Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-008 Product requirements
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, redesign and development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Software validation plan
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Predetermined Change Control Plan
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-028 AI Development
    • GP-029 Software Delivery and Commissioning
    • GP-030 Cyber Security Management
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • ORG Marco organizativo
        • ORG.1 Política de Seguridad
        • ORG.2 Normativa de Seguridad
        • ORG.3 Procedimientos Operativos de Seguridad
        • ORG.4 Proceso de Autorización
        • ORG.5 Checklist de Auditoría Interna ENS
        • Plantilla de Documento ENS
      • OP Marco operacional
      • MP Medidas de protección
      • Sin asignar
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • Grants
  • Pricing
  • Public tenders
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • ORG Marco organizativo
  • ORG.5 Checklist de Auditoría Interna ENS

ORG.5 Checklist de Auditoría Interna ENS

Documentos de referencia​

  • Real Decreto 311/2022, Artículo 38 - Auditoría de seguridad
  • CCN-STIC 808: Verificación del cumplimiento del ENS
  • CCN-STIC 804: Guía de implantación del ENS
  • ISO 19011:2018 - Guidelines for auditing management systems
  • ISO/IEC 27007:2017 - Information security management systems auditing

Propósito​

Establecer un checklist completo y sistemático para la realización de auditorías internas del Esquema Nacional de Seguridad en Legit Health, asegurando la evaluación exhaustiva del cumplimiento de todos los controles aplicables a sistemas de categoría MEDIA y el rol de proveedor de servicios de dispositivo médico.

Alcance​

Este checklist aplica a:

  • Auditorías internas ordinarias (anuales)
  • Auditorías extraordinarias
  • Auditorías de seguimiento
  • Pre-auditorías de certificación
  • Auditorías de cambios significativos

Checklist General de Auditoría ENS​

Información de la Auditoría​

Datos de Identificación de la Auditoría:

CampoValor
Código de AuditoríaAUD-ENS-2025-XXX
Tipo de AuditoríaOrdinaria | Extraordinaria | Seguimiento | Pre-certificación
AlcanceSistema completo ENS - Categoría MEDIA
Fecha de InicioDD/MM/AAAA
Fecha de FinDD/MM/AAAA

Equipo Auditor:

RolPersonaCertificación/Especialidad
Auditor Jefe[Nombre][Certificación ISO 27001 Lead Auditor]
Auditor Técnico[Nombre][Especialidad: Infraestructura/Cloud]
Auditor Compliance[Nombre][Especialidad: Regulatorio/ENS]
Observador[Nombre][Rol: Management/Externo]

Áreas Auditadas:

  • Marco Organizativo (ORG.1-5)
  • Marco Operacional (OP.PL, OP.ACC, OP.EXP, OP.EXT, OP.MON, OP.CONT)
  • Medidas de Protección (MP.PER, MP.EQ, MP.COM, MP.SI, MP.INFO, MP.S, MP.SW)
  • Gestión de Riesgos
  • Gestión de Incidentes
  • Continuidad del Servicio

Criterios de Auditoría:

  • Real Decreto 311/2022 - Controles aplicables a categoría MEDIA
  • Guías CCN-STIC (804, 808, 817, etc.)
  • Política de Seguridad ENS de la organización (versión vigente)
  • Procedimientos internos de seguridad ENS

Marco Organizativo [org]​

ORG.1 - Política de Seguridad​

CHECKLIST: ORG.1 - POLÍTICA DE SEGURIDAD​

Existencia y Aprobación​

  • Existe política de seguridad documentada
  • Aprobada por la Dirección (fecha: ____)
  • Firmada por máximo responsable
  • Fecha última revisión < 2 años

Contenido de la Política​

  • Misión y objetivos de seguridad definidos
  • Marco normativo referenciado (ENS, MDR, etc.)
  • Roles y responsabilidades definidos
  • Estructura organizativa de seguridad clara
  • Datos de contacto del responsable de seguridad

Difusión y Conocimiento​

  • Publicada y accesible a todo el personal
  • Evidencias de comunicación al personal
  • Formación sobre la política realizada
  • Registros de aceptación por empleados
  • Incluida en proceso de onboarding

Evidencias a Revisar:​

  1. Documento de política (versión vigente)
  2. Acta de aprobación por Dirección
  3. Registros de difusión y formación
  4. Encuestas de conocimiento
  5. Procedimiento de actualización

Conformidad: [ ] Sí [ ] No [ ] Parcial Observaciones: ********_******** NC Identificadas: ******___******

ORG.2 - Normativa de Seguridad​

CHECKLIST: ORG.2 - NORMATIVA DE SEGURIDAD​

Desarrollo Normativo​

  • Normativa desarrolla la política de seguridad
  • Cubre todos los aspectos del ENS
  • Adaptada a categoría MEDIA
  • Considera requisitos de dispositivo médico

Procedimientos Documentados​

  • Gestión de usuarios y accesos
  • Uso aceptable de recursos
  • Protección de información
  • Gestión de incidentes
  • Copias de seguridad
  • Destrucción de información
  • Trabajo remoto/movilidad
  • Uso de cloud y servicios externos

Actualización y Mantenimiento​

  • Proceso de actualización definido
  • Registro de cambios mantenido
  • Revisión periódica (mínimo anual)
  • Aprobaciones documentadas

Conformidad: [ ] Sí [ ] No [ ] Parcial Observaciones: ********_********

ORG.3 - Procedimientos de Seguridad​

CHECKLIST: ORG.3 - PROCEDIMIENTOS DE SEGURIDAD​

Procedimientos Operativos​

  • Instalación y configuración segura
  • Mantenimiento de sistemas
  • Gestión de cambios
  • Gestión de capacidad
  • Monitorización y registro
  • Respuesta a incidentes
  • Continuidad del servicio

Documentación de Procedimientos​

  • Formato estandarizado
  • Versionado y control de cambios
  • Responsables identificados
  • Diagramas de flujo cuando aplique
  • Métricas e indicadores definidos

Implementación y Cumplimiento​

  • Personal formado en procedimientos
  • Evidencias de ejecución
  • Registros de actividades
  • Auditorías de cumplimiento

Conformidad: [ ] Sí [ ] No [ ] Parcial NC Identificadas: ******___******

ORG.4 - Proceso de Autorización​

CHECKLIST: ORG.4 - PROCESO DE AUTORIZACIÓN​

Sistema de Autorización​

  • Proceso formal de autorización establecido
  • Matriz de autorizaciones definida
  • Nuevos sistemas requieren autorización
  • Cambios significativos requieren autorización

Documentación de Autorizaciones​

  • Registro de sistemas autorizados
  • Responsables de sistemas identificados
  • Condiciones de autorización documentadas
  • Fecha y vigencia de autorizaciones

Evidencias a Revisar:​

  1. Procedimiento de autorización
  2. Registro de sistemas autorizados
  3. Formularios de autorización completados
  4. Actas de comité de seguridad

Conformidad: [ ] Sí [ ] No [ ] Parcial Observaciones: ********_********

Marco Operacional [op]​

Planificación [op.pl]​

CHECKLIST: OP.PL - PLANIFICACIÓN​

OP.PL.1 - Análisis de Riesgos​

  • Metodología de análisis definida (MAGERIT/otra)
  • Inventario de activos completo y actualizado
  • Valoración de activos realizada
  • Amenazas identificadas y evaluadas
  • Análisis de riesgos documentado
  • Riesgos residuales aceptados formalmente
  • Revisión periódica (mínimo anual)
  • Integración con ISO 14971 (dispositivo médico)

OP.PL.2 - Arquitectura de Seguridad​

  • Documentación de arquitectura actualizada
  • Segmentación de red implementada
  • Puntos de interconexión controlados
  • Arquitectura alineada con análisis de riesgos
  • Diagrama de red actualizado
  • Flujos de datos documentados

OP.PL.3 - Adquisición de Nuevos Componentes​

  • Requisitos de seguridad en adquisiciones
  • Evaluación de seguridad de proveedores
  • Cláusulas de seguridad en contratos
  • Pruebas de seguridad antes de producción

OP.PL.4 - Dimensionamiento​

  • Análisis de capacidad realizado
  • Proyecciones de crecimiento documentadas
  • Umbrales de alerta definidos
  • Plan de escalabilidad

OP.PL.5 - Componentes Certificados​

  • Uso de productos certificados cuando requerido
  • Justificación de excepciones documentada
  • Registro de certificaciones vigentes

Conformidad Global OP.PL: [ ] Sí [ ] No [ ] Parcial NC Identificadas: ******___******

Control de Acceso [op.acc]​

CHECKLIST: OP.ACC - CONTROL DE ACCESO​

OP.ACC.1 - Identificación​

  • Sistema de identificación único implementado
  • Identificadores individuales (no compartidos)
  • Proceso de asignación documentado
  • Trazabilidad de acciones garantizada

OP.ACC.2 - Requisitos de Acceso​

  • Necesidad de conocer aplicada
  • Mínimo privilegio implementado
  • Matriz de perfiles y permisos definida
  • Revisión periódica de accesos

OP.ACC.3 - Segregación de Funciones​

  • Funciones incompatibles identificadas
  • Segregación implementada
  • Controles compensatorios donde aplique
  • Documentación de excepciones

OP.ACC.4 - Proceso de Gestión de Derechos​

  • Procedimiento de alta/baja/modificación
  • Aprobaciones documentadas
  • Revisión periódica de usuarios
  • Depuración de cuentas inactivas
  • Proceso de recertificación

OP.ACC.5 - Mecanismo de Autenticación​

  • Política de contraseñas robusta
  • MFA para accesos privilegiados
  • Gestión segura de credenciales
  • Bloqueo por intentos fallidos

OP.ACC.6 - Acceso Local​

  • Control de acceso físico a sistemas
  • Registro de accesos locales
  • Restricción de puertos físicos
  • Sesiones bloqueadas por inactividad

OP.ACC.7 - Acceso Remoto​

  • VPN o canal seguro requerido
  • Autenticación reforzada
  • Registro de accesos remotos
  • Restricción por origen/horario

Conformidad Global OP.ACC: [ ] Sí [ ] No [ ] Parcial NC Identificadas: ******___******

Explotación [op.exp]​

CHECKLIST: OP.EXP - EXPLOTACIÓN​

OP.EXP.1 - Inventario de Activos​

  • Inventario completo y actualizado
  • Clasificación de activos realizada
  • Responsables asignados
  • Ubicación documentada
  • Relaciones y dependencias identificadas
  • Herramienta de gestión de activos

OP.EXP.2 - Configuración de Seguridad​

  • Guías de bastionado aplicadas
  • Configuraciones documentadas
  • Servicios innecesarios deshabilitados
  • Configuración por defecto eliminada
  • Auditoría de configuración periódica

OP.EXP.3 - Gestión de la Configuración​

  • CMDB implementada
  • Baseline de configuración definido
  • Control de versiones
  • Proceso de actualización controlado

OP.EXP.4 - Mantenimiento​

  • Plan de mantenimiento documentado
  • Ventanas de mantenimiento definidas
  • Procedimientos de actualización
  • Registro de mantenimientos realizados

OP.EXP.5 - Gestión de Cambios​

  • Proceso formal de cambios (CAB)
  • Clasificación de cambios
  • Evaluación de impacto y riesgos
  • Plan de rollback
  • Registro de cambios completo
  • Cambios de emergencia controlados

OP.EXP.6 - Protección frente a Código Dañino​

  • Antivirus/EDR desplegado
  • Actualización automática de firmas
  • Escaneos programados
  • Respuesta a detecciones definida
  • Sandbox para análisis

OP.EXP.7 - Gestión de Incidentes​

  • Procedimiento de gestión definido
  • Clasificación de incidentes
  • Equipo de respuesta constituido
  • Herramienta de ticketing
  • Métricas de gestión (MTTD, MTTR)
  • Lecciones aprendidas documentadas

OP.EXP.8 - Registro de Actividad​

  • Eventos a registrar definidos
  • Logs centralizados
  • Retención según normativa
  • Sincronización temporal (NTP)
  • Logs de usuarios y administradores

OP.EXP.9 - Registro de Gestión de Incidentes​

  • Registro completo de incidentes
  • Análisis post-incidente
  • Informes a dirección
  • Notificación a CCN-CERT cuando aplique

OP.EXP.10 - Protección de Registros​

  • Logs protegidos contra modificación
  • Acceso restringido a logs
  • Backup de logs críticos
  • Integridad verificable

OP.EXP.11 - Protección de Claves Criptográficas​

  • Gestión del ciclo de vida
  • Almacenamiento seguro (HSM/KMS)
  • Procedimientos de recuperación
  • Rotación periódica
  • Destrucción segura

Conformidad Global OP.EXP: [ ] Sí [ ] No [ ] Parcial NC Identificadas: ******___******

Servicios Externos [op.ext]​

CHECKLIST: OP.EXT - SERVICIOS EXTERNOS​

OP.EXT.1 - Contratación y SLAs​

  • Requisitos de seguridad en contratos
  • SLAs de seguridad definidos
  • Penalizaciones por incumplimiento
  • Cláusulas de auditoría
  • Certificaciones requeridas

OP.EXT.2 - Gestión Diaria​

  • Monitorización de SLAs
  • Gestión de incidencias con proveedores
  • Reuniones periódicas de seguimiento
  • Informes de servicio

OP.EXT.3 - Protección Cadena Suministro​

  • Evaluación de riesgos de proveedores
  • Verificación de componentes
  • Control de actualizaciones
  • Gestión de vulnerabilidades

Conformidad Global OP.EXT: [ ] Sí [ ] No [ ] Parcial

Continuidad del Servicio [op.cont]​

CHECKLIST: OP.CONT - CONTINUIDAD DEL SERVICIO​

OP.CONT.1 - Análisis de Impacto (BIA)​

  • BIA realizado y documentado
  • Servicios críticos identificados
  • RTO y RPO definidos
  • Dependencias mapeadas

OP.CONT.2 - Plan de Continuidad​

  • BCP documentado y aprobado
  • Procedimientos de activación
  • Roles y responsabilidades
  • Información de contacto actualizada
  • Integración con gestión de crisis

OP.CONT.3 - Pruebas Periódicas​

  • Calendario de pruebas definido
  • Pruebas realizadas (mínimo anual)
  • Resultados documentados
  • Mejoras implementadas

OP.CONT.4 - Medios Alternativos​

  • Sitio alternativo identificado
  • Sistemas de backup disponibles
  • Comunicaciones alternativas
  • Capacidad verificada

Conformidad Global OP.CONT: [ ] Sí [ ] No [ ] Parcial

Monitorización [op.mon]​

CHECKLIST: OP.MON - MONITORIZACIÓN DEL SISTEMA​

OP.MON.1 - Detección de Intrusión​

  • IDS/IPS implementado
  • Reglas actualizadas
  • Alertas configuradas
  • Respuesta a alertas definida
  • Correlación de eventos

OP.MON.2 - Sistema de Métricas​

  • KPIs de seguridad definidos
  • Dashboard de monitorización
  • Informes periódicos
  • Umbrales y alertas configurados
  • Tendencias analizadas

Conformidad Global OP.MON: [ ] Sí [ ] No [ ] Parcial

Medidas de Protección [mp]​

Protección de Instalaciones [mp.if]​

CHECKLIST: MP.IF - PROTECCIÓN DE INSTALACIONES​

MP.IF.1 - Áreas Separadas y Control de Acceso​

  • Áreas seguras definidas
  • Control de acceso físico implementado
  • Registro de accesos

MP.IF.2 - Identificación de Personas​

  • Sistema de identificación (tarjetas, biometría)
  • Visitantes escoltados
  • Badges visibles

MP.IF.3 - Acondicionamiento de Locales​

  • Climatización adecuada
  • Control de humedad
  • Protección contra polvo

MP.IF.4 - Energía Eléctrica​

  • UPS instalados
  • Generador de emergencia
  • Pruebas periódicas

MP.IF.5 - Protección contra Incendios​

  • Sistema detección y extinción
  • Mantenimiento periódico
  • Señalización adecuada

MP.IF.6 - Protección contra Inundaciones​

  • Medidas preventivas implementadas
  • Sensores de agua
  • Plan de respuesta

MP.IF.7 - Registro de Entrada/Salida​

  • Control de equipamiento
  • Registro de movimientos
  • Autorización documentada

Conformidad Global MP.IF: [ ] Sí [ ] No [ ] Parcial

Gestión del Personal [mp.per]​

CHECKLIST: MP.PER - GESTIÓN DEL PERSONAL​

MP.PER.1 - Caracterización del Puesto​

  • Requisitos de seguridad por puesto
  • Verificación de antecedentes
  • Acuerdos de confidencialidad

MP.PER.2 - Deberes y Obligaciones​

  • Documentados y comunicados
  • Aceptación formal
  • Incluidos en contrato

MP.PER.3 - Concienciación​

  • Programa de concienciación
  • Campañas periódicas
  • Material actualizado
  • Métricas de efectividad

MP.PER.4 - Formación​

  • Plan de formación ENS
  • Formación inicial y continua
  • Registros de formación
  • Evaluación de competencias

Conformidad Global MP.PER: [ ] Sí [ ] No [ ] Parcial

Protección de Equipos [mp.eq]​

CHECKLIST: MP.EQ - PROTECCIÓN DE EQUIPOS​

MP.EQ.1 - Puesto de Trabajo Despejado​

  • Política de mesas limpias
  • Bloqueo de pantallas
  • Almacenamiento seguro

MP.EQ.2 - Bloqueo de Puesto​

  • Bloqueo automático por inactividad
  • Protector de pantalla con contraseña
  • Tiempo configurado según política

MP.EQ.3 - Protección de Portátiles​

  • Cifrado de disco completo
  • Cable de seguridad
  • Política de uso fuera de oficina
  • MDM implementado

Conformidad Global MP.EQ: [ ] Sí [ ] No [ ] Parcial

Protección de Comunicaciones [mp.com]​

CHECKLIST: MP.COM - PROTECCIÓN DE COMUNICACIONES​

MP.COM.1 - Perímetro Seguro​

  • Firewall perimetral configurado
  • DMZ implementada
  • Segmentación de red

MP.COM.2 - Protección de Confidencialidad​

  • Cifrado en tránsito (TLS/SSL)
  • VPN para accesos remotos
  • Protocolos seguros

MP.COM.3 - Protección de Integridad​

  • Firma digital
  • Checksums/Hash
  • Certificados digitales

MP.COM.4 - Protección de Autenticidad​

  • PKI implementada
  • Certificados válidos
  • Gestión de certificados

Conformidad Global MP.COM: [ ] Sí [ ] No [ ] Parcial

Protección de Información [mp.info]​

CHECKLIST: MP.INFO - PROTECCIÓN DE INFORMACIÓN​

MP.INFO.1 - Datos de Carácter Personal​

  • Cumplimiento RGPD/LOPD
  • Medidas técnicas implementadas
  • Registro de tratamientos
  • DPO designado

MP.INFO.2 - Calificación de Información​

  • Sistema de clasificación definido
  • Información clasificada
  • Marcado implementado

MP.INFO.3 - Cifrado​

  • Cifrado en reposo para datos sensibles
  • Algoritmos robustos
  • Gestión de claves

MP.INFO.4 - Firma Electrónica​

  • Sistema de firma implementado
  • Certificados cualificados
  • Verificación de firmas

MP.INFO.5 - Sellos de Tiempo​

  • TSA configurada
  • Aplicación en logs críticos
  • Verificación periódica

MP.INFO.6 - Limpieza de Documentos​

  • Metadatos eliminados
  • Herramientas de sanitización
  • Procedimiento documentado

MP.INFO.9 - Copias de Seguridad​

  • Política de backup definida
  • Backups automáticos
  • Pruebas de restauración
  • Almacenamiento seguro
  • Retención según normativa

Conformidad Global MP.INFO: [ ] Sí [ ] No [ ] Parcial

Protección de Servicios [mp.s]​

CHECKLIST: MP.S - PROTECCIÓN DE SERVICIOS​

MP.S.1 - Protección del Correo​

  • Antispam configurado
  • Antivirus en correo
  • SPF/DKIM/DMARC
  • Cifrado disponible

MP.S.2 - Protección de Servicios Web​

  • WAF implementado
  • HTTPS obligatorio
  • Headers de seguridad
  • Protección OWASP Top 10

MP.S.8 - Protección frente a DDoS​

  • Mitigación DDoS activa
  • Capacidad de absorción
  • Procedimiento de respuesta

Conformidad Global MP.S: [ ] Sí [ ] No [ ] Parcial

Checklist Específico Dispositivo Médico​

CHECKLIST: INTEGRACIÓN MDR/FDA​

Requisitos Regulatorios​

  • Trazabilidad con requisitos MDR
  • Cumplimiento FDA Cybersecurity Guidance
  • Gestión de riesgos ISO 14971 integrada
  • SBOM mantenido y actualizado

Validación y Verificación​

  • Validación de software documentada
  • Pruebas de ciberseguridad realizadas
  • Penetration testing anual
  • Vulnerability scanning continuo

Post-Market Surveillance​

  • Monitorización de incidentes
  • Actualizaciones de seguridad
  • Notificación a autoridades
  • PSUR actualizado

Conformidad: [ ] Sí [ ] No [ ] Parcial

Resumen de Hallazgos​

Plantilla de Resumen​

RESUMEN EJECUTIVO - AUDITORÍA ENS​

Estadísticas Generales​

  • Total Controles Auditados: XXX
  • Controles Conformes: XXX (XX%)
  • Controles No Conformes: XXX (XX%)
  • Controles Parcialmente Conformes: XXX (XX%)
  • No Aplicables: XXX

Clasificación de No Conformidades​

SeveridadCantidadPorcentaje
CríticaXXXX%
MayorXXXX%
MenorXXXX%

Por Marco ENS​

MarcoConformidadNC CríticasNC MayoresNC Menores
OrganizativoXX%XXX
OperacionalXX%XXX
Medidas ProtecciónXX%XXX

Top 5 Áreas de Mejora​

  1. [Área 1 - Descripción]
  2. [Área 2 - Descripción]
  3. [Área 3 - Descripción]
  4. [Área 4 - Descripción]
  5. [Área 5 - Descripción]

Fortalezas Identificadas​

  • [Fortaleza 1]
  • [Fortaleza 2]
  • [Fortaleza 3]

Recomendaciones Prioritarias​

  1. Inmediato (0-30 días):

    • [Acción 1]
    • [Acción 2]

  2. Corto Plazo (30-90 días):

    • [Acción 3]
    • [Acción 4]

  3. Medio Plazo (90-180 días):

    • [Acción 5]
    • [Acción 6]

Plan de Acción Correctiva​

Plantilla de Plan de Acción​

PLAN DE ACCIÓN CORRECTIVA - AUDITORÍA ENS​

IDControl ENSNC DetectadaSeveridadAcción CorrectivaResponsableFecha CompromisoEstadoEvidencia
PAC-001OP.ACC.5Falta MFA en accesos privilegiadosCríticaImplementar MFA para todos los administradoresCISO30/01/2025Pendiente
PAC-002

Seguimiento del Plan​

Fecha Revisión 1: DD/MM/AAAA

  • Acciones Completadas: XX/XX
  • En Progreso: XX
  • Pendientes: XX
  • Observaciones: **___**

Fecha Revisión 2: DD/MM/AAAA

  • Acciones Completadas: XX/XX
  • En Progreso: XX
  • Pendientes: XX
  • Observaciones: **___**

Herramientas de Auditoría​

Scripts de Verificación​

class AuditoriaENSAutomatizada:
"""Herramientas automatizadas para auditoría ENS"""

    def __init__(self):
        self.controles_ens = self.cargar_controles_ens()
        self.evidencias = []
        self.no_conformidades = []

    def verificar_control_acceso(self):
        """Verifica controles OP.ACC"""
        verificaciones = {
            'usuarios_sin_uso_90_dias': self.buscar_usuarios_inactivos(90),
            'cuentas_compartidas': self.detectar_cuentas_compartidas(),
            'usuarios_con_permisos_excesivos': self.analizar_permisos_excesivos(),
            'mfa_administradores': self.verificar_mfa_admins(),
            'politica_contraseñas': self.verificar_politica_passwords()
        }

        for verificacion, resultado in verificaciones.items():
            if not resultado['conforme']:
                self.registrar_no_conformidad(
                    control='OP.ACC',
                    descripcion=verificacion,
                    severidad=resultado['severidad'],
                    evidencia=resultado['evidencia']
                )

        return verificaciones

    def verificar_logs(self):
        """Verifica OP.EXP.8 y OP.EXP.10"""
        verificaciones = {
            'centralizacion_logs': self.verificar_centralizacion(),
            'retencion_logs': self.verificar_retencion_logs(),
            'integridad_logs': self.verificar_integridad_logs(),
            'sincronizacion_ntp': self.verificar_ntp(),
            'proteccion_modificacion': self.verificar_proteccion_logs()
        }

        return verificaciones

    def verificar_backup(self):
        """Verifica MP.INFO.9"""
        verificaciones = {
            'backups_programados': self.verificar_schedule_backup(),
            'pruebas_restauracion': self.buscar_pruebas_restore(),
            'cifrado_backups': self.verificar_cifrado_backups(),
            'almacenamiento_externo': self.verificar_offsite_backup(),
            'retencion_cumplimiento': self.verificar_retencion_backup()
        }

        return verificaciones

    def generar_informe_automatizado(self):
        """Genera informe de verificaciones automatizadas"""
        informe = {
            'fecha_ejecucion': datetime.now(),
            'total_verificaciones': len(self.evidencias),
            'no_conformidades': len(self.no_conformidades),
            'detalle_nc': self.no_conformidades,
            'evidencias_recopiladas': self.evidencias,
            'recomendaciones': self.generar_recomendaciones()
        }

        return informe

Checklist de Evidencias​

Evidencias_Requeridas: Marco_Organizativo: - "Política de Seguridad aprobada" - "Normativa de seguridad" - "Procedimientos operativos" - "Actas de comité de seguridad" - "Registros de formación" - "Organigrama de seguridad"

Marco_Operacional: - "Análisis de riesgos actualizado" - "Inventario de activos" - "Diagramas de arquitectura" - "Logs de acceso (muestra)" - "Registros de cambios" - "Informes de incidentes" - "Resultados pruebas continuidad"

Medidas_Proteccion: - "Registros de acceso físico" - "Configuraciones de seguridad" - "Logs de backup y restauración" - "Certificados digitales" - "Informes de vulnerabilidades" - "Registros de mantenimiento"

Cumplimiento: - "Certificaciones vigentes" - "Auditorías previas" - "Planes de acción anteriores" - "Métricas e indicadores" - "Comunicaciones regulatorias"

Informe de Auditoría​

Estructura del Informe​

INFORME DE AUDITORÍA INTERNA ENS​

INFORMACIÓN GENERAL​

  • Código Auditoría: AUD-ENS-2025-XXX
  • Fecha: DD/MM/AAAA
  • Alcance: [Descripción]
  • Equipo Auditor: [Nombres]

RESUMEN EJECUTIVO​

[Resumen de 1-2 páginas con principales hallazgos]

METODOLOGÍA​

  • Criterios de auditoría
  • Técnicas utilizadas
  • Muestreo realizado
  • Limitaciones encontradas

HALLAZGOS DETALLADOS​

[Por cada control auditado:]

  • Control: [Código y nombre]
  • Requisito: [Descripción]
  • Evidencia revisada: [Lista]
  • Hallazgo: [Conforme/No Conforme/Observación]
  • Descripción: [Detalle]
  • Recomendación: [Acción sugerida]

NO CONFORMIDADES​

[Lista detallada de todas las NC con severidad]

OPORTUNIDADES DE MEJORA​

[Áreas donde se puede mejorar aunque cumplan]

CONCLUSIONES​

[Conclusión general sobre el estado del SGSI]

RECOMENDACIONES​

[Acciones recomendadas priorizadas]

PLAN DE ACCIÓN​

[Propuesta de plan con plazos]

ANEXOS​

  • Anexo A: Lista de documentos revisados
  • Anexo B: Personas entrevistadas
  • Anexo C: Herramientas utilizadas
  • Anexo D: Evidencias fotográficas

FIRMAS​

Auditor Jefe: **___** Fecha: ___ Responsable ENS: **___** Fecha: ___ CISO: **___** Fecha: ___

Seguimiento Post-Auditoría​

Proceso de Seguimiento​

Seguimiento_Post_Auditoria: Comunicacion_Resultados: plazo: "5 días hábiles" destinatarios: - "Dirección" - "Responsables de área" - "Comité de seguridad"

Plan_Accion: elaboracion: "10 días hábiles" aprobacion: "15 días hábiles" responsable: "Responsable ENS"

Seguimiento_Mensual: revision: "Primer lunes de mes" participantes: - "CISO" - "Responsable ENS" - "Responsables acciones" entregables: - "Estado de avance" - "Evidencias de cierre" - "Nuevos riesgos identificados"

Auditoria_Seguimiento: cuando: "6 meses o al completar 80% acciones" alcance: "No conformidades críticas y mayores" duracion: "2-3 días"

Cierre: criterios: - "100% acciones implementadas" - "Evidencias verificadas" - "Re-auditoría satisfactoria" documentacion: - "Informe de cierre" - "Lecciones aprendidas" - "Actualización procedimientos"

Mejora Continua​

Análisis de Tendencias​

class AnalisTendenciasAuditoria:
"""Análisis de tendencias en auditorías ENS"""

    def analizar_evolucion_conformidad(self, auditorias_historicas):
        """Analiza evolución de la conformidad ENS"""

        tendencias = {
            'evolucion_temporal': [],
            'areas_recurrentes': {},
            'mejoras_significativas': [],
            'deterioros_detectados': []
        }

        for auditoria in auditorias_historicas:
            conformidad = {
                'fecha': auditoria['fecha'],
                'conformidad_global': auditoria['porcentaje_conformidad'],
                'nc_criticas': len(auditoria['nc_criticas']),
                'nc_mayores': len(auditoria['nc_mayores']),
                'nc_menores': len(auditoria['nc_menores'])
            }
            tendencias['evolucion_temporal'].append(conformidad)

            # Identificar áreas problemáticas recurrentes
            for nc in auditoria['no_conformidades']:
                area = nc['control_ens']
                if area not in tendencias['areas_recurrentes']:
                    tendencias['areas_recurrentes'][area] = 0
                tendencias['areas_recurrentes'][area] += 1

        # Identificar mejoras y deterioros
        if len(tendencias['evolucion_temporal']) >= 2:
            ultima = tendencias['evolucion_temporal'][-1]
            penultima = tendencias['evolucion_temporal'][-2]

            if ultima['conformidad_global'] > penultima['conformidad_global'] + 5:
                tendencias['mejoras_significativas'].append({
                    'periodo': ultima['fecha'],
                    'mejora': ultima['conformidad_global'] - penultima['conformidad_global']
                })

        return tendencias

Referencias​

  • RD 311/2022: Real Decreto del Esquema Nacional de Seguridad
  • CCN-STIC 808: Guía de auditoría del ENS
  • CCN-STIC 804: Guía de implantación del ENS
  • ISO 19011:2018: Directrices para auditoría
  • GP-014: Procedimiento de auditorías internas del SGC

Control de Cambios​

VersiónFechaDescripciónAutor
1.02025-01-01Creación inicial del checklist de auditoría ENSResponsable ENS

Aprobaciones​

RolNombreFirmaFecha
CISO[Nombre][Firma Digital][Fecha]
Responsable ENS[Nombre][Firma Digital][Fecha]
Auditor Jefe[Nombre][Firma Digital][Fecha]
Previous
ORG.4 Proceso de Autorización
Next
Plantilla de Documento ENS
  • Documentos de referencia
  • Propósito
  • Alcance
  • Checklist General de Auditoría ENS
    • Información de la Auditoría
  • Marco Organizativo [org]
    • ORG.1 - Política de Seguridad
  • CHECKLIST: ORG.1 - POLÍTICA DE SEGURIDAD
    • Existencia y Aprobación
    • Contenido de la Política
    • Difusión y Conocimiento
    • Evidencias a Revisar:
    • ORG.2 - Normativa de Seguridad
  • CHECKLIST: ORG.2 - NORMATIVA DE SEGURIDAD
    • Desarrollo Normativo
    • Procedimientos Documentados
    • Actualización y Mantenimiento
    • ORG.3 - Procedimientos de Seguridad
  • CHECKLIST: ORG.3 - PROCEDIMIENTOS DE SEGURIDAD
    • Procedimientos Operativos
    • Documentación de Procedimientos
    • Implementación y Cumplimiento
    • ORG.4 - Proceso de Autorización
  • CHECKLIST: ORG.4 - PROCESO DE AUTORIZACIÓN
    • Sistema de Autorización
    • Documentación de Autorizaciones
    • Evidencias a Revisar:
  • Marco Operacional [op]
    • Planificación [op.pl]
  • CHECKLIST: OP.PL - PLANIFICACIÓN
    • OP.PL.1 - Análisis de Riesgos
    • OP.PL.2 - Arquitectura de Seguridad
    • OP.PL.3 - Adquisición de Nuevos Componentes
    • OP.PL.4 - Dimensionamiento
    • OP.PL.5 - Componentes Certificados
    • Control de Acceso [op.acc]
  • CHECKLIST: OP.ACC - CONTROL DE ACCESO
    • OP.ACC.1 - Identificación
    • OP.ACC.2 - Requisitos de Acceso
    • OP.ACC.3 - Segregación de Funciones
    • OP.ACC.4 - Proceso de Gestión de Derechos
    • OP.ACC.5 - Mecanismo de Autenticación
    • OP.ACC.6 - Acceso Local
    • OP.ACC.7 - Acceso Remoto
    • Explotación [op.exp]
  • CHECKLIST: OP.EXP - EXPLOTACIÓN
    • OP.EXP.1 - Inventario de Activos
    • OP.EXP.2 - Configuración de Seguridad
    • OP.EXP.3 - Gestión de la Configuración
    • OP.EXP.4 - Mantenimiento
    • OP.EXP.5 - Gestión de Cambios
    • OP.EXP.6 - Protección frente a Código Dañino
    • OP.EXP.7 - Gestión de Incidentes
    • OP.EXP.8 - Registro de Actividad
    • OP.EXP.9 - Registro de Gestión de Incidentes
    • OP.EXP.10 - Protección de Registros
    • OP.EXP.11 - Protección de Claves Criptográficas
    • Servicios Externos [op.ext]
  • CHECKLIST: OP.EXT - SERVICIOS EXTERNOS
    • OP.EXT.1 - Contratación y SLAs
    • OP.EXT.2 - Gestión Diaria
    • OP.EXT.3 - Protección Cadena Suministro
    • Continuidad del Servicio [op.cont]
  • CHECKLIST: OP.CONT - CONTINUIDAD DEL SERVICIO
    • OP.CONT.1 - Análisis de Impacto (BIA)
    • OP.CONT.2 - Plan de Continuidad
    • OP.CONT.3 - Pruebas Periódicas
    • OP.CONT.4 - Medios Alternativos
    • Monitorización [op.mon]
  • CHECKLIST: OP.MON - MONITORIZACIÓN DEL SISTEMA
    • OP.MON.1 - Detección de Intrusión
    • OP.MON.2 - Sistema de Métricas
  • Medidas de Protección [mp]
    • Protección de Instalaciones [mp.if]
  • CHECKLIST: MP.IF - PROTECCIÓN DE INSTALACIONES
    • MP.IF.1 - Áreas Separadas y Control de Acceso
    • MP.IF.2 - Identificación de Personas
    • MP.IF.3 - Acondicionamiento de Locales
    • MP.IF.4 - Energía Eléctrica
    • MP.IF.5 - Protección contra Incendios
    • MP.IF.6 - Protección contra Inundaciones
    • MP.IF.7 - Registro de Entrada/Salida
    • Gestión del Personal [mp.per]
  • CHECKLIST: MP.PER - GESTIÓN DEL PERSONAL
    • MP.PER.1 - Caracterización del Puesto
    • MP.PER.2 - Deberes y Obligaciones
    • MP.PER.3 - Concienciación
    • MP.PER.4 - Formación
    • Protección de Equipos [mp.eq]
  • CHECKLIST: MP.EQ - PROTECCIÓN DE EQUIPOS
    • MP.EQ.1 - Puesto de Trabajo Despejado
    • MP.EQ.2 - Bloqueo de Puesto
    • MP.EQ.3 - Protección de Portátiles
    • Protección de Comunicaciones [mp.com]
  • CHECKLIST: MP.COM - PROTECCIÓN DE COMUNICACIONES
    • MP.COM.1 - Perímetro Seguro
    • MP.COM.2 - Protección de Confidencialidad
    • MP.COM.3 - Protección de Integridad
    • MP.COM.4 - Protección de Autenticidad
    • Protección de Información [mp.info]
  • CHECKLIST: MP.INFO - PROTECCIÓN DE INFORMACIÓN
    • MP.INFO.1 - Datos de Carácter Personal
    • MP.INFO.2 - Calificación de Información
    • MP.INFO.3 - Cifrado
    • MP.INFO.4 - Firma Electrónica
    • MP.INFO.5 - Sellos de Tiempo
    • MP.INFO.6 - Limpieza de Documentos
    • MP.INFO.9 - Copias de Seguridad
    • Protección de Servicios [mp.s]
  • CHECKLIST: MP.S - PROTECCIÓN DE SERVICIOS
    • MP.S.1 - Protección del Correo
    • MP.S.2 - Protección de Servicios Web
    • MP.S.8 - Protección frente a DDoS
  • Checklist Específico Dispositivo Médico
  • CHECKLIST: INTEGRACIÓN MDR/FDA
    • Requisitos Regulatorios
    • Validación y Verificación
    • Post-Market Surveillance
  • Resumen de Hallazgos
    • Plantilla de Resumen
  • RESUMEN EJECUTIVO - AUDITORÍA ENS
    • Estadísticas Generales
    • Clasificación de No Conformidades
    • Por Marco ENS
    • Top 5 Áreas de Mejora
    • Fortalezas Identificadas
    • Recomendaciones Prioritarias
  • Plan de Acción Correctiva
    • Plantilla de Plan de Acción
  • PLAN DE ACCIÓN CORRECTIVA - AUDITORÍA ENS
    • Seguimiento del Plan
  • Herramientas de Auditoría
    • Scripts de Verificación
    • Checklist de Evidencias
  • Informe de Auditoría
    • Estructura del Informe
  • INFORME DE AUDITORÍA INTERNA ENS
    • INFORMACIÓN GENERAL
    • RESUMEN EJECUTIVO
    • METODOLOGÍA
    • HALLAZGOS DETALLADOS
    • NO CONFORMIDADES
    • OPORTUNIDADES DE MEJORA
    • CONCLUSIONES
    • RECOMENDACIONES
    • PLAN DE ACCIÓN
    • ANEXOS
    • FIRMAS
  • Seguimiento Post-Auditoría
    • Proceso de Seguimiento
  • Mejora Continua
    • Análisis de Tendencias
  • Referencias
  • Control de Cambios
  • Aprobaciones
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI LABS GROUP S.L.)