ISO27001認(rèn)證體系建設(shè)分為四個階段：實施風(fēng)險評估、規(guī)劃體系建設(shè)方案、建立信息管理 體系、體系運行及改進(jìn)。也符合信息管理循環(huán)PDCA(Plan-Do-Check-Action)模型及ISO27001要求， 即有效地保護(hù)企業(yè)信息系統(tǒng)的，確保信息的持續(xù)發(fā)展。 　　1、確立范圍 　　首先是確立項目范圍，從機構(gòu)層次及系統(tǒng)層次兩個維度進(jìn)行范圍的劃分。從機構(gòu)層次上，可以考慮 內(nèi)部機構(gòu)：需要覆蓋公司的各個部門，其包括總部、事業(yè)部、制造本部、技術(shù)本部等;外部機構(gòu)：則包括 公司信息系統(tǒng)相連的外部機構(gòu)，包括供應(yīng)商、中間業(yè)務(wù)合作伙伴、及其他合作伙伴等。 　　從系統(tǒng)層次上，可按照物理環(huán)境：即支撐信息系統(tǒng)的場所、所處的周邊環(huán)境以及場所內(nèi)保障計算機 系統(tǒng)正常運行的設(shè)施。包括機房環(huán)境、門禁、監(jiān)控等;網(wǎng)絡(luò)系統(tǒng)：構(gòu)成信息系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的線路介質(zhì) ，設(shè)備和軟件;服務(wù)器平臺系統(tǒng)：支撐所有信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、客戶機及其操作系統(tǒng)、數(shù)據(jù)庫 、中間件和Web系統(tǒng)等軟件平臺系統(tǒng);應(yīng)用系統(tǒng)：支撐業(yè)務(wù)、辦公和管理應(yīng)用的應(yīng)用系統(tǒng);數(shù)據(jù)：整個信息 系統(tǒng)中傳輸以及存儲的數(shù)據(jù);管理：包括策略、規(guī)章制度、人員組織、開發(fā)、項目管理 和系統(tǒng)管理人員在日常運維過程中的合規(guī)、審計等。 　　2、風(fēng)險評估 　　企業(yè)信息是指保障企業(yè)業(yè)務(wù)系統(tǒng)不被非法訪問、利用和篡改，為企業(yè)員工提供、可信的服 務(wù)，保證信息系統(tǒng)的可用性、完整性和保密性。 　　本次進(jìn)行的評估，主要包括兩方面的內(nèi)容： 　　2.1、企業(yè)管理類的評估 　　通過企業(yè)的控制現(xiàn)狀調(diào)查、訪談、文檔研讀和ISO27001的 實踐比對，以及在行業(yè)的經(jīng)驗上 進(jìn)行“差距分析”，檢查企業(yè)在控制層面上存在的弱點，從而為措施的選擇提供依據(jù)。 　　評估內(nèi)容包括ISO27001所涵蓋的與信息管理體系相關(guān)的11個方面，包括信息策略、組 織、資產(chǎn)分類與控制、人員、物理和環(huán)境、通信和操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、安 全事件管理、業(yè)務(wù)連續(xù)性管理、符合性。 　　2.2、企業(yè)技術(shù)類評估 　　基于資產(chǎn)等級的分類，通過對信息設(shè)備進(jìn)行的掃描、設(shè)備的配置，檢查分析現(xiàn)有網(wǎng)絡(luò) 設(shè)備、服務(wù)器系統(tǒng)、終端、網(wǎng)絡(luò)架構(gòu)的現(xiàn)狀和存在的弱點，為加固提供依據(jù)。 　　針對企業(yè)具有代表性的關(guān)鍵應(yīng)用進(jìn)行評估。關(guān)鍵應(yīng)用的評估方式采用滲透測試的方法，在應(yīng)用 評估中將對應(yīng)用系統(tǒng)的威脅、弱點進(jìn)行識別，分析其和應(yīng)用系統(tǒng)的目標(biāo)之間的差距，為后期改造提 供依據(jù)。 　　提到評估，一定要有方法論。我們以ISO27001為核心，并借鑒國際常用的幾種評估模型的優(yōu)點 ，同時結(jié)合企業(yè)自身的特點，建立風(fēng)險評估模型： 　　在風(fēng)險評估模型中，主要包含信息資產(chǎn)、弱點、威脅和風(fēng)險四個要素。每個要素有各自的屬性，信 息資產(chǎn)的屬性是資產(chǎn)價值，弱點的屬性是弱點在現(xiàn)有控制措施的保護(hù)下，被威脅利用的可能性以及被威 脅利用后對資產(chǎn)帶來影響的嚴(yán)重程度，威脅的屬性是威脅發(fā)生的可能性及其危害的嚴(yán)重程度，風(fēng)險的屬 性是風(fēng)險級別的高低。風(fēng)險評估采用定性的風(fēng)險評估方法，通過分級別的方式進(jìn)行賦值。 　　3、規(guī)劃體系建設(shè)方案 　　企業(yè)信息問題根源分布在技術(shù)、人員和管理等多個層面，須統(tǒng)一規(guī)劃并建立企業(yè)信息體系 ，并終落實到管理措施和技術(shù)措施，才能確保信息。 　　規(guī)劃體系建設(shè)方案是在風(fēng)險評估的基礎(chǔ)上，對企業(yè)中存在的風(fēng)險提出建議，增強系統(tǒng)的安 全性和抗攻擊性。 　　在未來1-2年內(nèi)通過信息體系制的建立與實施，建立組織，技術(shù)上進(jìn)行審計、內(nèi)外網(wǎng)隔 離的改造、產(chǎn)品的部署，實現(xiàn)以流程為導(dǎo)向的轉(zhuǎn)型。在未來的 3-5 年內(nèi)，通過完善的信息體系 和相應(yīng)的物理環(huán)境改造和業(yè)務(wù)連續(xù)性項目的建設(shè)，將企業(yè)建設(shè)成為一個注重管理，為主，防治結(jié)合 的先進(jìn)型企業(yè)。 　　4、企業(yè)信息體系建設(shè) 　　企業(yè)信息體系建立在信息模型與企業(yè)信息化的基礎(chǔ)上，建立信息管理體系核心可以更 好的發(fā)揮六方面的能力：即預(yù)警(Warn)、保護(hù)(Protect)、檢測(Detect)、反應(yīng)(Response)、恢復(fù) (Recover)和反擊(Counter-attack)，體系應(yīng)該兼顧攘外和安內(nèi)的功能。 　　體系的建設(shè)一是涉及管理制度建設(shè)完善;二是涉及到信息技術(shù)。首先，針對管理制 度涉及的主要內(nèi)容包括企業(yè)信息系統(tǒng)的總體方針、技術(shù)策略和管理策略等?？傮w方針 涉及組織機構(gòu)、管理制度、人員管理、運行維護(hù)等方面的制度。技術(shù)策略涉 及信息域的劃分、業(yè)務(wù)應(yīng)用的等級、保護(hù)思路、說以及進(jìn)一步的統(tǒng)一管理、系統(tǒng)分級、網(wǎng)絡(luò)互 聯(lián)、容災(zāi)備份、集中監(jiān)控等方面的要求。 　　其次，信息技術(shù)按其所在的信息系統(tǒng)層次可劃分為物理技術(shù)、網(wǎng)絡(luò)技術(shù)、系統(tǒng)技 術(shù)、應(yīng)用技術(shù)，以及基礎(chǔ)設(shè)施平臺;同時按照技術(shù)所提供的功能又可劃分為保護(hù)類、檢 測跟蹤類和響應(yīng)恢復(fù)類三大類技術(shù)。結(jié)合主流的技術(shù)以及未來信息系統(tǒng)發(fā)展的要求，規(guī)劃信息 技術(shù)包括：

醫(yī)院ISO9000認(rèn)證工作在襄陽鞭醫(yī)院推行，我司作為咨詢機構(gòu)全程參與，深切地感受到ISO9000認(rèn)證對醫(yī)療服務(wù)質(zhì)量的改進(jìn)，服務(wù)業(yè)績的上大有益處的。雖然醫(yī)院ISO9000認(rèn)證管理還有一些不同的看法，但事實證明，還是適宜、有效的，甚至是必要的、迫切的，關(guān)鍵是你是否用心去做。 一、 基本做法 醫(yī)院首先成立了由院長任組長的貫標(biāo)認(rèn)證工作組，制定貫標(biāo)認(rèn)證計劃書。召開專題辦公會議，明確職責(zé)分工。召開全院實施ISO9000認(rèn)證動員大會，發(fā)動全體員工人人要為醫(yī)院貫標(biāo)認(rèn)證做出貢獻(xiàn)。 整個貫標(biāo)認(rèn)證工作分準(zhǔn)備、培訓(xùn)、文件梳理、體系文件編寫、體系試運行、內(nèi)審、評審、體系文件修訂、認(rèn)證申請、認(rèn)證10個階段進(jìn)行。我們認(rèn)為其中關(guān)鍵步驟應(yīng)是培訓(xùn)、文件梳理、體系文件編寫、內(nèi)審和評審。 (一) 標(biāo)準(zhǔn)培訓(xùn) ISO9000標(biāo)準(zhǔn)的培訓(xùn)是一個貫穿于質(zhì)量管理體系建立、實施和保持的全程、全員性課題，通過各種不同形式的培訓(xùn)，并盡量多地采取互動方式，不斷加強對標(biāo)準(zhǔn)條款的認(rèn)識和理解，不明白、有疑義的就討論，統(tǒng)一思想，達(dá)成共識。使醫(yī)院的全體員工人人都成為ISO9000質(zhì)量管理體系的明白人，這是實施ISO9001：2000質(zhì)量認(rèn)證的理論保證和根本前提。 醫(yī)院中層以上干部利用每周六下午中層會時間集中學(xué)習(xí)ISO9000標(biāo)準(zhǔn)，各科主任再將學(xué)習(xí)的內(nèi)容向科室員工講解，連續(xù)一個半月。在這期間先對ISO9000：2000、ISO9001：2000原文進(jìn)行了通讀，再將ISO9001：2000標(biāo)準(zhǔn)轉(zhuǎn)化為醫(yī)院語言逐條解讀，讓全體員工理解質(zhì)量管理體系的術(shù)語、定義和ISO9001：2000條款的確切含義。繼后，每次院長辦公會、中層例會 小時先由管理者代表主講有關(guān)質(zhì)量管理體系的相關(guān)內(nèi)容。 另外，醫(yī)院還舉行了五期專題培訓(xùn)班，分別對要素分工與程序文件編寫、科室作業(yè)文件編寫、內(nèi)部審核等具體問題進(jìn)行了培訓(xùn)。 (二) 文件梳理 我們認(rèn)識到患者的要求，由于存在著醫(yī)患信息的不對稱性，幾乎都是隱含的，而這些隱含著的要求多在法律法規(guī)、部門規(guī)章、醫(yī)院規(guī)定和各項規(guī)章制度中作出了表述。所以，將法律法規(guī)、部門規(guī)章、醫(yī)院規(guī)定和各項規(guī)章制度進(jìn)行詳細(xì)的識別、確認(rèn)、歸類整理，這是建立醫(yī)院質(zhì)量管理體系的 步——識別要求。 我院文件梳理工作分三部分。一是對醫(yī)院所有下發(fā)的有關(guān)質(zhì)量管理類文件進(jìn)行梳理和修訂，包括醫(yī)院管理規(guī)定和醫(yī)院基本規(guī)章制度，形成了《醫(yī)院管理通則和基本規(guī)章制度》。二是對醫(yī)院應(yīng)執(zhí)行的有關(guān)法律法規(guī)進(jìn)行梳理，包括法、條例、部門規(guī)章，形成了《醫(yī)院質(zhì)量管理體系適用的法律法規(guī)匯編》。三是對醫(yī)院設(shè)置的各崗位的職責(zé)、權(quán)限進(jìn)行梳理和修訂，形成了《醫(yī)院各崗位描述》。同時要求醫(yī)院全體員工每人立足自己的工作崗位進(jìn)行文件梳理，履行什么職責(zé)、擁有哪些權(quán)限、遵守哪些法律法規(guī)、規(guī)章制度和規(guī)范。 (三) 體系文件編寫 醫(yī)院質(zhì)量管理體系三個層次文件按照要素分配，本著誰是責(zé)任主體誰編寫的原則，由自上而下的順序進(jìn)行。院長回答了ISO9001：2000第五章全部內(nèi)容的編寫準(zhǔn)則和第六章的指導(dǎo)原則；發(fā)布并解讀了醫(yī)院的質(zhì)量方針和目標(biāo)，闡述自己對醫(yī)療服務(wù)質(zhì)量的管理理念，發(fā)表了《院長聲明》；確定了醫(yī)院的組織機構(gòu)，明確了醫(yī)院各崗位的職責(zé)和權(quán)限。管理者代表負(fù)責(zé)編寫《質(zhì)量手冊》，組織職能部門編寫《程序文件》?？剖易鳂I(yè)文件由科主任組織編寫，科室質(zhì)控員執(zhí)筆。文件編寫過程中為了行文格式的一致性，我們編輯了《程序文件模板》和《科室作業(yè)文件模板》。 整個文件體系經(jīng)過兩次內(nèi)審和管理評審結(jié)束后進(jìn)行了 次修訂，終形成醫(yī)院質(zhì)量管理體系第三版 次修訂版。 (四) 內(nèi)審與管理評審 內(nèi)審和管理評審是醫(yī)院質(zhì)量管理體系有效運行的重要標(biāo)志。只有有效的開展內(nèi)審和管理評審，才可能做到持續(xù)的質(zhì)量改進(jìn)。 體系試運行期間，我們8名內(nèi)審員分四組按照《內(nèi)審程序》進(jìn)行了兩次內(nèi)審和一次管理評審，對醫(yī)院質(zhì)量管理體系的充分性、適宜性、有效性及其業(yè)績進(jìn)行了評價，提出了質(zhì)量管理體系改進(jìn)方案。 二、 幾點體會 (一) 建立醫(yī)院質(zhì)量管理體系，首先應(yīng)思想觀念的束縛 我們醫(yī)院在建立質(zhì)量管理體系的過程中，思想觀念的束縛是普遍存在的。這些觀念的束縛從院長到一線員工都有不同程度的顯現(xiàn)，特別是貫標(biāo)認(rèn)證的早期。這些思想觀念的束縛，使我們走了很多彎路，費了很多周折。這些思想觀念的束縛不解除，就無法建立起真正意義上的質(zhì)量管理體系——使醫(yī)院改進(jìn)質(zhì)量，業(yè)績，獲得成功。 1、主要表現(xiàn) 員工中主要表現(xiàn)有幾論： 一是不適宜論。認(rèn)為太超前，不適宜于中國人的管理；只適宜工業(yè)，不適宜于醫(yī)院。 二是無用論：好多通過認(rèn)證的單位，質(zhì)量也不見得多么好，我們搞認(rèn)證也無用，只能是勞民傷財。 三是“投機取巧”論：認(rèn)證，認(rèn)證不就是為了那個“證”嗎？何必那么麻煩！把人家文件抄來，或者“拿幾個錢”買一個算了。 院長的思想束縛主要表現(xiàn)在對自己原有管理框架和思路的沖擊，院長在長期的管理實踐中積累了大量而豐富的經(jīng)驗，形成了自己的一套做法或模式，但貫徹ISO9000質(zhì)量管理體系標(biāo)準(zhǔn)，或多或少地需要改變這些框架和思路，有時是很痛苦的。 2、原因分析 出現(xiàn)這些觀念束縛情況不是我們的思想道德品質(zhì)的惡劣，而是有歷史的和現(xiàn)實的原因。 從歷史角度講，我們的文化底蘊仍然還是一個封建的主題，根本沒有經(jīng)過像西方經(jīng)濟社會那樣的動蕩洗禮，無論管理者還是被管理者在思想深處都存在著根深蒂固的自給自足自然經(jīng)濟的小農(nóng)意識和帝王將相的官級理念，工作中既得利益為重和投機取巧行為表現(xiàn)比較突出，職級管理中主要表現(xiàn)為超凡權(quán)力的運用，完全依靠對于領(lǐng)導(dǎo)的信仰和追隨。也十分注重造就自己的追隨族，時髦的話叫“粉絲”，嚴(yán)重者在醫(yī)院內(nèi)部制造“死黨”，超凡權(quán)力過于帶有感情色彩并且是非理性的，不是依據(jù)規(guī)章制度，而是依據(jù)神秘的啟示。順我者昌，逆我者亡，秋收算賬；隨意管理，因人設(shè)崗，朝令夕改，一朝君子一朝臣，一朝君子一朝政，時髦的話叫“各人有各人的辦法”。這個人治的環(huán)境從本質(zhì)上與ISO9000精神相悖。 從現(xiàn)實角度講，目前中國的ISO9000質(zhì)量管理事業(yè)有些的確讓人大迭眼鏡。在2000年我們就探討ISO9000管理問題，到過哈醫(yī)大二附院參觀學(xué)習(xí)，大家都知道時到今天的哈醫(yī)大二附院怎么了。當(dāng)時要想做ISO9000認(rèn)證需要幾十萬元甚至上百萬，到如今花五、六萬元就可以“賣一個認(rèn)”，這叫人如何是好！ 3、解決問題 說句實在話，這些涉及社會深層次的問題，要解決并不是朝夕之間就能做到的，但我們不從現(xiàn)在做起也是不正確的。我們要有勇氣去探討，去實踐。 (二) “以顧客為關(guān)注焦點”是整個質(zhì)量管理體系的靈魂 1、患者 “以顧客為關(guān)注焦點”是ISO9000標(biāo)準(zhǔn)的靈魂，是判定醫(yī)院質(zhì)量管理體系是否充分、適宜、有效的一項金標(biāo)準(zhǔn)。我們建立起來的醫(yī)療服務(wù)實現(xiàn)過程和那些程序和流程是否合適，首先要看是方便了自己，還是滿足了患者。這就是我們一直強調(diào)的“一切以患者方便不方便，高興不高興，滿意不滿意”為判定標(biāo)準(zhǔn)。 說這些好像令人嗤笑，大家都知道今天我國的醫(yī)療機構(gòu)怎么了？在醫(yī)療信息不對稱的前提下，在當(dāng)今的大環(huán)境中，以“患者為關(guān)注焦點”，用衛(wèi)生部的話說叫“以病人為中心”，要想做到，這“良心”真是酸、甜、苦、辣、咸五味俱全。醫(yī)囑中的藥、手術(shù)中的器械、給患者作的心電監(jiān)護(hù)、應(yīng)用的靜脈輸液泵等等，有些體現(xiàn)了“以病人為中心”，有些呢？ 2、內(nèi)部顧客 內(nèi)部顧客意識的建立也十分重要，事事站在“顧客”的角度考慮問題，利用“換位思考”的方法處理問題，充分了解和理解“顧客”的需求，滿足這些需求，讓自己的“顧客”滿意，這就是質(zhì)量。 然而在當(dāng)今的體制和機制下，醫(yī)院內(nèi)部復(fù)雜的人際關(guān)系，攪如亂麻，權(quán)力、本位、人脈圈子、幫派體系、長官眼色實在是太復(fù)雜了，一件往往很簡單的事做起來卻很難。