醫院ISO9000認證工作在襄陽鞭醫院推行，我司作為咨詢機構全程參與，深切地感受到ISO9000認證對醫療服務質量的改進，服務業績的上大有益處的。雖然醫院ISO9000認證管理還有一些不同的看法，但事實證明，還是適宜、有效的，甚至是必要的、迫切的，關鍵是你是否用心去做。 一、 基本做法 醫院首先成立了由院長任組長的貫標認證工作組，制定貫標認證計劃書。召開專題辦公會議，明確職責分工。召開全院實施ISO9000認證動員大會，發動全體員工人人要為醫院貫標認證做出貢獻。 整個貫標認證工作分準備、培訓、文件梳理、體系文件編寫、體系試運行、內審、評審、體系文件修訂、認證申請、認證10個階段進行。我們認為其中關鍵步驟應是培訓、文件梳理、體系文件編寫、內審和評審。 (一) 標準培訓 ISO9000標準的培訓是一個貫穿于質量管理體系建立、實施和保持的全程、全員性課題，通過各種不同形式的培訓，并盡量多地采取互動方式，不斷加強對標準條款的認識和理解，不明白、有疑義的就討論，統一思想，達成共識。使醫院的全體員工人人都成為ISO9000質量管理體系的明白人，這是實施ISO9001：2000質量認證的理論保證和根本前提。 醫院中層以上干部利用每周六下午中層會時間集中學習ISO9000標準，各科主任再將學習的內容向科室員工講解，連續一個半月。在這期間先對ISO9000：2000、ISO9001：2000原文進行了通讀，再將ISO9001：2000標準轉化為醫院語言逐條解讀，讓全體員工理解質量管理體系的術語、定義和ISO9001：2000條款的確切含義。繼后，每次院長辦公會、中層例會 小時先由管理者代表主講有關質量管理體系的相關內容。 另外，醫院還舉行了五期專題培訓班，分別對要素分工與程序文件編寫、科室作業文件編寫、內部審核等具體問題進行了培訓。 (二) 文件梳理 我們認識到患者的要求，由于存在著醫患信息的不對稱性，幾乎都是隱含的，而這些隱含著的要求多在法律法規、部門規章、醫院規定和各項規章制度中作出了表述。所以，將法律法規、部門規章、醫院規定和各項規章制度進行詳細的識別、確認、歸類整理，這是建立醫院質量管理體系的 步——識別要求。 我院文件梳理工作分三部分。一是對醫院所有下發的有關質量管理類文件進行梳理和修訂，包括醫院管理規定和醫院基本規章制度，形成了《醫院管理通則和基本規章制度》。二是對醫院應執行的有關法律法規進行梳理，包括法、條例、部門規章，形成了《醫院質量管理體系適用的法律法規匯編》。三是對醫院設置的各崗位的職責、權限進行梳理和修訂，形成了《醫院各崗位描述》。同時要求醫院全體員工每人立足自己的工作崗位進行文件梳理，履行什么職責、擁有哪些權限、遵守哪些法律法規、規章制度和規范。 (三) 體系文件編寫 醫院質量管理體系三個層次文件按照要素分配，本著誰是責任主體誰編寫的原則，由自上而下的順序進行。院長回答了ISO9001：2000第五章全部內容的編寫準則和第六章的指導原則；發布并解讀了醫院的質量方針和目標，闡述自己對醫療服務質量的管理理念，發表了《院長聲明》；確定了醫院的組織機構，明確了醫院各崗位的職責和權限。管理者代表負責編寫《質量手冊》，組織職能部門編寫《程序文件》。科室作業文件由科主任組織編寫，科室質控員執筆。文件編寫過程中為了行文格式的一致性，我們編輯了《程序文件模板》和《科室作業文件模板》。 整個文件體系經過兩次內審和管理評審結束后進行了 次修訂，終形成醫院質量管理體系第三版 次修訂版。 (四) 內審與管理評審 內審和管理評審是醫院質量管理體系有效運行的重要標志。只有有效的開展內審和管理評審，才可能做到持續的質量改進。 體系試運行期間，我們8名內審員分四組按照《內審程序》進行了兩次內審和一次管理評審，對醫院質量管理體系的充分性、適宜性、有效性及其業績進行了評價，提出了質量管理體系改進方案。 二、 幾點體會 (一) 建立醫院質量管理體系，首先應思想觀念的束縛 我們醫院在建立質量管理體系的過程中，思想觀念的束縛是普遍存在的。這些觀念的束縛從院長到一線員工都有不同程度的顯現，特別是貫標認證的早期。這些思想觀念的束縛，使我們走了很多彎路，費了很多周折。這些思想觀念的束縛不解除，就無法建立起真正意義上的質量管理體系——使醫院改進質量，業績，獲得成功。 1、主要表現 員工中主要表現有幾論： 一是不適宜論。認為太超前，不適宜于中國人的管理；只適宜工業，不適宜于醫院。 二是無用論：好多通過認證的單位，質量也不見得多么好，我們搞認證也無用，只能是勞民傷財。 三是“投機取巧”論：認證，認證不就是為了那個“證”嗎？何必那么麻煩！把人家文件抄來，或者“拿幾個錢”買一個算了。 院長的思想束縛主要表現在對自己原有管理框架和思路的沖擊，院長在長期的管理實踐中積累了大量而豐富的經驗，形成了自己的一套做法或模式，但貫徹ISO9000質量管理體系標準，或多或少地需要改變這些框架和思路，有時是很痛苦的。 2、原因分析 出現這些觀念束縛情況不是我們的思想道德品質的惡劣，而是有歷史的和現實的原因。 從歷史角度講，我們的文化底蘊仍然還是一個封建的主題，根本沒有經過像西方經濟社會那樣的動蕩洗禮，無論管理者還是被管理者在思想深處都存在著根深蒂固的自給自足自然經濟的小農意識和帝王將相的官級理念，工作中既得利益為重和投機取巧行為表現比較突出，職級管理中主要表現為超凡權力的運用，完全依靠對于領導的信仰和追隨。也十分注重造就自己的追隨族，時髦的話叫“粉絲”，嚴重者在醫院內部制造“死黨”，超凡權力過于帶有感情色彩并且是非理性的，不是依據規章制度，而是依據神秘的啟示。順我者昌，逆我者亡，秋收算賬；隨意管理，因人設崗，朝令夕改，一朝君子一朝臣，一朝君子一朝政，時髦的話叫“各人有各人的辦法”。這個人治的環境從本質上與ISO9000精神相悖。 從現實角度講，目前中國的ISO9000質量管理事業有些的確讓人大迭眼鏡。在2000年我們就探討ISO9000管理問題，到過哈醫大二附院參觀學習，大家都知道時到今天的哈醫大二附院怎么了。當時要想做ISO9000認證需要幾十萬元甚至上百萬，到如今花五、六萬元就可以“賣一個認”，這叫人如何是好！ 3、解決問題 說句實在話，這些涉及社會深層次的問題，要解決并不是朝夕之間就能做到的，但我們不從現在做起也是不正確的。我們要有勇氣去探討，去實踐。 (二) “以顧客為關注焦點”是整個質量管理體系的靈魂 1、患者 “以顧客為關注焦點”是ISO9000標準的靈魂，是判定醫院質量管理體系是否充分、適宜、有效的一項金標準。我們建立起來的醫療服務實現過程和那些程序和流程是否合適，首先要看是方便了自己，還是滿足了患者。這就是我們一直強調的“一切以患者方便不方便，高興不高興，滿意不滿意”為判定標準。 說這些好像令人嗤笑，大家都知道今天我國的醫療機構怎么了？在醫療信息不對稱的前提下，在當今的大環境中，以“患者為關注焦點”，用衛生部的話說叫“以病人為中心”，要想做到，這“良心”真是酸、甜、苦、辣、咸五味俱全。醫囑中的藥、手術中的器械、給患者作的心電監護、應用的靜脈輸液泵等等，有些體現了“以病人為中心”，有些呢？ 2、內部顧客 內部顧客意識的建立也十分重要，事事站在“顧客”的角度考慮問題，利用“換位思考”的方法處理問題，充分了解和理解“顧客”的需求，滿足這些需求，讓自己的“顧客”滿意，這就是質量。 然而在當今的體制和機制下，醫院內部復雜的人際關系，攪如亂麻，權力、本位、人脈圈子、幫派體系、長官眼色實在是太復雜了，一件往往很簡單的事做起來卻很難。

ISO27000認證信息風險評估FAQ 深圳ISO27000認證為什么要進行信息風險評估？ 　　通過風險評估，你可以知道組織范圍內存在哪些重要的信息資產、信息處理設施及其面臨的威脅，發現技術和管理上的脆弱點，綜合評估現有綜合資產的風險狀況。 什么是信息風險評估？ 　　風險評估：對信息及信息載體、應用環境等各方面風險進行辨識和分析的過程，是對威脅、影響、脆弱性及三者發生的可能性的評估。它是確認風險及其大小的過程。 　　風險評估為管理層確定具體的策略，以及在“成本-效益”平衡基礎上做決策服務；風險控制措施為組織實施信息的改進提供指導。 信息風險評估的實施的主體是什么？ 　　風險評估可分為自評估和檢查評估兩大類。自評估是由被評估信息系統的擁有者依靠自身的力量，對其自身的信息系統進行的風險評估活動。檢查評估則通常是被評估信息系統的擁有者的上級主管或業務主管發起的，旨在依據已經頒布的法規或標準進行的，具有強制意味的檢查活動，是通過行政手段加強信息的重要措施。 　　檢查評估應該是具有一定資質的風險評估服務機構實施的。自評估可以在信息風險評估服務機構的咨詢、服務、培訓下，由系統所有者和評估服務機構共同完成。 信息風險評估的政策依據及標準依據？ 　　 信息化領導小組《關于加強信息保障工作的意見》(中辦發[2003]27號文件)將信息風險評估作為一項重要的舉措。國信辦2005年5號文率先在北京、上海、黑龍江、云南等地，以及銀行、稅務、電力三個行業進行試點，根據試點經驗，各省市建立信息風險評估管理制度。 　　 國信辦標準草案《信息風險評估指南》、《信息風險管理指南》 　　 NIST SP800-30 《Risk Management Guide for Information Technology Systems》 信息風險評估包括哪幾個主要實施階段？ 　　風險評估可以分為資產識別、重要資產賦值、威脅分析、脆弱性識別、風險計算、風險控制措施提出等實施階段。 信息風險評估的主要內容及方法？ 　　信息風險評估的實施主要有以下內容： 　　 （1）資產識別 　　 （2）資產的屬性賦值及權重計算 　　 （3）威脅分析 　　 （4）薄弱點分析 　　 （5）威脅發生可能性及影響分析 　　 （6）風險計算 　　 （7）風險處理計劃制定 　　 風險評估是一項綜合的系統工程，既涉及到技術，又涉及到管理。風險評估過程中既需要采用技術的檢測手段，又需要進行綜合的歸納、總結和分析方法。 　　 風險評估中資產價值的判斷、威脅判斷、事件造成影響的判斷標準都需要根據被評估實際情況，與被評估方共同確定。 信息風險評估是否會影響系統的業務正常運行？ 　　除針對服務器的漏洞掃描、診斷及滲透性測試外，風險評估不會對系統的業務運行造成影響。即使是滲透性測試，也僅僅是為了驗證漏洞存在給系統可能造成的后果（如文件竊取、控制修改關鍵程序/進程等），而不是以破壞系統為目的。評估人員在執行滲透性測試前，會將詳細的滲透測試方案與用戶交流，包括滲透測試對象、測試強度、可能后果、提前備份等要求，并經用戶認可后方能實施。 信息風險評估的結果形式是什么？ 　　信息風險評估在評估過程中將生成一系列的風險評估操作記錄，包括：重要資產列表、脆弱性匯總表、資產威脅識別表、資產威脅風險系數表、信息資產綜合風險值表等， 將生成三份評估結果： 　　 脆弱性評估報告：以資產為核心，描述該資產存在的薄弱點。 　　 風險評估報告：反映了風險評估整個過程、方法、內容及風險結果。 　　 風險處理計劃：針對識別的風險，提出具體的控制目標和控制措施。 信息風險評估的周期有多長　 　　信息風險評估沒有確定的時間周期，一般兩年一次進行定期的評估，但當組織新增信息資產、系統發生重大變更、業務流程發生重大變化、發生嚴重信息事故等情況下應進行風險評估。 　　 此外，對系統規劃、擴建時也需要進行風險評估，為需求、策略的制定提供依據。 信息風險評估的收費標準　 　　根據評估對象的不同而不同。風險評估的對象可以是：單個獨立的信息系統、支持組織業務的整體信息處理環境、整個組織范圍。信息風險評估的費用主要依據以下幾個方面進行核算： 　　 網絡規模 　　 聯網單位或客戶端抽樣比例 　　 被評估系統的多少 　　 被評估信息設備的多少 　　 被評估的組織范圍大小