某醫(yī)院ISO標管辦工作計劃課件

ISO標管辦工作計劃ISO標管辦工作計劃12003.8-2004.3工作計劃大綱前期工作回顧康華醫(yī)院計劃實施的國際標準ISO標管辦各月工作計劃組織架構圖人員需求計劃崗位職責說明2003.8-2004.3工作計劃大綱前期工作回顧2前期工作回顧了解醫(yī)院的整體狀況和發(fā)展戰(zhàn)略完成開展ISO9000培訓所需的材料參與數字化工程部的醫(yī)院軟件供應商選擇完成實施ISO14000所需的培訓材料部分完成OHSAS18000培訓材料了解ISO17799信息安全管理體系，思考在醫(yī)院推行該系統(tǒng)前期工作回顧了解醫(yī)院的整體狀況和發(fā)展戰(zhàn)略3康華醫(yī)院計劃實施的國際標準ISO17799（BS7799）是由國際標準化組織（ISO）頒布的信息安全管理標準ISO9000是由國際標準化組織（ISO）頒布的質量管理體系標準ISO14000是由國際標準化組織（ISO）頒布的環(huán)境管理體系標準OHSAS18000是由英國標準協(xié)會（BSI）、挪威船級社（DNV）等13個組織提出的職業(yè)安全衛(wèi)生系列標準康華醫(yī)院計劃實施的國際標準ISO17799（BS7799）是4實施ISO9000標準的好處優(yōu)化、規(guī)范業(yè)務運作流程提高顧客的滿意程度增強企業(yè)的市場競爭力減少工作差錯、返工及浪費改善工作效率及生產率培育良好質量意識、激發(fā)員工士氣創(chuàng)新管理思維和技巧可獲得質量體系注冊，減少顧客的重復審核和檢查實施ISO9000標準的好處優(yōu)化、規(guī)范業(yè)務運作流程5實施ISO14000的好處提高能源效益以減低成本消除或減少污染物排放控制環(huán)境風險，減少環(huán)境事故和責任提高全體員工及相關方環(huán)境意識，改善社團文化向顧客及其他相關方履行對環(huán)境的承諾保持良好的社區(qū)及公眾關系滿足顧客、消費者及投資者的要求提高公眾形象及競爭力實施ISO14000的好處提高能源效益以減低成本6實施OHSAS18000的好處增加組織社會關注力和責任感，有效改善組織的綜合素質有效消除或降低員工風險和相關方可能遇到的職業(yè)安全風險提高組織的吸引力和員工的歸屬感避免意外損失，保障經營成果優(yōu)化生產作業(yè)活動，提高勞動生產力實施OHSAS18000的好處增加組織社會關注力和責任感，有7實施ISO/IEC17799（BS7799）的好處建立貫穿整個供應鏈的信息安全系統(tǒng)，最大限度減少企業(yè)危機提升顧客滿意程度，拓寬市場，增強企業(yè)競爭力降低成本，增加利潤，提高經營有效性增加員工參與感，降低可能的訴訟風險時間與資源的利用最大化實施ISO/IEC17799（BS7799）的好處建立貫穿整8法規(guī)記錄物理安全人事安全資產分級控制安全組織信息交流管理訪問控制系統(tǒng)開發(fā)商業(yè)連續(xù)運營策劃符合性信息安全方針人事記錄客戶記錄信息法規(guī)記錄物理安全人事安全資產分級控制安全組織信息交流管理訪問9ISO標管辦工作計劃2003年2004年8月份1月份9月份

2月份10月份

3月份11月份12月份ISO標管辦工作計劃2003年2004年8月份1月份108月工作計劃8月工作計劃11深圳市諾恒管理策劃有限公司培訓課程

信息安全管理標準及一體化流程管理系統(tǒng)基本知識課程目的了解BS7799信息安全管理標準的基本要求了解風險評估及控制的基本程序了解ISO9000/ISO14000/OHSAS18000一體化體系框架了解醫(yī)院建立一體化流程管理體系的思路了解建立一體化流程管理體系的基本步驟培訓對象高層管理人員部門經理課程時間3小時培訓內容深圳市諾恒管理策劃有限公司培訓課程

信息安全管理標準及一體化12考察已實際運作ISO9000的醫(yī)院目的了解醫(yī)院的日常運作交流實施ISO9000/ISO17799經驗（2天）了解醫(yī)院實施ISO9000所需的控制程序（3天）學習醫(yī)院ISO體系文件中的三級文件（5天）工作常規(guī)管理規(guī)定操作規(guī)范考察已實際運作ISO9000的醫(yī)院目的13ISO17799內審員培訓培訓目標：理解信息安全的基本概念理解ISO17799標準的歷史及發(fā)展趨勢掌握信息安全管理體系的基本思想掌握信息安全管理的控制措施了解信息安全管理體系的實現(xiàn)過程。

培訓內容：什么是信息安全資產與風險管理ISO17799內容概述信息安全管理體系的概念信息安全管理體系的重要原則信息安全管理體系的實現(xiàn)方法ISO17799的10類控制措施培訓地點：深圳/廣州培訓對象：ISO17799工程師ISO17799內審員ISO17799內審員培訓培訓目標：培訓地點：149月工作計劃9月工作計劃159月工作計劃開展培訓工作ISO9000基本知識（對象：醫(yī)院全體人員）ISO9000標準條文理解（對象：醫(yī)院全體人員）5S管理基本知識（對象：數字化工程部）ISO17799信息安全管理體系培訓（對象：數字化工程部）編寫8個程序文件文件控制程序供應商評審控制程序采購控制程序標識和可追溯性控制程序設施、設備控制程序糾正和預防控制程序質量記錄控制程序培訓控制程序9月工作計劃開展培訓工作設施、設備控制程序16ISO17799信息安全管理體系培訓培訓目標：理解信息安全的基本概念理解ISO17799標準的歷史及發(fā)展趨勢掌握信息安全管理體系的基本思想掌握信息安全管理的控制措施了解信息安全管理體系的實現(xiàn)過程。培訓對象：數字化工程部ISO17799信息安全管理體系培訓培訓目標：17ISO17799信息安全管理體系培訓培訓內容：什么是信息安全實踐中的信息安全問題信息安全實踐經驗資產與風險管理ISO17799的歷史及發(fā)展ISO17799內容概述信息安全管理體系的概念信息安全管理體系的重要原則信息安全管理體系的實現(xiàn)方法ISO17799的10類控制措施ISO17799信息安全管理體系培訓培訓內容：1810月工作計劃10月工作計劃19

會員注冊

會員管理

站點地圖

首頁

關于我們

業(yè)務范圍

主要客戶

培訓園地

諾恒刊物

專家答疑

諾恒論壇

深圳市技術監(jiān)督局華潤集團

華為技術武漢萬科

IBM&長城集團

合資企業(yè)深圳電信

錦繡中華康佳電子

三洋激光普爾斯馬特

富士銀行中信物業(yè)

深圳市高新區(qū)

物業(yè)公司華生紙品

中興通訊更多>>

20

會員注冊

會員管理

站點地圖

首頁

關于我們

業(yè)務范圍

主要客戶

培訓園地

諾恒刊物

專家答疑

諾恒論壇

深圳市技術監(jiān)督局華潤集團

華為技術武漢萬科

IBM&長城集團

合資企業(yè)深圳電信

錦繡中華康佳電子

三洋激光普爾斯馬特

富士銀行中信物業(yè)

深圳市高新區(qū)

物業(yè)公司華生紙品

中興通訊更多>>

21

會員注冊

會員管理

站點地圖

首頁

關于我們

業(yè)務范圍

主要客戶

培訓園地

諾恒刊物

專家答疑

諾恒論壇

深圳市技術監(jiān)督局華潤集團

華為技術武漢萬科

IBM&長城集團

合資企業(yè)深圳電信

錦繡中華康佳電子

三洋激光普爾斯馬特

富士銀行中信物業(yè)

深圳市高新區(qū)

物業(yè)公司華生紙品

中興通訊更多>>

2210月份所要開展的培訓工作ISO9000基本知識（對象：醫(yī)院全體人員）ISO9000標準條文理解（對象：醫(yī)院全體人員）5S管理基本知識（對象：數字化工程部）ISO17799信息安全管理體系培訓（對象：數字化工程部）10月份所要開展的培訓工作ISO9000基本知識（對象：醫(yī)2310月份所要完成的程序文件管理評審控制程序質量計劃控制程序產品的標識和可追溯性控制程序服務計劃控制程序試驗控制程序監(jiān)視和測量裝置控制程序不合格服務控制程序產品防護和交付控制程序內部質量審核控制程序與顧客的溝通與服務控制程序質量目標管理與統(tǒng)計技術控制程序信息交流控制程序客戶滿意度評價控制程序數據分析和利用控制程序持續(xù)改進服務控制程序10月份所要完成的程序文件管理評審控制程序產品防護和交付控制24ISO17799信息安全管理體系培訓培訓目標：理解信息安全的基本概念理解ISO17799標準的歷史及發(fā)展趨勢掌握信息安全管理體系的基本思想掌握信息安全管理的控制措施了解信息安全管理體系的實現(xiàn)過程。培訓對象：數字化工程部ISO17799信息安全管理體系培訓培訓目標：25ISO17799信息安全管理體系培訓培訓內容：什么是信息安全實踐中的信息安全問題信息安全實踐經驗資產與風險管理ISO17799的歷史及發(fā)展ISO17799內容概述信息安全管理體系的概念信息安全管理體系的重要原則信息安全管理體系的實現(xiàn)方法ISO17799的10類控制措施ISO17799信息安全管理體系培訓培訓內容：2611月工作計劃11月工作計劃27整理與編寫ISO9000三級文件部門、科室工作制度部門、科室崗位職責儀器、設備操作規(guī)程業(yè)務流程圖信息流程圖醫(yī)院內部物流圖整理與編寫ISO9000三級文件部門、科室工作制度28參加ISO14000內審員培訓學習內容ISO14000環(huán)境管理系列標準概論ISO14001環(huán)境管理體系要求環(huán)境法律及其他要求環(huán)境管理體系認證的實施程序環(huán)境管理體系認證審核的策劃和準備現(xiàn)場收集審核證據方法及技巧環(huán)境管理體系有效性評價糾正措施的跟蹤及認證后監(jiān)督培訓對象：ISO標管辦員工提供培訓的咨詢公司：康達信/諾恒參加ISO14000內審員培訓學習內容29ISO9000/ISO14000體系整合設計ISO14000環(huán)境方針組織結構和職責人員環(huán)境培訓環(huán)境信息交流環(huán)境文件控制應急準備和響應不符合、糾正和預防措施環(huán)境記錄內部審核管理評審ISO9000質量方針職責與權限人員質量培訓質量信息交流質量文件控制（部分與消防安全的要求相同）不符合、糾正和預防措施質量記錄內部審核管理評審ISO9000/ISO14000體系整合設計ISO1400030開展ISO14000相關培訓培訓內容ISO14000環(huán)境管理系列標準概論ISO14001環(huán)境管理體系要求環(huán)境法律及其他要求環(huán)境管理體系認證的實施程序環(huán)境管理體系認證審核的策劃和準備現(xiàn)場收集審核證據方法及技巧環(huán)境管理體系有效性評價糾正措施的跟蹤及認證后監(jiān)督環(huán)境法律法規(guī)培訓對象：ISO標管辦開展ISO14000相關培訓培訓內容3112月工作計劃12月工作計劃32二十一世紀的管理趨勢ISO9000質量管理體系ISO14000環(huán)境管理體系OHSAS180001職業(yè)衛(wèi)生與安全管理體系二十一世紀的管理趨勢ISO9000ISO14000OHSAS33OHSAS18000培訓課程OHSAS18000培訓課程34編制OHSAS18000文件三個層次文件：職業(yè)安全衛(wèi)生管理手冊；職業(yè)安全衛(wèi)生管理體系程序文件；職業(yè)安全衛(wèi)生管理體系其他文件（作業(yè)指導書、操作規(guī)程、工藝卡及其他有關規(guī)程）編制OHSAS18000文件三個層次文件：35危害識別和風險評價制定危害識別、風險評價和分級管理控制等方面的標準；建立并保持危害識別、風險評價和實施必要控制措施程序；對危害識別、風險評價所采用信息及資料進行收集和整理，包括過去、現(xiàn)在和將來事態(tài)以及正常、異常和緊急狀態(tài)等；評估風險分級結果的適宜性并說明重大危害，包括：重大危害的規(guī)模和范圍、影響程度、影響持續(xù)時間和發(fā)生可能性；掌握典型危害，評價風險控制措施的適宜性、充分性與有效性；危害識別和風險評價制定危害識別、風險評價和分級管理控制等方面362004年1月工作計劃2004年1月工作計劃37風險識別物理破壞--火災、水災、電源損壞等人為錯誤--偶然的或不經意的行為造成破壞設備故障--系統(tǒng)及外圍設備的故障內、外部攻擊--內部人員、外部黑客的有無目的的攻擊數據誤用--共享機密數據，數據被竊數據丟失--故意或非故意的以破壞方式丟失數據程序錯誤--計算錯誤、輸入錯誤、緩沖區(qū)溢出等風險識別物理破壞--火災、水災、電源損壞等38風險分析（1）--確定資產風險分析（1）--確定資產39風險分析（2）--確定威脅外部網絡黑客攻擊及非法訪問內部人員故意或無意的非授權訪問或操作社會工程帶來的威脅，包括企業(yè)競爭對手或其他間諜行為系統(tǒng)自身的脆弱性，包括系統(tǒng)結構設計上的缺陷、配置的疏忽等軟件漏洞，包括操作系統(tǒng)的安全漏洞、網絡協(xié)議的設計缺陷、應用軟件的設計漏洞、數據庫系統(tǒng)的安全漏洞等系統(tǒng)開放性帶來的威脅，包括病毒、蠕蟲等技術故障帶來的威脅物理環(huán)境的威脅風險分析（2）--確定威脅外部網絡黑客攻擊及非法訪問40安全方針的主要內容信息安全的定義、其總目標與范圍、以及信息共享的機制下安全的重要性；管理層對安全的態(tài)度、支持信息安全的目標與原則；對組織特別重要的安全策略、原則、標準和符合性要求的簡要說明，例如：符合法規(guī)的要求和合同的要求；安全教育的要求；對計算機病毒和其他惡意軟件的防范和檢測；業(yè)務持續(xù)性管理；違反安全方針的后果；信息安全管理的總體責任和具體責任的定義；方針的引用文件。安全方針的主要內容信息安全的定義、其總目標與范圍、以及信息共41企業(yè)信息安全策略（1）物理安全策略包括環(huán)境安全、設備安全、媒體安全、信息資產的物理分布、人員的訪問控制、審計記錄、異常情況的追查等。網絡安全策略包括網絡拓撲結構、網絡設備的管理、網絡安全訪問措施（防火墻、入侵檢測系統(tǒng)、VPN等）、安全掃描、遠程訪問、不同級別網絡的訪問控制方式、識別/認證機制等。數據加密策略包括加密算法、適用范圍、密鑰交換和管理等。數據備份策略包括適用范圍、備份方式、備份數據的安全存儲、備份周期、負責人等。病毒防護策略包括防病毒軟件的安裝、配置、對軟盤使用、網絡下載等作出的規(guī)定等。企業(yè)信息安全策略（1）物理安全策略42企業(yè)信息安全策略（2）系統(tǒng)安全策略包括WWW訪問策略、數據庫系統(tǒng)安全策略、郵件系統(tǒng)安全策略、應用服務器系統(tǒng)安全策略、個人桌面系統(tǒng)安全策略、其他業(yè)務相關系統(tǒng)安全策略等。身份認證及授權策略包括認證及授權機制、方式、審計記錄等。災難恢復策略包括負責人員、恢復機制、方式、歸檔管理、硬件、軟件等。事故處理、緊急響應策略包括響應小組、聯(lián)系方式、事故處理計劃、控制過程等。安全教育策略包括安全策略的發(fā)布宣傳、執(zhí)行效果的監(jiān)督、安全技能的培訓、安全意識教育等。企業(yè)信息安全策略（2）系統(tǒng)安全策略43企業(yè)信息安全策略（3）口令管理策略包括口令管理方式、口令設置規(guī)則、口令適應規(guī)則等。補丁管理策略包括系統(tǒng)補丁的更新、測試、安裝等。系統(tǒng)變更控制策略包括設備、軟件配置、控制措施、數據變更管理、一致性管理等。商業(yè)伙伴、客戶關系策略包括合同條款安全策略、客戶服務安全建議等。復查審計策略包括對安全策略的定期復查、對安全控制及過程的重新評估、對系統(tǒng)日志記錄的審計、對安全技術發(fā)展的跟蹤等。企業(yè)信息安全策略（3）口令管理策略442004年2-3月工作計劃2004年2-3月工作計劃45標準要求的整合標準要求的整合46組織架構圖ISO標管辦主任標準化組主管統(tǒng)計分析組主管培訓與文件管理組主管儀器設備管理組主管文員組織架構圖ISO標管辦標準化組統(tǒng)計分析組培訓與文件管理組儀器47人員分配：共14人ISO標管辦1人ISO17799工程師1人ISO9000工程師1人ISO14000工程師1人OHSAS18000工程師1人質量統(tǒng)計分析工程師1人培訓與文件管理工程師1人儀器設備管理工程師1人文員1人內部審核員1人內部審核員1人內部審核員1人供應商管理1人內部審核員1人人員分配：共14人ISO標管辦ISO17799ISO900048人員需求計劃2003年8月培訓與文件管理工程師1名、品質文員1名、儀器與設備管理工程師1名、ISO9000業(yè)務流程分析師1名。2003年10月ISO17799/ISO14000/OHSAS18000工程師各1名。2003年12月供應商管理1名。2004年2月體系內審員2名。人員需求計劃培訓與文件管理工程師1名、品質文員1名、儀器與設49崗位：質量統(tǒng)計分析工程師崗位要求：數理統(tǒng)計或相關專業(yè)，本科或以上學歷；兩年以上統(tǒng)計分析工作經驗；理解并能應用常用質量分析工具、QC手法；熟悉質量統(tǒng)計分析方法；掌握ISO9000要求；掌握內部質量審核相關知識及方法；性別不限；35歲以下；有大型醫(yī)院工作經驗優(yōu)先。職責描述：制訂質量統(tǒng)計工作計劃；參與本部門組織的內部質量審核；為本部門及相關部門提供各種質量統(tǒng)計報表；對與質量有關的各種數據進行分析，提供質量改進建議。崗位：質量統(tǒng)計分析工程師崗位要求：50崗位：培訓與文件管理工程師崗位要求：教育或相關專業(yè)，專科或以上學歷；兩年以上培訓工作經驗；掌握ISO9000/ISO14000/OHSAS18000要求；性別不限；35歲以下；形象氣質出眾，口才一流。職責描述：圍繞醫(yī)院發(fā)展目標，制定本部門年度、季度、月度培訓計劃；編制、修訂、完善員工質量培訓手冊，完善質量培訓體系；針對月度培訓計劃，組織相關人員進行培訓；按照ISO質量管理體系的要求，做好培訓記錄、培訓考核的管理工作；規(guī)范崗前培訓管理，進行有效的崗前培訓考核；每月對培訓情況進行小結，并完成一年一度的培訓總結工作.搜集外部培訓信息，組織有需要的員工進行外部培訓；管理與ISO標準有關的文件。崗位：培訓與文件管理工程師崗位要求：51崗位：儀器設備管理工程師崗位要求：大學?？埔陨蠈W歷，主修制藥設備或相關專業(yè)，五年以上相關崗位經驗；工程師以上專業(yè)技術職稱，熟悉藥品GMP管理規(guī)范；有大型醫(yī)院設備管理工作經驗優(yōu)先。職責描述：制訂醫(yī)療儀器設備管理工作計劃；參與本部門組織的內部質量審核；對設備供應商進行審核；負責醫(yī)療儀器設備日常使用管理與維護保養(yǎng)，并提出維修計劃與實施；負責設備的故障分析，提出維修方案，并組織實施及統(tǒng)計分析等工作。崗位：儀器設備管理工程師崗位要求：52崗位：ISO9000工程師崗位要求：本科或以上，英語四級，35周歲以下；具有較強的邏輯思維能力、溝通能力和組織協(xié)調能力，目標導向，較強的時間管理能力；熟悉計算機常用軟硬件的操作，動手能力強；兩年以上醫(yī)院品質管理經驗；工程師以上專業(yè)技術職稱，熟悉藥品GMP管理規(guī)范；有ISO9000國家注冊審核員證書；有大型醫(yī)院工作經驗優(yōu)先。職責描述：收集分析客戶端品質信息，提出合理的改善方案并督促執(zhí)行；稽核醫(yī)院的品質系統(tǒng)，控制醫(yī)院服務品質；品質客訴的處理和追蹤；相關品質標準的制定。崗位：ISO9000工程師崗位要求：53崗位：ISO14000工程師崗位要求：環(huán)境科學本科或以上，英語四級，35周歲以下；具有較強的邏輯思維能力、溝通能力和組織協(xié)調能力，目標導向，較強的時間管理能力；有ISO14000國家注冊審核員證書；有大型醫(yī)院工作經驗優(yōu)先。職責描述：收集分析環(huán)境信息，提出合理的改善方案并督促執(zhí)行；稽核醫(yī)院的環(huán)境管理體系，提升醫(yī)院環(huán)境管理；相關環(huán)境管理標準的制定。崗位：ISO14000工程師崗位要求：54崗位：OHSAS18000工程師崗位要求：醫(yī)學相關專業(yè)本科或以上，英語四級，35周歲以下；具有較強的邏輯思維能力、溝通能力和組織協(xié)調能力，目標導向，較強的時間管理能力；有OHSAS18000國家注冊審核員證書；有大型醫(yī)院工作經驗優(yōu)先。職責描述：收集分析職業(yè)衛(wèi)生與安全方面信息，提出合理的改善方案并督促執(zhí)行；稽核醫(yī)院的職業(yè)衛(wèi)生安全管理體系，提高醫(yī)院職業(yè)衛(wèi)生與安全品質；相關職業(yè)衛(wèi)生安全標準的制定。崗位：OHSAS18000工程師崗位要求：55崗位：ISO17799工程師崗位要求：計算機或相關專業(yè)，本科或以上，英語四級，35周歲以下；具有較強的邏輯思維能力、溝通能力和組織協(xié)調能力，目標導向，較強的時間管理能力；有ISO17799國家注冊審核員證書；職責描述：收集分析醫(yī)院信息安全管理信息，提出合理的改善方案并督促執(zhí)行；稽核醫(yī)院的信息安全管理體系，加強醫(yī)院信息安全管理；制定醫(yī)院相關信息安全管理標準。崗位：ISO17799工程師崗位要求：56崗位：內審員崗位要求：中專以上學歷，30周歲以下；三年以上系統(tǒng)內審工作經驗；具有相應標準審核員證書；熟悉ISO檢查程序；善于溝通，具較強組織、協(xié)調能力和文字表達能力；能熟練掌握辦公軟件。職責描述：稽核醫(yī)院的ISO管理體系；參與制定醫(yī)院ISO管理標準。崗位：內審員崗位要求：57崗位：供應商管理崗位要求：男性，35歲以下，本科以上學歷，醫(yī)藥或相關專業(yè)；善于溝通，具較強組織、協(xié)調能力和文字表達能力；能熟練掌握辦公軟件；2年以上相關工作經驗；熟悉ISO9000體系。職責描述：負責醫(yī)院供應商管理；負責分供方供貨質量水平的評價及質量改進跟蹤；負責分供方質量考核、季度評級、年度評級；負責對采購質量進行監(jiān)督；負責督導供應商建立和維持質保體系，持續(xù)提升質量保證能力；協(xié)助解決供應商的技術與質量問題。崗位：供應商管理崗位要求：58崗位：品質文員崗位要求：高中以上學歷，30周歲以下；有ISO9000內審員資格證書；善于溝通，具較強的協(xié)調能力和文字表達能力；能熟練掌握辦公軟件；文字錄入速度80字/分以上；三年以上相關工作經驗。職責描述：辦公室文件的收發(fā)、復印、傳真等；部門檔案與部門固定資產的管理；參加內部質量審核工作；崗位：品質文員崗位要求：59

ENDTHANKS！

60演講完畢，謝謝觀看！演講完畢，謝謝觀看！61ISO標管辦工作計劃ISO標管辦工作計劃622003.8-2004.3工作計劃大綱前期工作回顧康華醫(yī)院計劃實施的國際標準ISO標管辦各月工作計劃組織架構圖人員需求計劃崗位職責說明2003.8-2004.3工作計劃大綱前期工作回顧63前期工作回顧了解醫(yī)院的整體狀況和發(fā)展戰(zhàn)略完成開展ISO9000培訓所需的材料參與數字化工程部的醫(yī)院軟件供應商選擇完成實施ISO14000所需的培訓材料部分完成OHSAS18000培訓材料了解ISO17799信息安全管理體系，思考在醫(yī)院推行該系統(tǒng)前期工作回顧了解醫(yī)院的整體狀況和發(fā)展戰(zhàn)略64康華醫(yī)院計劃實施的國際標準ISO17799（BS7799）是由國際標準化組織（ISO）頒布的信息安全管理標準ISO9000是由國際標準化組織（ISO）頒布的質量管理體系標準ISO14000是由國際標準化組織（ISO）頒布的環(huán)境管理體系標準OHSAS18000是由英國標準協(xié)會（BSI）、挪威船級社（DNV）等13個組織提出的職業(yè)安全衛(wèi)生系列標準康華醫(yī)院計劃實施的國際標準ISO17799（BS7799）是65實施ISO9000標準的好處優(yōu)化、規(guī)范業(yè)務運作流程提高顧客的滿意程度增強企業(yè)的市場競爭力減少工作差錯、返工及浪費改善工作效率及生產率培育良好質量意識、激發(fā)員工士氣創(chuàng)新管理思維和技巧可獲得質量體系注冊，減少顧客的重復審核和檢查實施ISO9000標準的好處優(yōu)化、規(guī)范業(yè)務運作流程66實施ISO14000的好處提高能源效益以減低成本消除或減少污染物排放控制環(huán)境風險，減少環(huán)境事故和責任提高全體員工及相關方環(huán)境意識，改善社團文化向顧客及其他相關方履行對環(huán)境的承諾保持良好的社區(qū)及公眾關系滿足顧客、消費者及投資者的要求提高公眾形象及競爭力實施ISO14000的好處提高能源效益以減低成本67實施OHSAS18000的好處增加組織社會關注力和責任感，有效改善組織的綜合素質有效消除或降低員工風險和相關方可能遇到的職業(yè)安全風險提高組織的吸引力和員工的歸屬感避免意外損失，保障經營成果優(yōu)化生產作業(yè)活動，提高勞動生產力實施OHSAS18000的好處增加組織社會關注力和責任感，有68實施ISO/IEC17799（BS7799）的好處建立貫穿整個供應鏈的信息安全系統(tǒng)，最大限度減少企業(yè)危機提升顧客滿意程度，拓寬市場，增強企業(yè)競爭力降低成本，增加利潤，提高經營有效性增加員工參與感，降低可能的訴訟風險時間與資源的利用最大化實施ISO/IEC17799（BS7799）的好處建立貫穿整69法規(guī)記錄物理安全人事安全資產分級控制安全組織信息交流管理訪問控制系統(tǒng)開發(fā)商業(yè)連續(xù)運營策劃符合性信息安全方針人事記錄客戶記錄信息法規(guī)記錄物理安全人事安全資產分級控制安全組織信息交流管理訪問70ISO標管辦工作計劃2003年2004年8月份1月份9月份

2月份10月份

3月份11月份12月份ISO標管辦工作計劃2003年2004年8月份1月份718月工作計劃8月工作計劃72深圳市諾恒管理策劃有限公司培訓課程

信息安全管理標準及一體化流程管理系統(tǒng)基本知識課程目的了解BS7799信息安全管理標準的基本要求了解風險評估及控制的基本程序了解ISO9000/ISO14000/OHSAS18000一體化體系框架了解醫(yī)院建立一體化流程管理體系的思路了解建立一體化流程管理體系的基本步驟培訓對象高層管理人員部門經理課程時間3小時培訓內容深圳市諾恒管理策劃有限公司培訓課程

信息安全管理標準及一體化73考察已實際運作ISO9000的醫(yī)院目的了解醫(yī)院的日常運作交流實施ISO9000/ISO17799經驗（2天）了解醫(yī)院實施ISO9000所需的控制程序（3天）學習醫(yī)院ISO體系文件中的三級文件（5天）工作常規(guī)管理規(guī)定操作規(guī)范考察已實際運作ISO9000的醫(yī)院目的74ISO17799內審員培訓培訓目標：理解信息安全的基本概念理解ISO17799標準的歷史及發(fā)展趨勢掌握信息安全管理體系的基本思想掌握信息安全管理的控制措施了解信息安全管理體系的實現(xiàn)過程。

培訓內容：什么是信息安全資產與風險管理ISO17799內容概述信息安全管理體系的概念信息安全管理體系的重要原則信息安全管理體系的實現(xiàn)方法ISO17799的10類控制措施培訓地點：深圳/廣州培訓對象：ISO17799工程師ISO17799內審員ISO17799內審員培訓培訓目標：培訓地點：759月工作計劃9月工作計劃769月工作計劃開展培訓工作ISO9000基本知識（對象：醫(yī)院全體人員）ISO9000標準條文理解（對象：醫(yī)院全體人員）5S管理基本知識（對象：數字化工程部）ISO17799信息安全管理體系培訓（對象：數字化工程部）編寫8個程序文件文件控制程序供應商評審控制程序采購控制程序標識和可追溯性控制程序設施、設備控制程序糾正和預防控制程序質量記錄控制程序培訓控制程序9月工作計劃開展培訓工作設施、設備控制程序77ISO17799信息安全管理體系培訓培訓目標：理解信息安全的基本概念理解ISO17799標準的歷史及發(fā)展趨勢掌握信息安全管理體系的基本思想掌握信息安全管理的控制措施了解信息安全管理體系的實現(xiàn)過程。培訓對象：數字化工程部ISO17799信息安全管理體系培訓培訓目標：78ISO17799信息安全管理體系培訓培訓內容：什么是信息安全實踐中的信息安全問題信息安全實踐經驗資產與風險管理ISO17799的歷史及發(fā)展ISO17799內容概述信息安全管理體系的概念信息安全管理體系的重要原則信息安全管理體系的實現(xiàn)方法ISO17799的10類控制措施ISO17799信息安全管理體系培訓培訓內容：7910月工作計劃10月工作計劃80

會員注冊

會員管理

站點地圖

首頁

關于我們

業(yè)務范圍

主要客戶

培訓園地

諾恒刊物

專家答疑

諾恒論壇

深圳市技術監(jiān)督局華潤集團

華為技術武漢萬科

IBM&長城集團

合資企業(yè)深圳電信

錦繡中華康佳電子

三洋激光普爾斯馬特

富士銀行中信物業(yè)

深圳市高新區(qū)

物業(yè)公司華生紙品

中興通訊更多>>

81

會員注冊

會員管理

站點地圖

首頁

關于我們

業(yè)務范圍

主要客戶

培訓園地

諾恒刊物

專家答疑

諾恒論壇

深圳市技術監(jiān)督局華潤集團

華為技術武漢萬科

IBM&長城集團

合資企業(yè)深圳電信

錦繡中華康佳電子

三洋激光普爾斯馬特

富士銀行中信物業(yè)

深圳市高新區(qū)

物業(yè)公司華生紙品

中興通訊更多>>

82

會員注冊

會員管理

站點地圖

首頁

關于我們

業(yè)務范圍

主要客戶

培訓園地

諾恒刊物

專家答疑

諾恒論壇

深圳市技術監(jiān)督局華潤集團

華為技術武漢萬科

IBM&長城集團

合資企業(yè)深圳電信

錦繡中華康佳電子

三洋激光普爾斯馬特

富士銀行中信物業(yè)

深圳市高新區(qū)

物業(yè)公司華生紙品

中興通訊更多>>

8310月份所要開展的培訓工作ISO9000基本知識（對象：醫(yī)院全體人員）ISO9000標準條文理解（對象：醫(yī)院全體人員）5S管理基本知識（對象：數字化工程部）ISO17799信息安全管理體系培訓（對象：數字化工程部）10月份所要開展的培訓工作ISO9000基本知識（對象：醫(yī)8410月份所要完成的程序文件管理評審控制程序質量計劃控制程序產品的標識和可追溯性控制程序服務計劃控制程序試驗控制程序監(jiān)視和測量裝置控制程序不合格服務控制程序產品防護和交付控制程序內部質量審核控制程序與顧客的溝通與服務控制程序質量目標管理與統(tǒng)計技術控制程序信息交流控制程序客戶滿意度評價控制程序數據分析和利用控制程序持續(xù)改進服務控制程序10月份所要完成的程序文件管理評審控制程序產品防護和交付控制85ISO17799信息安全管理體系培訓培訓目標：理解信息安全的基本概念理解ISO17799標準的歷史及發(fā)展趨勢掌握信息安全管理體系的基本思想掌握信息安全管理的控制措施了解信息安全管理體系的實現(xiàn)過程。培訓對象：數字化工程部ISO17799信息安全管理體系培訓培訓目標：86ISO17799信息安全管理體系培訓培訓內容：什么是信息安全實踐中的信息安全問題信息安全實踐經驗資產與風險管理ISO17799的歷史及發(fā)展ISO17799內容概述信息安全管理體系的概念信息安全管理體系的重要原則信息安全管理體系的實現(xiàn)方法ISO17799的10類控制措施ISO17799信息安全管理體系培訓培訓內容：8711月工作計劃11月工作計劃88整理與編寫ISO9000三級文件部門、科室工作制度部門、科室崗位職責儀器、設備操作規(guī)程業(yè)務流程圖信息流程圖醫(yī)院內部物流圖整理與編寫ISO9000三級文件部門、科室工作制度89參加ISO14000內審員培訓學習內容ISO14000環(huán)境管理系列標準概論ISO14001環(huán)境管理體系要求環(huán)境法律及其他要求環(huán)境管理體系認證的實施程序環(huán)境管理體系認證審核的策劃和準備現(xiàn)場收集審核證據方法及技巧環(huán)境管理體系有效性評價糾正措施的跟蹤及認證后監(jiān)督培訓對象：ISO標管辦員工提供培訓的咨詢公司：康達信/諾恒參加ISO14000內審員培訓學習內容90ISO9000/ISO14000體系整合設計ISO14000環(huán)境方針組織結構和職責人員環(huán)境培訓環(huán)境信息交流環(huán)境文件控制應急準備和響應不符合、糾正和預防措施環(huán)境記錄內部審核管理評審ISO9000質量方針職責與權限人員質量培訓質量信息交流質量文件控制（部分與消防安全的要求相同）不符合、糾正和預防措施質量記錄內部審核管理評審ISO9000/ISO14000體系整合設計ISO1400091開展ISO14000相關培訓培訓內容ISO14000環(huán)境管理系列標準概論ISO14001環(huán)境管理體系要求環(huán)境法律及其他要求環(huán)境管理體系認證的實施程序環(huán)境管理體系認證審核的策劃和準備現(xiàn)場收集審核證據方法及技巧環(huán)境管理體系有效性評價糾正措施的跟蹤及認證后監(jiān)督環(huán)境法律法規(guī)培訓對象：ISO標管辦開展ISO14000相關培訓培訓內容9212月工作計劃12月工作計劃93二十一世紀的管理趨勢ISO9000質量管理體系ISO14000環(huán)境管理體系OHSAS180001職業(yè)衛(wèi)生與安全管理體系二十一世紀的管理趨勢ISO9000ISO14000OHSAS94OHSAS18000培訓課程OHSAS18000培訓課程95編制OHSAS18000文件三個層次文件：職業(yè)安全衛(wèi)生管理手冊；職業(yè)安全衛(wèi)生管理體系程序文件；職業(yè)安全衛(wèi)生管理體系其他文件（作業(yè)指導書、操作規(guī)程、工藝卡及其他有關規(guī)程）編制OHSAS18000文件三個層次文件：96危害識別和風險評價制定危害識別、風險評價和分級管理控制等方面的標準；建立并保持危害識別、風險評價和實施必要控制措施程序；對危害識別、風險評價所采用信息及資料進行收集和整理，包括過去、現(xiàn)在和將來事態(tài)以及正常、異常和緊急狀態(tài)等；評估風險分級結果的適宜性并說明重大危害，包括：重大危害的規(guī)模和范圍、影響程度、影響持續(xù)時間和發(fā)生可能性；掌握典型危害，評價風險控制措施的適宜性、充分性與有效性；危害識別和風險評價制定危害識別、風險評價和分級管理控制等方面972004年1月工作計劃2004年1月工作計劃98風險識別物理破壞--火災、水災、電源損壞等人為錯誤--偶然的或不經意的行為造成破壞設備故障--系統(tǒng)及外圍設備的故障內、外部攻擊--內部人員、外部黑客的有無目的的攻擊數據誤用--共享機密數據，數據被竊數據丟失--故意或非故意的以破壞方式丟失數據程序錯誤--計算錯誤、輸入錯誤、緩沖區(qū)溢出等風險識別物理破壞--火災、水災、電源損壞等99風險分析（1）--確定資產風險分析（1）--確定資產100風險分析（2）--確定威脅外部網絡黑客攻擊及非法訪問內部人員故意或無意的非授權訪問或操作社會工程帶來的威脅，包括企業(yè)競爭對手或其他間諜行為系統(tǒng)自身的脆弱性，包括系統(tǒng)結構設計上的缺陷、配置的疏忽等軟件漏洞，包括操作系統(tǒng)的安全漏洞、網絡協(xié)議的設計缺陷、應用軟件的設計漏洞、數據庫系統(tǒng)的安全漏洞等系統(tǒng)開放性帶來的威脅，包括病毒、蠕蟲等技術故障帶來的威脅物理環(huán)境的威脅風險分析（2）--確定威脅外部網絡黑客攻擊及非法訪問101安全方針的主要內容信息安全的定義、其總目標與范圍、以及信息共享的機制下安全的重要性；管理層對安全的態(tài)度、支持信息安全的目標與原則；對組織特別重要的安全策略、原則、標準和符合性要求的簡要說明，例如：符合法規(guī)的要求和合同的要求；安全教育的要求；對計算機病毒和其他惡意軟件的防范和檢測；業(yè)務持續(xù)性管理；違反安全方針的后果；信息安全管理的總體責任和具體責任的定義；方針的引用文件。安全方針的主要內容信息安全的定義、其總目標與范圍、以及信息共102企業(yè)信息安全策略（1）物理安全策略包括環(huán)境安全、設備安全、媒體安全、信息資產的物理分布、人員的訪問控制、審計記錄、異常情況的追查等。網絡安全策略包括網絡拓撲結構、網絡設備的管理、網絡安全訪問措施（防火墻、入侵檢測系統(tǒng)、VPN等）、安全掃描、遠程訪問、不同級別網絡的訪問控制方式、識別/認證機制等。數據加密策略包括加密算法、適用范圍、密鑰交換和管理等。數據備份策略包括適用范圍、備份方式、備份數據的安全存儲、備份周期、負責人等。病毒防護策略包括防病毒軟件的安裝、配置、對軟盤使用、網絡下載等作出的規(guī)定等。企業(yè)信息安全策略（1）物理安全策略103企業(yè)信息安全策略（2）系統(tǒng)安全策略包括WWW訪問策略、數據庫系統(tǒng)安全策略、郵件系統(tǒng)安全策略、應用服務器系統(tǒng)安全策略、個人桌面系統(tǒng)安全策略、其他業(yè)務相關系統(tǒng)安全策略等。身份認證及授權策略包括認證及授權機制、方式、審計記錄等。災難恢復策略包括負責人員、恢復機制、方式、歸檔管理、硬件、軟件等。事故處理、緊急響應策略包括響應小組、聯(lián)系方式、事故處理計劃、控制過程等。安全教育策略包括安全策略的發(fā)布宣傳、執(zhí)行效果的監(jiān)督、安全技能的培訓、安全意識教育等。企業(yè)信息安全策略（2）系統(tǒng)安全策略104企業(yè)信息安全策略（3）口令管理策略包括口令管理方式、口令設置規(guī)則、口令適應規(guī)則等。補丁管理策略包括系統(tǒng)補丁的更新、測試、安裝等。系統(tǒng)變更控制策略包括設備、軟件配置、控制措施、數據變更管理、一致性管理等。商業(yè)伙伴、客戶關系策略包括合同條款安全策略、客戶服務安全建議等。復查審計策略包括對安全策略的定期復查、對安全控制及過程的重新評估、對系統(tǒng)日志記錄的審計、對安全技術發(fā)展的跟蹤等。企業(yè)信息安全策略（3）口令管理策略1052004年2-3月工作計劃2004年2-3月工作計劃106標準要求的整合標準要求的整合107組織架構圖ISO標管辦主任標準化組主管統(tǒng)計分析組主管培訓與文件管理組主管儀器設備管理組主管文員組織架構圖ISO標管辦標準化組統(tǒng)計分析組培訓與文件管理組儀器108人員分配：共14人ISO標管辦1人ISO17799工程師1人ISO9000工程師1人ISO14000工程師1人OHSAS18000工程師1人質量統(tǒng)計分析工程師1人培訓與文件管理工程師1人儀器設備管理工程師1人文員1人內部審核員1人內部審核員1人內部審核員1人供應商管理1人內部審核員1人人員分配：共14人ISO標管辦ISO17799ISO9000109人員需求計劃2003年8月培訓與文件管理工程師1名、品質文員1名、儀器與設備管理工程師1名、ISO9000業(yè)務流程分析師1名。2003年10月ISO17799/ISO14000/OHSAS18000工程師各1名。2003年12月供應商管理1名。2004年2月體系內審員2名。人員需求計劃培訓與文件管理工程師1名、品質文員1名、儀器與設110崗位：質量統(tǒng)計分析工程師崗位要求：數理統(tǒng)計或相關專業(yè)，本科或以上學歷；兩年以上統(tǒng)計分析工作經驗；理解并能應用常用質量分析工具、QC手法；熟悉質量統(tǒng)計分析方法；掌握ISO9000要求；掌握內部質量審核相關知識及方法；性別不限；35歲以下；有大型醫(yī)院工作經驗優(yōu)先。職責描述：制訂質量統(tǒng)計工作計劃；參與本部門組織的內部質量審核；為本部門及相關部門提供各種質量統(tǒng)計報表；對與質量有關的各種數據進行分析，提供質量改進建議。崗位：質量統(tǒng)計分析工程師崗位要求：111崗位：培訓與文件管理工程師崗位要求：