IATF16949认证 条件认监委可查

　ISO27001认证体系建设分为四个阶段：实施风险评估、规划体系建设方案、建立信息管理 体系、体系运行及改进。也符合信息管理循环PDCA(Plan-Do-Check-Action)模型及ISO27001要求， 即有效地保护企业信息系统的，确保信息的持续发展。 　　1、确立范围 　　首先是确立项目范围，从机构层次及系统层次两个维度进行范围的划分。从机构层次上，可以考虑 内部机构：需要覆盖公司的各个部门，其包括总部、事业部、制造本部、技术本部等;外部机构：则包括 公司信息系统相连的外部机构，包括供应商、中间业务合作伙伴、及其他合作伙伴等。 　　从系统层次上，可按照物理环境：即支撑信息系统的场所、所处的周边环境以及场所内保障计算机 系统正常运行的设施。包括机房环境、门禁、监控等;网络系统：构成信息系统网络传输环境的线路介质 ，设备和软件;服务器平台系统：支撑所有信息系统的服务器、网络设备、客户机及其操作系统、数据库 、中间件和Web系统等软件平台系统;应用系统：支撑业务、办公和管理应用的应用系统;数据：整个信息 系统中传输以及存储的数据;管理：包括策略、规章制度、人员组织、开发、项目管理 和系统管理人员在日常运维过程中的合规、审计等。 　　2、风险评估 　　企业信息是指保障企业业务系统不被非法访问、利用和篡改，为企业员工提供、可信的服 务，保证信息系统的可用性、完整性和保密性。 　　本次进行的评估，主要包括两方面的内容： 　　2.1、企业管理类的评估 　　通过企业的控制现状调查、访谈、文档研读和ISO27001的 实践比对，以及在行业的经验上 进行“差距分析”，检查企业在控制层面上存在的弱点，从而为措施的选择提供依据。 　　评估内容包括ISO27001所涵盖的与信息管理体系相关的11个方面，包括信息策略、组 织、资产分类与控制、人员、物理和环境、通信和操作管理、访问控制、系统开发与维护、安 全事件管理、业务连续性管理、符合性。 　　2.2、企业技术类评估 　　基于资产等级的分类，通过对信息设备进行的扫描、设备的配置，检查分析现有网络 设备、服务器系统、终端、网络架构的现状和存在的弱点，为加固提供依据。 　　针对企业具有代表性的关键应用进行评估。关键应用的评估方式采用渗透测试的方法，在应用 评估中将对应用系统的威胁、弱点进行识别，分析其和应用系统的目标之间的差距，为后期改造提 供依据。 　　提到评估，一定要有方法论。我们以ISO27001为核心，并借鉴国际常用的几种评估模型的优点 ，同时结合企业自身的特点，建立风险评估模型： 　　在风险评估模型中，主要包含信息资产、弱点、威胁和风险四个要素。每个要素有各自的属性，信 息资产的属性是资产价值，弱点的属性是弱点在现有控制措施的保护下，被威胁利用的可能性以及被威 胁利用后对资产带来影响的严重程度，威胁的属性是威胁发生的可能性及其危害的严重程度，风险的属 性是风险级别的高低。风险评估采用定性的风险评估方法，通过分级别的方式进行赋值。 　　3、规划体系建设方案 　　企业信息问题根源分布在技术、人员和管理等多个层面，须统一规划并建立企业信息体系 ，并终落实到管理措施和技术措施，才能确保信息。 　　规划体系建设方案是在风险评估的基础上，对企业中存在的风险提出建议，增强系统的安 全性和抗攻击性。 　　在未来1-2年内通过信息体系制的建立与实施，建立组织，技术上进行审计、内外网隔 离的改造、产品的部署，实现以流程为导向的转型。在未来的 3-5 年内，通过完善的信息体系 和相应的物理环境改造和业务连续性项目的建设，将企业建设成为一个注重管理，为主，防治结合 的先进型企业。 　　4、企业信息体系建设 　　企业信息体系建立在信息模型与企业信息化的基础上，建立信息管理体系核心可以更 好的发挥六方面的能力：即预警(Warn)、保护(Protect)、检测(Detect)、反应(Response)、恢复 (Recover)和反击(Counter-attack)，体系应该兼顾攘外和安内的功能。 　　体系的建设一是涉及管理制度建设完善;二是涉及到信息技术。首先，针对管理制 度涉及的主要内容包括企业信息系统的总体方针、技术策略和管理策略等。总体方针 涉及组织机构、管理制度、人员管理、运行维护等方面的制度。技术策略涉 及信息域的划分、业务应用的等级、保护思路、说以及进一步的统一管理、系统分级、网络互 联、容灾备份、集中监控等方面的要求。 　　其次，信息技术按其所在的信息系统层次可划分为物理技术、网络技术、系统技 术、应用技术，以及基础设施平台;同时按照技术所提供的功能又可划分为保护类、检 测跟踪类和响应恢复类三大类技术。结合主流的技术以及未来信息系统发展的要求，规划信息 技术包括：

ISO9000质量管理体系与传统医院管理模式的不同点 　　传统的医院管理模式要点有:（1）以科室为主要质量管理单位进行局部质量控制，由质量管理人员对质量负责，少数人参加质量管理、接受质量教育;（2）以疾病为中心、事后控制的质量管理模式;（3）质量工作一年一总结，来年定计划，科室仅追求完成任务;（4）仅限于对医疗技术、医疗效果进行质量控制。 　　ISO9000族质量管理体系要点有:（1）以院长为质量管理核心进行质量控制，院长对质量管理体系负全责，全员参与质量管理，全员接受质量教育;（2）以病人为中心，事前、事中、事后全过程控制的质量管理模式;（3）质量工作形审核的三审机制，并制定措施、改正措施两个控制程序，树立质量工作持续改进、永无止境的观念;（4）围绕医疗技术、医疗效果，涵盖医疗、医技、护理、教学、人力资源、基础设施、医疗环境、药品及器械采购、科研开发、信息分析、财务预决算的质量控制。 　　ISO9000质量管理体系运行情况可以看出:（1）确立院长对质量管理体系负责制，扭转了过去由医务科、质控科负责质量的3项不足:①局限性;②效率不高、不具号召力;③员工对质量工作不重视。（2）通过运行20多个控制程序，杜绝了过去管理工作的5项漏洞:①规范医疗、医技操作行为，杜绝违背《作业指导书》的操作、杜绝人员无证上岗现象、杜绝医疗事故;②规范了上至院长、科主任，下至锅炉工的人员职责，杜绝人浮于事、因人设岗现象;③完善基础设施、改善就医环境;④规范采购过程，杜绝采购时无合格供方证明的现象;⑤建立医疗设备操作规则及维护保养制度，减少损耗、降低成本、杜绝资源浪费。 　　综上所述，ISO9000质量管理体系有传统质量管理体系所不具备的、系统化、标准化、国际化、科学化的特质，能有效地发现问题、解决问题、改进不足，提供给医院不断完善、持续发展的支撑平台。 　　2 成功实施ISO9000质量管理体系能明显增加医院的社会效益和经济效益 　 ISO9000质量管理体系所产生的效益可概括为:增源节流。即通过管理提高质量、增加收益;通过管理降低成本、节约开支。医改和药改对医院的冲击是不容忽视的，提高质量与降低成本是医院永远不变的策略 。 　　建立并运行ISO9000质量管理体系的投入主要有:咨询费、认证费、监督审核费、文件成本、相关设备成本以及人力资源投入。而运行后的回报包括:杜绝医疗事故减少的支出;降低医疗设备损耗减少的支出;降低医疗成本减少的支出;精简机构设置、取消人浮于事减少的支出;因提高医疗服务、医疗技术、医疗效果带来有形资产的增加;同时因提高声誉、知名度、医院形象带来无形资产等社会效益的增加是十分明显的。 　　由此可见，医院为ISO9000质量管理体系的投入是一个相对较小的成本，其投入随时间而减少，而医院获得的回报与体系运行有效程度、与时间成正比。建立一个成功的体系如同为医院的宏伟目标打下坚实的基础，在这个基础之上才有更辉煌的业绩。 　　3 有效防止ISO9000质量管理体系运行失败风险的方法和措施 　　医院运行ISO9000质量管理体系没有起色的原因主要有:（1）体系建立不完善;（2）体系运行不到位;（3）说一套、做一套，不能改变习惯做法，存在文件和运行“两层皮”现象;（4）没有坚持运行下去。 　　风险是指某一行动的结果具有多样性，从以上4点可以看出，医院运行ISO质量管理体系确实存在运行失败的风险。从医院体系运行实例可找到有效的途径:（1）由医院高、中、低3个阶层共同构建、支撑ISO9000质量管理体系。以管理者为出发点，大力推动贯彻ISO9000族标准进程;以中层骨干精英为中坚力量，实现质量目标、落实考核方案、改进管理方式;赢得员工支持，把理论落实到实践中。（2）不求一步到位、但求永不放弃的决心。通过ISO9000认证后，仍通过内审和实际运行精益求精地改进质量管理体系，再先进的体系也必须通过持之以恒的有效运行和时间的验证才能充分体现其价值。（3）从根本上改变习惯做法，接受标准化、规范化的工作方式，完成把松散的管理纳入到 科学、正规的管理的转变。 　　4 医院的等级评定与ISO9000质量认证是相辅相成的，具有相符性 　　医疗机构等级评定制度将医院划分为三级九等，医院的等级往往和医院的医疗质量、医院形象划上等号。近年来医院的等级评定越来越重视“以病人为中心”的理念。卫生部提出了医院评级的“六重三不”原则:重服务、重管理、重质量、重、重基础、重保障，不搞运动、不搞形式、不弄虚作假。 　　ISO9000质量管理体系的步骤: 步是确定顾客和其他相关方的需求和期望，体现重服务原则;第二步是确定全院质量方针和质量目标，体现重质量原则;第三步是确定实现质量目标必需的过程、职责，体现重原则;第四步是确定实现质量目标必需的资源，体现重基础、重保障原则;第五步是确定过程的有效性和效率，体现不弄虚作假原则;第六步是确定防止不合格并产生原因的措施，体现重质量、重原则;第七步是建立持续改进质量管理体系的过程，体现重管理原则。 　　由此可见，建立质量管理体系与医院等级评定的目的、宗旨一致，有效运行质量管理体系的医院必将符合医院等级评定要求，通过ISO认证的医院更容易通过等级评定，成功实施ISO质量管理体系为医院等级评定打下坚实的基础，二者相辅相成，具有一致相符合性。 　　5 ISO9000质量管理体系能更有效地医疗事故和医疗纠纷 　ISO9000质量管理体系可以从体制上有效和减少医疗事故、医疗纠纷，传统管理体制通过事实发现不合格则给予当事人经济处罚。ISO9000质量管理体系的机制是通过内部审核、管理评审、外部审核3个审核程序发现不合格或潜在不合格―――确定不合格原因―――确定相应的纠正措施、措施―――实施纠正措施、措施―――跟踪、评价、验证实施措施的有效性―――无效时进一步改进―――有效时记录并纳入体系。 　　 　 ISO9000质量管理体系把单一的医院质量管理模式转变为的医院质量管理模式，树立起“以病人为中心”的服务观念，提供优质医疗服务、医疗质量，规范就医行为、减少医患纠纷，为医院的长远发展提供了有力的保障和新的起点。为了积极贯彻中央《质量振兴纲要》精神，适应21世纪医院质量管理现代化的新形式，适应新时期卫生事业奋斗目标的要求，有必要在医院运行ISO9000质量管理体系，逐步实行医院ISO9000质量体系认证制度。