ag03.com
产品详细介绍
ISO27001认证体系建设分为四个阶段:实施安全风险评估、规划体系建设方案、建立信息安全管理 体系、体系运行及改进。也符合信息安全管理循环PDCA(Plan-Do-Check-Action)模型及ISO27001要求, 即有效地保护企业信息系统的安全,确保信息安全的持续发展。 1、确立范围 首先是确立项目范围,从机构层次及系统层次两个维度进行范围的划分。从机构层次上,可以考虑 内部机构:需要覆盖公司的各个部门,其包括总部、事业部、制造本部、技术本部等;外部机构:则包括 公司信息系统相连的外部机构,包括供应商、中间业务合作伙伴、及其他合作伙伴等。 从系统层次上,可按照物理环境:即支撑信息系统的场所、所处的周边环境以及场所内保障计算机 系统正常运行的设施。包括机房环境、门禁、监控等;网络系统:构成信息系统网络传输环境的线路介质 ,设备和软件;服务器平台系统:支撑所有信息系统的服务器、网络设备、客户机及其操作系统、数据库 、中间件和Web系统等软件平台系统;应用系统:支撑业务、办公和管理应用的应用系统;数据:整个信息 系统中传输以及存储的数据;安全管理:包括安全策略、规章制度、人员组织、开发安全、项目安全管理 和系统管理人员在日常运维过程中的安全合规、安全审计等。 2、安全风险评估 企业信息安全是指保障企业业务系统不被非法访问、利用和篡改,为企业员工提供安全、可信的服 务,保证信息系统的可用性、完整性和保密性。 本次进行的安全评估,主要包括两方面的内容: 2.1、企业安全管理类的评估 通过企业的安全控制现状调查、访谈、文档研读和ISO27001的 实践比对,以及在行业的经验上 进行“差距分析”,检查企业在安全控制层面上存在的弱点,从而为安全措施的选择提供依据。 评估内容包括ISO27001所涵盖的与信息安全管理体系相关的11个方面,包括信息安全策略、安全组 织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护、安 全事件管理、业务连续性管理、符合性。 2.2、企业安全技术类评估 基于资产安全等级的分类,通过对信息设备进行的安全扫描、安全设备的配置,检查分析现有网络 设备、服务器系统、终端、网络安全架构的安全现状和存在的弱点,为安全加固提供依据。 针对企业具有代表性的关键应用进行安全评估。关键应用的评估方式采用渗透测试的方法,在应用 评估中将对应用系统的威胁、弱点进行识别,分析其和应用系统的安全目标之间的差距,为后期改造提 供依据。 提到安全评估,一定要有方法论。我们以ISO27001为核心,并借鉴国际常用的几种评估模型的优点 ,同时结合企业自身的特点,建立风险评估模型: 在风险评估模型中,主要包含信息资产、弱点、威胁和风险四个要素。每个要素有各自的属性,信 息资产的属性是资产价值,弱点的属性是弱点在现有控制措施的保护下,被威胁利用的可能性以及被威 胁利用后对资产带来影响的严重程度,威胁的属性是威胁发生的可能性及其危害的严重程度,风险的属 性是风险级别的高低。风险评估采用定性的风险评估方法,通过分级别的方式进行赋值。 3、规划体系建设方案 企业信息安全问题根源分布在技术、人员和管理等多个层面,须统一规划并建立企业信息安全体系 ,并终落实到管理措施和技术措施,才能确保信息安全。 规划体系建设方案是在风险评估的基础上,对企业中存在的安全风险提出安全建议,增强系统的安 全性和抗攻击性。 在未来1-2年内通过信息安全体系制的建立与实施,建立安全组织,技术上进行安全审计、内外网隔 离的改造、安全产品的部署,实现以流程为导向的转型。在未来的 3-5 年内,通过完善的信息安全体系 和相应的物理环境改造和业务连续性项目的建设,将企业建设成为一个注重管理,预防为主,防治结合 的先进型企业。 4、企业信息安全体系建设 企业信息安全体系建立在信息安全模型与企业信息化的基础上,建立信息安全管理体系核心可以更 好的发挥六方面的能力:即预警(Warn)、保护(Protect)、检测(Detect)、反应(Response)、恢复 (Recover)和反击(Counter-attack),体系应该兼顾攘外和安内的功能。 安全体系的建设一是涉及安全管理制度建设完善;二是涉及到信息安全技术。首先,针对安全管理制 度涉及的主要内容包括企业信息系统的总体安全方针、安全技术策略和安全管理策略等。安全总体方针 涉及安全组织机构、安全管理制度、人员安全管理、安全运行维护等方面的安全制度。安全技术策略涉 及信息域的划分、业务应用的安全等级、安全保护思路、说以及进一步的统一管理、系统分级、网络互 联、容灾备份、集中监控等方面的要求。 其次,信息安全技术按其所在的信息系统层次可划分为物理安全技术、网络安全技术、系统安全技 术、应用安全技术,以及安全基础设施平台;同时按照安全技术所提供的功能又可划分为预防保护类、检 测跟踪类和响应恢复类三大类技术。结合主流的安全技术以及未来信息系统发展的要求,规划信息安全 技术包括:
萝北GJB9001C认证本地机构20天出证
医院ISO9000认证工作在襄阳鞭医院推行,我司作为咨询机构全程参与,深切地感受到ISO9000认证对医疗服务质量的改进,服务业绩的提升上大有益处的。虽然医院ISO9000认证管理还有一些不同的看法,但事实证明,还是适宜、有效的,甚至是必要的、迫切的,关键是你是否用心去做。 一、 基本做法 医院首先成立了由院长任组长的贯标认证工作组,制定贯标认证计划书。召开专题办公会议,明确职责分工。召开全院实施ISO9000认证动员大会,发动全体员工人人要为医院贯标认证做出贡献。 整个贯标认证工作分准备、培训、文件梳理、体系文件编写、体系试运行、内审、评审、体系文件修订、认证申请、认证10个阶段进行。我们认为其中关键步骤应是培训、文件梳理、体系文件编写、内审和评审。 (一) 标准培训 ISO9000标准的培训是一个贯穿于质量管理体系建立、实施和保持的全程、全员性课题,通过各种不同形式的培训,并尽量多地采取互动方式,不断加强对标准条款的认识和理解,不明白、有疑义的就讨论,统一思想,达成共识。使医院的全体员工人人都成为ISO9000质量管理体系的明白人,这是实施ISO9001:2000质量认证的理论保证和根本前提。 医院中层以上干部利用每周六下午中层会时间集中学习ISO9000标准,各科主任再将学习的内容向科室员工讲解,连续一个半月。在这期间先对ISO9000:2000、ISO9001:2000原文进行了通读,再将ISO9001:2000标准转化为医院语言逐条解读,让全体员工理解质量管理体系的术语、定义和ISO9001:2000条款的确切含义。继后,每次院长办公会、中层例会 小时先由管理者代表主讲有关质量管理体系的相关内容。 另外,医院还举行了五期专题培训班,分别对要素分工与程序文件编写、科室作业文件编写、内部审核等具体问题进行了培训。 (二) 文件梳理 我们认识到患者的要求,由于存在着医患信息的不对称性,几乎都是隐含的,而这些隐含着的要求多在法律法规、部门规章、医院规定和各项规章制度中作出了表述。所以,将法律法规、部门规章、医院规定和各项规章制度进行详细的识别、确认、归类整理,这是建立医院质量管理体系的 步——识别要求。 我院文件梳理工作分三部分。一是对医院所有下发的有关质量管理类文件进行梳理和修订,包括医院管理规定和医院基本规章制度,形成了《医院管理通则和基本规章制度》。二是对医院应执行的有关法律法规进行梳理,包括法、条例、部门规章,形成了《医院质量管理体系适用的法律法规汇编》。三是对医院设置的各岗位的职责、权限进行梳理和修订,形成了《医院各岗位描述》。同时要求医院全体员工每人立足自己的工作岗位进行文件梳理,履行什么职责、拥有哪些权限、遵守哪些法律法规、规章制度和规范。 (三) 体系文件编写 医院质量管理体系三个层次文件按照要素分配,本着谁是责任主体谁编写的原则,由自上而下的顺序进行。院长回答了ISO9001:2000第五章全部内容的编写准则和第六章的指导原则;发布并解读了医院的质量方针和目标,阐述自己对医疗服务质量的管理理念,发表了《院长声明》;确定了医院的组织机构,明确了医院各岗位的职责和权限。管理者代表负责编写《质量手册》,组织职能部门编写《程序文件》。科室作业文件由科主任组织编写,科室质控员执笔。文件编写过程中为了行文格式的一致性,我们编辑了《程序文件模板》和《科室作业文件模板》。 整个文件体系经过两次内审和管理评审结束后进行了 次修订,终形成医院质量管理体系第三版 次修订版。 (四) 内审与管理评审 内审和管理评审是医院质量管理体系有效运行的重要标志。只有有效的开展内审和管理评审,才可能做到持续的质量改进。 体系试运行期间,我们8名内审员分四组按照《内审程序》进行了两次内审和一次管理评审,对医院质量管理体系的充分性、适宜性、有效性及其业绩进行了全面评价,提出了质量管理体系改进方案。 二、 几点体会 (一) 建立医院质量管理体系,首先应消除思想观念的束缚 我们医院在建立质量管理体系的过程中,思想观念的束缚是普遍存在的。这些观念的束缚从院长到一线员工都有不同程度的显现,特别是贯标认证的早期。这些思想观念的束缚,使我们走了很多弯路,费了很多周折。这些思想观念的束缚不解除,就无法建立起真正意义上的质量管理体系——使医院改进质量,提升业绩,获得成功。 1、主要表现 员工中主要表现有几论: 一是不适宜论。认为太超前,不适宜于中国人的管理;只适宜工业,不适宜于医院。 二是无用论:好多通过认证的单位,质量也不见得多么好,我们搞认证也无用,只能是劳民伤财。 三是“投机取巧”论:认证,认证不就是为了那个“证”吗?何必那么麻烦!把人家文件抄来,或者“拿几个钱”买一个算了。 院长的思想束缚主要表现在对自己原有管理框架和思路的冲击,院长在长期的管理实践中积累了大量而丰富的经验,形成了自己的一套做法或模式,但贯彻ISO9000质量管理体系标准,或多或少地需要改变这些框架和思路,有时是很痛苦的。 2、原因分析 出现这些观念束缚情况不是我们的思想道德品质的恶劣,而是有历史的和现实的原因。 从历史角度讲,我们的文化底蕴仍然还是一个封建的主题,根本没有经过像西方经济社会那样的动荡洗礼,无论管理者还是被管理者在思想深处都存在着根深蒂固的自给自足自然经济的小农意识和帝王将相的官级理念,工作中既得利益为重和投机取巧行为表现比较突出,职级管理中主要表现为超凡权力的运用,完全依靠对于领导的信仰和追随。领导者也十分注重造就自己的追随族,时髦的话叫“粉丝”,严重者在医院内部制造“死党”,超凡权力过于带有感情色彩并且是非理性的,不是依据规章制度,而是依据神秘的启示。顺我者昌,逆我者亡,秋收算账;随意管理,因人设岗,朝令夕改,一朝君子一朝臣,一朝君子一朝政,时髦的话叫“各人有各人的办法”。这个人治的环境从本质上与ISO9000精神相悖。 从现实角度讲,目前中国的ISO9000质量管理事业有些的确让人大迭眼镜。在2000年我们就探讨ISO9000管理问题,到过哈医大二附院参观学习,大家都知道时到今天的哈医大二附院怎么了。当时要想做ISO9000认证需要几十万元甚至上百万,到如今花五、六万元就可以“卖一个认”,这叫人如何是好! 3、解决问题 说句实在话,这些涉及社会深层次的问题,要解决并不是朝夕之间就能做到的,但我们不从现在做起也是不正确的。我们要有勇气去探讨,去实践。 (二) “以顾客为关注焦点”是整个质量管理体系的灵魂 1、患者 “以顾客为关注焦点”是ISO9000标准的灵魂,是判定医院质量管理体系是否充分、适宜、有效的一项金标准。我们建立起来的医疗服务实现过程和那些程序和流程是否合适,首先要看是方便了自己,还是满足了患者。这就是我们一直强调的“一切以患者方便不方便,高兴不高兴,满意不满意”为判定标准。 说这些好像令人嗤笑,大家都知道今天我国的医疗机构怎么了?在医疗信息不对称的前提下,在当今的大环境中,以“患者为关注焦点”,用卫生部的话说叫“以病人为中心”,要想做到,这“良心”真是酸、甜、苦、辣、咸五味俱全。医嘱中的药、手术中的器械、给患者作的心电监护、应用的静脉输液泵等等,有些体现了“以病人为中心”,有些呢? 2、内部顾客 内部顾客意识的建立也十分重要,事事站在“顾客”的角度考虑问题,利用“换位思考”的方法处理问题,充分了解和理解“顾客”的需求,满足这些需求,让自己的“顾客”满意,这就是质量。 然而在当今的体制和机制下,医院内部复杂的人际关系,搅如乱麻,权力、本位、人脉圈子、帮派体系、长官眼色实在是太复杂了,一件往往很简单的事做起来却很难。