IF a MP.SW)

  • Protección de instalaciones
  • Gestión del personal
  • Protección de equipos
  • Protección de comunicaciones
  • Protección de soportes
  • Protección de aplicaciones
  • Protección de información
  • Protección de servicios

b) Verificación de documentación técnica:

• Arquitectura de seguridad según CCN-STIC-812
• Configuración segura según CCN-STIC-610 a 670
• Gestión de incidentes según CCN-STIC-817
• Continuidad según CCN-STIC-826

2.2 Verificación técnica según categoría

Pruebas obligatorias según nivel de seguridad:

Tipo de prueba	BÁSICA	MEDIA	ALTA	Guía CCN-STIC
Análisis de vulnerabilidades	Recom.	Sí	Sí	CCN-STIC-461
Test de penetración	No	Recom.	Sí	CCN-STIC-463
Revisión de configuración	Sí	Sí	Sí	CCN-STIC-610-670
Análisis estático de código	No	Sí	Sí	CCN-STIC-480
Análisis dinámico (DAST)	Recom.	Sí	Sí	CCN-STIC-481
Pruebas de continuidad	Básico	Sí	Sí	CCN-STIC-826
Auditoría de logs	Sí	Sí	Sí	CCN-STIC-521
Revisión de privilegios	Sí	Sí	Sí	CCN-STIC-801
Pruebas de cifrado	No	Sí	Sí	CCN-STIC-807
Test de DoS/DDoS	No	Recom.	Sí	CCN-STIC-465

Herramientas homologadas CCN:

• PILAR (Análisis de riesgos)
• CLARA (Auditoría de cumplimiento)
• ROCIO (Análisis diferencial)
• AMPARO (Planes de adecuación)

2.3 Evaluación de riesgos MAGERIT

Metodología de evaluación según CCN-STIC-803:

Análisis_MAGERIT_v3: 1_Caracterización: - Identificación_activos_esenciales - Valoración_dimensiones_seguridad - Dependencias_y_relaciones - Clasificación_información

2_Identificación_Amenazas: - Catálogo_MAGERIT_amenazas - Amenazas_específicas_sector_salud - Vectores_ataque_identificados - Actores_amenaza_relevantes

3_Salvaguardas_Existentes: - Medidas_Anexo_II_implementadas - Controles_adicionales_MDR - Certificaciones_vigentes - Eficacia_medida [0-100%]

4_Riesgo_Residual: - Impacto_residual: [MB/B/M/A/MA] - Probabilidad_residual: [MB/B/M/A/MA] - Nivel_riesgo: [CRÍTICO/ALTO/MEDIO/BAJO/MUY_BAJO] - Aceptabilidad: [ACEPTABLE/NO_ACEPTABLE]

5_Tratamiento_Propuesto: - [ ] Aceptar - Riesgo dentro del apetito - [ ] Mitigar - Implementar controles adicionales - [ ] Transferir - Seguros o tercerización - [ ] Evitar - Eliminar actividad/proceso

6_Plan_Tratamiento: - Medidas_adicionales_requeridas - Responsable_implementación - Plazo_ejecución - Coste_estimado - Eficacia_esperada

Umbrales de aceptación para Legit Health Plus:

Nivel de Riesgo	Impacto Paciente	Decisión Autorización
CRÍTICO	Muy Alto	NO AUTORIZABLE
ALTO	Alto	Requiere mitigación previa
MEDIO	Moderado	Autorizable con condiciones
BAJO	Bajo	Autorizable
MUY BAJO	Insignificante	Autorizable sin condiciones

Fase 3: Dictamen y decisión

3.1 Informe de conformidad ENS (ENS-INF-001)

El Responsable de Seguridad emite el informe preceptivo:

INFORME DE CONFORMIDAD ENS - ENS-INF-001 [CONFIDENCIAL - USO INTERNO]

1. DATOS DE LA EVALUACIÓN

   • Sistema: LEGIT HEALTH PLUS v[___]
   • Expediente: AUT-2024-[___]
   • Periodo evaluación: [DD/MM/AAAA] a [DD/MM/AAAA]
   • Categoría ENS: [BÁSICA/MEDIA/ALTA]
   • Nivel protección aplicado: [NP10/NP20/NP30/NP40]

2. METODOLOGÍA APLICADA

   • Análisis documental (CCN-STIC-802)
   • Pruebas técnicas de seguridad
   • Evaluación de riesgos (MAGERIT v3)
   • Verificación de medidas Anexo II
   • Auditoría de configuración

3. RESULTADO DE CONFORMIDAD

   3.1 Medidas del Anexo II RD 311/2022

   Dominio	Total	Conformes	No Conformes	% Cumplimiento
   ORG	4	[___]	[___]	[___]%
   OP	23	[___]	[___]	[___]%
   MP	26	[___]	[___]	[___]%
   TOTAL	53	[___]	[___]	[___]%

   3.2 No conformidades críticas

   • NC-001: [Descripción y medida afectada]

   • NC-002: [Descripción y medida afectada]

     3.3 Riesgos no aceptables

   • R-[___]: [Descripción, nivel y tratamiento requerido]

   • R-[___]: [Descripción, nivel y tratamiento requerido]

4. ANÁLISIS DE IMPACTO RESIDUAL

   Dimensión	Riesgo Inherente	Riesgo Residual	Estado
   Confidencialidad	[A/M/B]	[A/M/B]	[✓/✗]
   Integridad	[A/M/B]	[A/M/B]	[✓/✗]
   Disponibilidad	[A/M/B]	[A/M/B]	[✓/✗]
   Autenticidad	[A/M/B]	[A/M/B]	[✓/✗]
   Trazabilidad	[A/M/B]	[A/M/B]	[✓/✗]

5. DICTAMEN TÉCNICO

   [ ] FAVORABLE - Sistema conforme con ENS [ ] FAVORABLE CON CONDICIONES - Requiere subsanación [ ] DESFAVORABLE - No conformidades críticas [ ] APLAZADO - Pendiente información adicional

6. CONDICIONES Y SALVAGUARDAS (si aplica)

   6.1 Obligatorias (bloquean autorización):

   • COND-01: [Descripción, responsable, plazo]

   • COND-02: [Descripción, responsable, plazo]

     6.2 Necesarias (30 días):

   • REC-01: [Descripción, responsable]

   • REC-02: [Descripción, responsable]

     6.3 Convenientes (90 días):

   • MEJ-01: [Descripción, responsable]

   • MEJ-02: [Descripción, responsable]

7. VALIDEZ Y SEGUIMIENTO

   • Validez propuesta: [12/24 meses]
   • Revisión intermedia: [6/12 meses]
   • Auditoría requerida: [SI/NO - plazo]

Responsable de Seguridad: [] Colegiado/Certificación: [] Fecha: [DD/MM/AAAA] Firma electrónica cualificada: [___]

3.2 Resolución de autorización (Art. 10.8 RD 311/2022)

El Responsable de la Información o Comité de Seguridad emite la resolución:

RESOLUCIÓN DE AUTORIZACIÓN ENS - ENS-RES-001

Visto el expediente AUT-2024-[___] relativo a la solicitud de autorización del sistema LEGIT HEALTH PLUS, y considerando:

I. ANTECEDENTES DE HECHO

1. Solicitud presentada en fecha [___]
2. Categoría del sistema: [___]
3. Informe de conformidad de fecha [___]
4. Dictamen técnico: [___]

II. FUNDAMENTOS DE DERECHO

1. Real Decreto 311/2022, artículo 10
2. Política de Seguridad de la organización
3. Normativa sectorial aplicable (MDR, RGPD)

III. CONSIDERACIONES TÉCNICAS

1. Nivel de cumplimiento ENS: [___]%
2. Riesgos residuales identificados: [___]
3. Condiciones de operación segura establecidas

RESUELVO:

[ ] AUTORIZAR la puesta en operación del sistema - Validez: [12/24] meses desde la fecha - Ámbito: [Producción completa/Limitada] - Revisión: [Semestral/Anual]

[ ] AUTORIZAR CON CONDICIONES - Condiciones suspensivas: [] - Plazo subsanación: [] días - Limitaciones operativas: [___]

[ ] DENEGAR la autorización - Motivos: [] - Requisitos para reconsideración: [] - Plazo para nueva solicitud: [___]

[ ] AUTORIZACIÓN PROVISIONAL (máx. 90 días) - Justificación de urgencia: [] - Controles compensatorios: [] - Fecha límite: [___]

CONDICIONES DE LA AUTORIZACIÓN:

1. Cumplimiento continuo de medidas ENS
2. Notificación de cambios significativos
3. Auditorías periódicas según plan
4. Gestión de incidentes según procedimiento
5. Formación continua del personal

Esta resolución es efectiva desde: [DD/MM/AAAA] Próxima revisión obligatoria: [DD/MM/AAAA]

[Responsable de la Información / Presidente Comité Seguridad] Cargo: [] Fecha: [DD/MM/AAAA] Firma electrónica cualificada: []

Notifíquese a:

• Responsable del Servicio
• Responsable del Sistema
• Responsable de Seguridad
• Auditoría Interna

Fase 4: Operación y supervisión continua

4.1 Activación controlada

Protocolo de puesta en producción:

Activación_Sistema_Autorizado: Día_0_Preparación: - Verificación_resolución_autorización - Comunicación_partes_interesadas - Activación_monitorización_reforzada - Backup_completo_sistema

Día_1_Despliegue: - Activación_gradual_servicios - Verificación_controles_seguridad - Pruebas_smoke_test - Monitorización_tiempo_real

Semana_1_Estabilización: - Análisis_logs_seguridad_diario - Verificación_métricas_rendimiento - Detección_anomalías - Ajustes_configuración

Mes_1_Consolidación: - Informe_incidencias_detectadas - Verificación_condiciones_autorización - Actualización_documentación - Formación_usuarios_completada

4.2 Supervisión continua ENS

Plan de seguimiento según Art. 9 RD 311/2022:

Hito temporal	Actividad	Responsable	Evidencia
30 días	Verificación condiciones inmediatas	Resp. Sistema	Informe ENS-SEG-001
90 días	Cumplimiento recomendaciones	Resp. Seguridad	Checklist ENS-CHK-002
6 meses	Auditoría de efectividad	Auditoría Interna	Informe AUD-ENS-001
12 meses	Revisión completa de seguridad	Resp. Seguridad	Informe ENS-REV-001
24 meses	REAUTORIZACIÓN OBLIGATORIA	Comité Seguridad	Nueva autorización

Indicadores clave de seguridad (KSI):

KSI_Operación_Autorizada: Disponibilidad: - Objetivo: >99.5% - Medición: Continua - Alerta: <99%

Incidentes_Seguridad: - Críticos: 0 tolerancia - Altos: <2/mes - Medios: <10/mes

Vulnerabilidades: - Críticas: Parcheado <24h - Altas: Parcheado <7 días - Medias: Parcheado <30 días

Cumplimiento_ENS: - Auditorías: 100% superadas - No_conformidades: <5 menores - Acciones_correctivas: <30 días

Gestión documental ENS

Expediente de autorización (Art. 10.9 RD 311/2022)

Estructura del expediente electrónico:

Expediente_Autorización_ENS: Identificación: - Código: AUT-AAAA-NNN - Sistema: LEGIT_HEALTH_PLUS_v[___] - Clasificación: CONFIDENCIAL - Fecha_apertura: DD/MM/AAAA - Estado: [ABIERTO/CERRADO/ARCHIVADO]

Documentación_Obligatoria: 01_Solicitud: - ENS-AUT-001_Solicitud_firmada.pdf - Anexos_solicitud/

02_Análisis_Riesgos:

• MAGERIT_analisis_riesgos.pdf
• R-TF-013-002_risk_register.json
• Matriz_amenazas_vulnerabilidades.xlsx

03_Evaluación_Técnica:

• Informe_vulnerabilidades.pdf
• Resultados_pentesting.pdf
• Auditoría_configuración.pdf
• Evidencias_pruebas/

04_Conformidad_ENS:

• ENS-INF-001_Informe_conformidad.pdf
• Checklist_Anexo_II.xlsx
• Plan_adecuación.pdf

05_Resolución:

• ENS-RES-001_Resolución_firmada.pdf
• Condiciones_autorización.pdf
• Comunicaciones_oficiales/

06_Seguimiento:

• Informes_seguimiento_mensual/
• Verificación_condiciones.pdf
• Incidencias_relacionadas/

Metadatos_ENE: - Serie_documental: "Autorizaciones ENS" - Código_clasificación: "SEC.AUT.ENS" - Nivel_acceso: "CONFIDENCIAL" - Periodo_conservación: "10 años" - Disposición_final: "Conservación permanente" - Firma_electrónica: "XAdES-T" - Sellado_tiempo: "TSA cualificado"

Custodia y acceso

Requisitos de gestión documental:

• Integridad: Hash SHA-256 de cada documento
• Autenticidad: Firma electrónica cualificada
• Trazabilidad: Log de accesos y modificaciones
• Confidencialidad: Cifrado AES-256 en reposo
• Disponibilidad: Backup diario, retención 10 años

Matriz de acceso:

Rol	Lectura	Modificación	Eliminación
Responsable Información	✓	✓	✓
Responsable Seguridad	✓	✓	✗
Responsable Sistema	✓	✗	✗
Auditoría	✓	✗	✗
Otros	✗	✗	✗

Indicadores de rendimiento ENS

KPIs del proceso de autorización:

Indicador ENS	Objetivo	Umbral crítico	Frecuencia	Responsable
Tiempo medio autorización	≤30 días	>45 días	Mensual	Resp. Seguridad
Tasa aprobación primera vez	≥85%	<70%	Trimestral	Comité Seguridad
Conformidad medidas Anexo II	≥95%	<90%	Mensual	Resp. Seguridad
Condiciones resueltas plazo	100%	<90%	Mensual	Resp. Sistema
Incidentes post-autorización	0 críticos	>1 crítico	Continuo	Resp. Seguridad
Reautorizaciones en plazo	100%	<95%	Anual	Comité Seguridad
Auditorías ENS superadas	100%	<100%	Anual	Auditoría Interna
Disponibilidad sistemas autor.	>99.5%	<99%	Continuo	Resp. Sistema

Cuadro de mando ENS:

Dashboard_Autorizaciones: Sistemas_Autorizados: - Total: [] - Vigentes: [] - Vencidos: [] - En_proceso: []

Por_Categoría: - ALTA: [] - MEDIA: [] - BÁSICA: [___]

Estado_Cumplimiento: - Conformes: []% - Con_desviaciones: []% - No_conformes: [___]%

Tendencias: - Tiempo_autorización: [MEJORA/ESTABLE/EMPEORA] - Incidentes_seguridad: [MEJORA/ESTABLE/EMPEORA] - Madurez_ENS: [1-5 escala CMM]

Situaciones excepcionales

Autorización de urgencia (Art. 10.10 RD 311/2022)

Protocolo de emergencia:

Autorización_Urgente: Supuestos_Habilitantes: - Incidente_seguridad_crítico_activo - Requisito_legal_inmediato - Continuidad_negocio_comprometida - Seguridad_pacientes_en_riesgo

Procedimiento_Acelerado: H+0: - Notificación_Responsable_Información - Activación_protocolo_emergencia - Evaluación_riesgo_simplificada

H+4:

• Autorización_provisional_72h
• Implementación_controles_compensatorios
• Monitorización_intensiva

H+24:

• Inicio_evaluación_completa
• Documentación_retroactiva

H+72:

• Decisión_continuidad
• Regularización_o_rollback

D+7:

• Expediente_completo
• Lecciones_aprendidas
• Actualización_procedimientos

Sistemas de investigación y desarrollo

Requisitos específicos I+D+i:

• Entorno: Aislado de producción (sandbox)
• Datos: Anonimizados o sintéticos (nunca reales)
• Duración: Máximo 6 meses renovables
• Alcance: Limitado a equipo investigador
• Controles: Monitorización reforzada
• Ética: Aprobación Comité Ético si procede
• Propiedad intelectual: Salvaguardas establecidas

Servicios cloud y terceros (OP.NUB)

Evaluación adicional para cloud:

Aspecto	Verificación requerida	Evidencia
Localización datos	Dentro del EEE	Contrato/DPA
Certificaciones	ISO 27001, SOC2, CSA STAR	Certificados
Soberanía digital	Cumplimiento GAIA-X	Declaración
Auditoría	Derecho auditoría anual	Cláusula contrato
Reversibilidad	Plan salida documentado	Procedimiento
Cifrado	E2E con gestión propia de claves	Arquitectura
Cumplimiento ENS	Declaración conformidad proveedor	Anexo ENS

Interconexiones con terceros

Requisitos para interconexión:

CHECKLIST INTERCONEXIÓN ENS

[ ] Análisis de riesgos específico de la interconexión [ ] Convenio/Acuerdo de interconexión firmado [ ] Responsabilidades de seguridad definidas [ ] Arquitectura de seguridad documentada [ ] Segregación de redes implementada [ ] Monitorización del tráfico activa [ ] Plan de contingencia conjunto [ ] Procedimiento de gestión de incidentes [ ] Auditoría de seguridad del tercero [ ] Cláusulas de confidencialidad [ ] Seguro de responsabilidad civil [ ] Plan de desconexión de emergencia

Roles y responsabilidades ENS (CCN-STIC-801)

Matriz RACI proceso autorización

Actividad ENS	RINF	RSERV	RSIST	RSEG	COM.SEG	AUD
Solicitar autorización	I	R	C	I	I	-
Categorizar sistema	C	C	C	R	A	-
Evaluar conformidad ENS	I	I	C	R	I	C
Realizar pruebas técnicas	-	I	R	A	I	-
Analizar riesgos (MAGERIT)	C	C	C	R	A	-
Emitir informe conformidad	I	I	I	R	C	-
Decidir autorización	A	C	I	C	R	-
Implementar condiciones	I	C	R	C	I	-
Supervisar operación	I	A	R	C	I	-
Verificar cumplimiento	I	C	C	R	A	C
Auditar sistema autorizado	I	I	C	C	I	R
Reautorizar (bienal)	A	C	C	R	R	C

Leyenda: R=Responsable, A=Aprueba, C=Consultado, I=Informado

Competencias y formación requerida

Responsable de la Información (RINF)

• Formación: Curso CCN-STIC ENS Directivos (16h)
• Competencias:
  • Visión estratégica de seguridad
  • Gestión de riesgos corporativos
  • Toma de decisiones críticas
  • Comprensión marco legal

Responsable de Seguridad (RSEG)

• Certificaciones recomendadas:
  • CISA, CISSP, CISM o equivalente
  • Curso CCN-CERT Gestión ENS (40h)
  • Auditor ENS certificado (deseable)
• Competencias técnicas:
  • Dominio del RD 311/2022 y guías CCN-STIC
  • Metodología MAGERIT v3
  • Gestión de incidentes (CERT)
  • Auditoría y cumplimiento
  • Arquitecturas de seguridad

Responsable del Sistema (RSIST)

• Formación:
  • Curso CCN-STIC ENS Técnico (24h)
  • Certificación tecnología específica
• Competencias:
  • Administración sistemas GNU/Linux
  • Gestión infraestructura cloud (AWS)
  • Hardening y bastionado
  • DevSecOps y CI/CD
  • Monitorización y logging

Responsable del Servicio (RSERV)

• Formación:
  • Curso ENS nivel usuario (8h)
  • Formación específica MDR
• Competencias:
  • Gestión de servicios TI
  • Comprensión requisitos negocio
  • Interlocución con stakeholders
  • Gestión de proveedores

Comité de Seguridad ENS

Composición mínima:

• Presidente: Responsable de la Información
• Secretario: Responsable de Seguridad
• Vocales: Responsables de Servicio y Sistema
• Invitados: Auditoría, Legal, DPO

Funciones en autorización:

• Supervisar el proceso de autorización
• Resolver conflictos y escalados
• Aprobar excepciones y urgencias
• Revisar métricas e indicadores
• Proponer mejoras al proceso

Integración con Sistema de Gestión ENS

Gestión de cambios (OP.EXP.5)

Criterios para reautorización:

Tipo de cambio	Impacto ENS	Acción requerida
Parche seguridad crítico	Bajo	Registro en CMDB
Actualización menor (<x.x.1)	Bajo	Notificación RSEG
Actualización mayor (>x.1.x)	Medio	Evaluación impacto
Nueva funcionalidad	Alto	Análisis riesgos
Cambio arquitectura	Muy Alto	REAUTORIZACIÓN
Nueva integración	Alto	REAUTORIZACIÓN
Cambio categoría datos	Muy Alto	REAUTORIZACIÓN

Gestión de riesgos (OP.PL.1)

Sincronización con R-TF-013-002:

Integración_Riesgos: Pre_Autorización: - Identificación_nuevos_riesgos - Actualización_matriz_MAGERIT - Evaluación_controles_propuestos

Post_Autorización: - Registro_riesgos_aceptados - Monitorización_KRIs - Actualización_trimestral

UmbralesReautorización: - Nuevo_riesgo_crítico: Inmediata - Incremento>30%_riesgo: 30_días - Incidente_alto_impacto: 7_días

Auditoría ENS (CCN-STIC-802)

Evidencias para auditoría:

• Expedientes de autorización completos
• Registro de decisiones y excepciones
• Métricas de cumplimiento ENS
• Informes de seguimiento
• Actas del Comité de Seguridad
• Certificados de formación
• Resultados de pruebas técnicas

Continuidad y disponibilidad (OP.CONT)

Requisitos BCP/DRP en autorización:

Aspecto	Verificación en autorización
RTO definido	Alineado con categoría disponibilidad
RPO establecido	Coherente con criticidad datos
BIA actualizado	Menos de 12 meses
Plan probado	Simulacro últimos 6 meses
Recursos backup	Capacidad verificada
Comunicación	Protocolo crisis definido

Gestión de incidentes (OP.EXP.7)

Triggers de revisión de autorización:

• Incidente de seguridad CRÍTICO: Revisión inmediata
• Brecha de datos personales: Revaluación en 72h
• Indisponibilidad >RTO: Análisis causa raíz
• Compromiso de integridad: Auditoría forense
• Múltiples incidentes ALTOS: Reautorización

Formación y concienciación (MP.PER.2)

Plan formativo asociado:

Formación obligatoria pre-autorización:

[ ] Administradores: Seguridad ENS técnica (24h) [ ] Usuarios clave: Buenas prácticas ENS (8h)
[ ] Dirección: Marco ENS y responsabilidades (4h) [ ] Proveedores: Requisitos seguridad (2h) [ ] Incidentes: Protocolo respuesta (4h)

Plantillas y formularios ENS

Documentos normativos

Código	Documento	Uso	Formato
ENS-AUT-001	Solicitud de autorización	Inicio proceso	MDX/PDF
ENS-CHK-001	Checklist verificación administrativa	Revisión inicial	XLSX
ENS-CHK-002	Checklist medidas Anexo II	Evaluación conformidad	XLSX
ENS-INF-001	Informe de conformidad ENS	Dictamen técnico	MDX/PDF
ENS-RES-001	Resolución de autorización	Decisión formal	PDF
ENS-SEG-001	Informe de seguimiento	Supervisión post-autorización	MDX/PDF
ENS-REV-001	Informe de revisión anual	Mantenimiento autorización	MDX/PDF
ENS-AUD-001	Informe de auditoría ENS	Verificación independiente	PDF
ENS-INC-001	Notificación incidente post-autorización	Gestión incidentes	MDX
ENS-EXC-001	Solicitud de excepción/urgencia	Casos especiales	MDX/PDF

Herramientas de apoyo CCN

Herramienta	Propósito	Disponibilidad
PILAR	Análisis y gestión de riesgos	Portal CCN-CERT
CLARA	Auditoría cumplimiento ENS	Licencia CCN
AMPARO	Planes de adecuación	Descarga libre
ROCIO	Análisis diferencial	Portal CCN-CERT
GLORIA	Gestión de incidentes	Suscripción CCN-CERT

Repositorio documental

Estructura_Repositorio: /ENS/ /Autorizaciones/ /Vigentes/

• Sistema_A_AUT-2024-001/
• Sistema_B_AUT-2024-002/ /Históricas/
• Archivo_2023/
• Archivo_2022/ /En_Proceso/
• Solicitud_pendiente_001/ /Plantillas/
• Formularios_oficiales/
• Guías_cumplimentación/
• Ejemplos_referencia/ /Evidencias/
• Informes_técnicos/
• Resultados_pruebas/
• Certificaciones/

Acceso: https://qms.legithealth.com/ens/autorizaciones

Soporte: seguridad@legithealth.com

Workflows de autorización específicos

Workflow de autorización de nuevos sistemas

Plantillas de autorización

Plantilla ENS-AUT-002: Evaluación de impacto de cambios

EVALUACIÓN DE IMPACTO EN SEGURIDAD - ENS-AUT-002

1. INFORMACIÓN DEL CAMBIO

   • Sistema afectado: [___]
   • Tipo de cambio: [Funcional/Técnico/Organizativo/Emergencia]
   • Descripción detallada: [___]
   • Fecha implementación prevista: [___]
   • Responsable del cambio: [___]

2. ANÁLISIS DE IMPACTO EN SEGURIDAD

   2.1 Dimensiones de seguridad afectadas:

   • Confidencialidad - Impacto: [ALTO/MEDIO/BAJO/NULO]

   • Integridad - Impacto: [ALTO/MEDIO/BAJO/NULO]

   • Disponibilidad - Impacto: [ALTO/MEDIO/BAJO/NULO]

   • Autenticidad - Impacto: [ALTO/MEDIO/BAJO/NULO]

   • Trazabilidad - Impacto: [ALTO/MEDIO/BAJO/NULO]

     2.2 Medidas ENS afectadas:

   • Marco Organizativo (ORG): [Especificar medidas]

   • Marco Operacional (OP): [Especificar medidas]

   • Medidas de Protección (MP): [Especificar medidas]

     2.3 Evaluación de riesgos:

   • Nuevos riesgos introducidos: [___]

   • Riesgos residuales modificados: [___]

   • Controles de seguridad afectados: [___]

   • Medidas compensatorias requeridas: [___]

3. DETERMINACIÓN DE AUTORIZACIÓN REQUERIDA

   [ ] NO REQUIERE reautorización (cambio menor) Justificación: [___] Aprobación RSEG: [Firma + fecha]

   [ ] REQUIERE evaluación de impacto Plazo evaluación: [] días Responsable evaluación: []

   [ ] REQUIERE REAUTORIZACIÓN COMPLETA Motivos: [___] Proceso aplicable: [Inicial/Reautorización/Provisional]

4. PLAN DE IMPLEMENTACIÓN SEGURA

   4.1 Medidas previas:

   • Backup completo del sistema

   • Plan de rollback documentado

   • Pruebas en entorno preproducción

   • Validación controles seguridad

   • Comunicación partes interesadas

     4.2 Durante implementación:

   • Monitorización reforzada

   • Verificación controles en tiempo real

   • Documentación actividades

   • Preservación evidencias

     4.3 Post-implementación:

   • Verificación operación normal

   • Testing controles seguridad

   • Actualización documentación

   • Informe implementación

Responsable evaluación: [] Fecha evaluación: [] Aprobación RSEG: [Firma electrónica]

Plantilla ENS-AUT-003: Checklist de seguridad pre-producción

CHECKLIST DE SEGURIDAD PRE-PRODUCCIÓN - ENS-AUT-003

SISTEMA: [] VERSIÓN: [] FECHA EVALUACIÓN: [] EVALUADOR: []

═══════════════════════════════════════════════════════════════

MARCO ORGANIZATIVO (ORG)

ORG.1 - Política de Seguridad [ ] Política vigente y aplicable al sistema [ ] Personal informado de cambios en política [ ] Responsabilidades definidas y asignadas

ORG.2 - Normativa de Seguridad
[ ] Normativa actualizada aplicable al sistema [ ] Procedimientos documentados implementados [ ] Formación completada por personal relevante

ORG.3 - Procedimientos Operativos [ ] POS específicos documentados y aprobados [ ] Personal formado en procedimientos [ ] Herramientas operacionales configuradas

ORG.4 - Proceso de Autorización [ ] Documentación autorización completa [ ] Expediente formal creado [ ] Condiciones de autorización definidas

═══════════════════════════════════════════════════════════════

MARCO OPERACIONAL - PLANIFICACIÓN (OP.PL)

OP.PL.1 - Análisis de Riesgos [ ] Análisis riesgos actualizado (MAGERIT) [ ] Riesgos residuales identificados [ ] Tratamiento riesgos documentado [ ] Aceptación formal riesgo residual

OP.PL.2 - Arquitectura de Seguridad [ ] Arquitectura documentada y actualizada [ ] Controles técnicos implementados [ ] Segmentación de red configurada [ ] Puntos de control identificados

OP.PL.3 - Adquisición Nuevos Componentes [ ] Componentes evaluados seguridad [ ] Certificaciones requeridas obtenidas [ ] Integración segura documentada

OP.PL.4 - Dimensionamiento y Gestión Capacidades [ ] Recursos dimensionados apropiadamente [ ] Monitorización capacidad implementada [ ] Alertas configuradas correctamente

OP.PL.5 - Componentes Certificados [ ] Componentes críticos certificados [ ] Lista productos aprobados actualizada [ ] Evidencias certificación archivadas

═══════════════════════════════════════════════════════════════

MARCO OPERACIONAL - CONTROL ACCESO (OP.ACC)

OP.ACC.1 - Identificación [ ] Sistema identificación usuarios implementado [ ] Cuentas únicas por usuario [ ] Trazabilidad accesos garantizada

OP.ACC.2 - Requisitos de Acceso [ ] Política accesos documentada [ ] Autorización formal accesos [ ] Revisión periódica implementada

OP.ACC.3 - Segregación Funciones [ ] Funciones críticas segregadas [ ] Conflictos intereses identificados [ ] Controles compensatorios implementados

OP.ACC.4 - Gestión Derechos Acceso [ ] Proceso gestión derechos documentado [ ] Herramientas gestión implementadas [ ] Auditoría accesos configurada

OP.ACC.5 - Mecanismo Autenticación [ ] Autenticación fuerte implementada (MFA) [ ] Políticas contraseñas aplicadas [ ] Gestión certificados configurada

OP.ACC.6 - Acceso Local [ ] Accesos locales restringidos [ ] Consolas físicas protegidas [ ] Logs acceso local configurados

OP.ACC.7 - Acceso Remoto [ ] VPN o similar implementado [ ] Cifrado extremo a extremo [ ] Monitorización accesos remotos

═══════════════════════════════════════════════════════════════

MARCO OPERACIONAL - EXPLOTACIÓN (OP.EXP)

OP.EXP.1 - Inventario de Activos [ ] Inventario actualizado y completo [ ] Clasificación activos realizada [ ] Responsables activos asignados

OP.EXP.2 - Configuración Seguridad [ ] Configuración segura por defecto [ ] Hardening aplicado según estándares [ ] Documentación configuración actualizada

OP.EXP.3 - Gestión Configuración [ ] Sistema gestión configuración implementado [ ] Control cambios configuración [ ] Trazabilidad modificaciones

OP.EXP.4 - Mantenimiento [ ] Plan mantenimiento preventivo [ ] Procedimientos mantenimiento correctivo [ ] Ventanas mantenimiento definidas

OP.EXP.5 - Gestión Cambios [ ] Proceso gestión cambios implementado [ ] CAB (Change Advisory Board) operativo [ ] Testing cambios obligatorio

OP.EXP.6 - Protección Código Dañino [ ] Antimalware actualizado [ ] Análisis código estático/dinámico [ ] Sandboxing para archivos sospechosos

OP.EXP.7 - Gestión Incidentes [ ] Procedimiento gestión incidentes aprobado [ ] Equipo respuesta incidentes formado [ ] Herramientas response implementadas

OP.EXP.8 - Registro Actividad Usuarios [ ] Logging usuarios comprehensive [ ] Retención logs según requisitos [ ] Monitorización actividad sospechosa

OP.EXP.9 - Registro Gestión Incidentes [ ] Sistema ticketing implementado [ ] Clasificación incidentes automatizada [ ] Reporting incidentes configurado

OP.EXP.10 - Protección Registros Actividad [ ] Logs protegidos contra modificación [ ] Backup logs implementado [ ] Integridad logs verificable

OP.EXP.11 - Protección Claves Criptográficas [ ] HSM o sistema gestión claves [ ] Políticas gestión claves documentadas [ ] Rotación claves automatizada

═══════════════════════════════════════════════════════════════

MEDIDAS PROTECCIÓN - INSTALACIONES (MP.IF)

MP.IF.1 - Áreas Separadas y Control Acceso [ ] Perímetro físico definido y protegido [ ] Control acceso físico implementado [ ] Monitorización accesos físicos

MP.IF.2 - Identificación Personas [ ] Sistema identificación personal [ ] Badges/tarjetas acceso activas [ ] Registro visitantes implementado

MP.IF.3 - Acondicionamiento Locales [ ] Condiciones ambientales controladas [ ] HVAC apropiado funcionando [ ] Protección elementos climáticos

MP.IF.4 - Energía Eléctrica [ ] UPS instalado y funcional [ ] Generador emergencia disponible [ ] Protección sobrecargas instalada

MP.IF.5 - Protección Incendios [ ] Sistema detección incendios activo [ ] Supresión automática funcionando [ ] Extintores apropiados disponibles

MP.IF.6 - Protección Inundaciones [ ] Sensores agua instalados [ ] Drenajes y bombas funcionales [ ] Equipos elevados del suelo

MP.IF.7 - Registro Entrada/Salida Equipos [ ] Control movimiento equipos implementado [ ] RFID/códigos barras operativos [ ] Auditorías inventario programadas

MP.IF.8 - Mantenimiento Instalaciones [ ] Plan mantenimiento instalaciones [ ] Contratos mantenimiento vigentes [ ] Inspecciones regulares programadas

MP.IF.9 - Instalaciones Alternativas [ ] Sitio backup identificado y preparado [ ] Conectividad alternativa configurada [ ] Pruebas failover realizadas

═══════════════════════════════════════════════════════════════

RESUMEN DE EVALUACIÓN

Total ítems evaluados: [] Ítems conformes: [] Ítems no conformes: [] Ítems no aplicables: [] Porcentaje conformidad: [___]%

RESULTADO EVALUACIÓN: [ ] APTO PARA PRODUCCIÓN - Todas las medidas críticas implementadas [ ] APTO CON CONDICIONES - Requiere implementar: [] [ ] NO APTO - No conformidades críticas: []

CONDICIONES PARA AUTORIZACIÓN (si aplica):

1. [___]
2. [___]
3. [___]

RECOMENDACIONES:

1. [___]
2. [___]
3. [___]

PRÓXIMA REVISIÓN: [___]

═══════════════════════════════════════════════════════════════

Evaluador: [] Fecha: [] Aprobado por RSEG: [Firma electrónica]

Proceso de re-autorización tras cambios

Criterios de re-autorización

Tipo de cambio	Requiere re-autorización	Procedimiento aplicable
Cambio categoría DICAT	SÍ - Obligatoria	Autorización inicial completa
Nueva funcionalidad crítica	SÍ - Obligatoria	Evaluación impacto + auditoría
Cambio arquitectura seguridad	SÍ - Obligatoria	Re-autorización simplificada
Nueva integración sistema	SÍ - Obligatoria	Evaluación impacto específica
Parche crítico de seguridad	NO - Evaluación	Evaluación impacto acelerada
Actualización menor	NO - Registro	Notificación + registro
Cambio configuración no crítica	NO - Registro	Proceso gestión cambios

Procedimiento re-autorización simplificada

Re_Authorization_Process: Initiation: - Change_impact_assessment_ENS-AUT-002 - Risk_differential_analysis - Affected_measures_identification - Stakeholder_notification

Evaluation: Duration: "15-30 días" Focus_Areas: - Modified_security_measures_only - New_risks_introduced - Compensating_controls_adequacy - Integration_with_existing_controls

Testing: - Security_regression_testing - Integration_testing_affected_components - Performance_impact_assessment - User_acceptance_testing_security

Decision: - Technical_report_focused - Risk_acceptance_updated - Authorization_amendment_issued - Communication_plan_executed

Registro de autorizaciones

Sistema de registro ENS-REG-001

Base de datos centralizada con:

CREATE TABLE ENS_Authorizations ( id UUID PRIMARY KEY, system_name VARCHAR(100) NOT NULL, authorization_type ENUM('INICIAL', 'REAUTORIZACION', 'PROVISIONAL'), category ENUM('BASICA', 'MEDIA', 'ALTA'), request_date DATE NOT NULL, authorization_date DATE, expiry_date DATE, status ENUM('SOLICITADA', 'EN_EVALUACION', 'AUTORIZADA', 'DENEGADA', 'VENCIDA'), conditions TEXT, responsible_info VARCHAR(100), responsible_service VARCHAR(100), responsible_security VARCHAR(100), responsible_system VARCHAR(100), audit_file_path VARCHAR(500), risk_analysis_ref VARCHAR(100), compliance_percentage DECIMAL(5,2), next_review_date DATE, created_at TIMESTAMP, updated_at TIMESTAMP, FOREIGN KEY (system_name) REFERENCES Systems(name) );

CREATE TABLE ENS_Authorization_Conditions ( id UUID PRIMARY KEY, authorization_id UUID, condition_type ENUM('OBLIGATORIA', 'NECESARIA', 'CONVENIENTE'), description TEXT NOT NULL, responsible VARCHAR(100), due_date DATE, status ENUM('PENDIENTE', 'EN_PROGRESO', 'COMPLETADA', 'VENCIDA'), completion_evidence VARCHAR(500), FOREIGN KEY (authorization_id) REFERENCES ENS_Authorizations(id) );

Dashboard de seguimiento

Métricas clave monitorizadas:

Métrica	Objetivo	Actual	Tendencia
Tiempo medio autorización	<30 días	[___] días	[↗️↔️↘️]
% Autorizaciones en plazo	>95%	[___]%	[↗️↔️↘️]
% Conformidad primera evaluación	>85%	[___]%	[↗️↔️↘️]
Sistemas con autorización vigente	100%	[___]%	[↗️↔️↘️]
Condiciones pendientes	<5	[___]	[↗️↔️↘️]
Re-autorizaciones vencidas	0	[___]	[↗️↔️↘️]

Alertas automáticas

Alert_Configuration: Authorization_Expiry: - 90_days_before: "Notification to RSERV" - 30_days_before: "Alert to RSEG + RINF" - 7_days_before: "Critical alert to all stakeholders" - Expired: "System suspension warning"

Condition_Due_Dates: - 15_days_before: "Notification to responsible" - 5_days_before: "Alert to RSEG" - Overdue: "Escalation to management"

Process_KPIs: - Authorization_time_90th_percentile: "> 45 days" - Non_conformity_rate: "> 20%" - Pending_evaluations: "> 5 systems"

Revisión y mejora continua

Ciclo de revisión ENS

Revisiones programadas:

Tipo revisión	Periodicidad	Alcance	Responsable
Ordinaria	Anual	Procedimiento completo	Resp. Seguridad
Normativa	Inmediata	Cambios RD 311/2022 o CCN-STIC	Comité Seguridad
Post-incidente	Ad hoc	Lecciones aprendidas	Resp. Seguridad
Auditoría	Anual	Hallazgos y recomendaciones	Auditoría Interna
Mejora continua	Trimestral	KPIs y métricas	Comité Seguridad

Fuentes de mejora

Entradas_Mejora: Internas: - Métricas_proceso_autorización - Feedback_usuarios_proceso - Incidentes_seguridad - Auditorías_internas - Sugerencias_personal

Externas: - Actualizaciones_CCN-STIC - Cambios_normativos - Alertas_CCN-CERT - Benchmarking_sector - Requisitos_MDR/FDA

Análisis: - Tendencias_KPIs - Análisis_causa_raíz - Coste-beneficio - Impacto_organizativo - Viabilidad_técnica

Gestión del cambio

Proceso de actualización:

1. Identificación de necesidad de cambio
2. Evaluación de impacto en el SGSI
3. Diseño de la modificación
4. Consulta a partes interesadas
5. Aprobación por Comité de Seguridad
6. Implementación controlada
7. Formación si requiere
8. Verificación de efectividad
9. Documentación actualizada
10. Comunicación a la organización

Indicadores de madurez

Nivel	Descripción	Características
1	Inicial	Proceso ad hoc, no documentado
2	Repetible	Proceso documentado, aplicación variable
3	Definido (actual)	Proceso estandarizado ENS
4	Gestionado (objetivo 2025)	Métricas y control estadístico
5	Optimizado	Mejora continua sistematizada

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

• Author: Team members involved
• Reviewer: JD-003, JD-004
• Approver: JD-001