某医院ISO标管办工作计划课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,康华医院,ISO,标管办工作计划,ISO,标管办工作计划,2003.8-2004.3,工作计划大纲,前期工作回顾,康华医院计划实施的国际标准,ISO,标管办各月工作计划,组织架构图,人员需求计划,岗位职责说明,前期工作回顾,了解医院的整体状况和发展战略,完成开展,ISO9000,培训所需的材料,参与数字化工程部的医院软件供应商选择,完成实施,ISO14000,所需的培训材料,部分完成,OHSAS18000,培训材料,了解,ISO17799,信息安全管理体系，思考在医院推行该系统,康华医院计划实施的国际标准,ISO17799,（,BS7799,）,是由国际标准化组织（,ISO,）颁布的信息安全管理标准,ISO9000,是由国际标准化组织（,ISO,）颁布的质量管理体系标准,ISO14000,是由国际标准化组织（,ISO,）颁布的环境管理体系标准,OHSAS18000,是由英国标准协会（,BSI,）、挪威船级社（,DNV,）等,13,个组织提出的职业安全卫生系列标准,实施,ISO9000,标准的好处,优化、规范业务运作流程,提高顾客的满意程度,增强企业的市场竞争力,减少工作差错、返工及浪费,改善工作效率及生产率,培育良好质量意识、激发员工士气,创新管理思维和技巧,可获得质量体系注册，减少顾客的重复审核和检查,实施,ISO14000,的好处,提高能源效益以减低成本,消除或减少污染物排放,控制环境风险，减少环境事故和责任,提高全体员工及相关方环境意识，改善社团文化,向顾客及其他相关方履行对环境的承诺,保持良好的社区及公众关系,满足顾客、消费者及投资者的要求,提高公众形象及竞争力,实施,OHSAS18000,的好处,增加组织社会关注力和责任感，有效改善组织的综合素质,有效消除或降低员工风险和相关方可能遇到的职业安全风险,提高组织的吸引力和员工的归属感,避免意外损失，保障经营成果,优化生产作业活动，提高劳动生产力,实施,ISO/IEC17799,（,BS7799,）的好处,建立贯穿整个供应链的信息安全系统，最大限度减少企业危机,提升顾客满意程度，拓宽市场，增强企业竞争力,降低成本，增加利润，提高经营有效性,增加员工参与感，降低可能的诉讼风险,时间与资源的利用最大化,法规记录,物理安全,人事安全,资产分级控制,安全组织,信息交流管理,访问控制,系统开发,商业连续运营策划,符合性,信息安全方针,人事记录,客户记录,信 息,ISO,标管办工作计划,2003,年,2004,年,8,月份,1,月份,9,月份,2,月份,10,月份,3,月份,11,月份,12,月份,8,月工作计划,深圳市诺恒管理策划有限公司培训课程,信息安全管理标准及一体化流程管理系统基本知识,课程目的,了解,BS7799,信息安全管理标准的基本要求,了解风险评估及控制的基本程序,了解,ISO9000/ISO14000/OHSAS18000,一体化体系框架,了解医院建立一体化流程管理体系的思路,了解建立一体化流程管理体系的基本步骤,培训对象,高层管理人员,部门经理,课程时间,3,小时,培训内容,考察已实际运作,ISO9000,的医院,目的,了解医院的日常运作,交流实施,ISO9000/ISO17799,经验（,2,天）,了解医院实施,ISO9000,所需的控制程序（,3,天）,学习医院,ISO,体系文件中的三级文件（,5,天）,工作常规,管理规定,操作规范,ISO17799,内审员培训,培训目标：,理解信息安全的基本概念,理解,ISO 17799,标准的历史及发展趋势,掌握信息安全管理体系的基本思想,掌握信息安全管理的控制措施,了解信息安全管理体系的实现过程。,培训内容：,什么是信息安全,资产与风险管理,ISO 17799,内容概述,信息安全管理体系的概念,信息安全管理体系的重要原则,信息安全管理体系的实现方法,ISO 17799,的,10,类控制措施,培训地点：,深圳,/,广州,培训对象：,ISO17799,工程师,ISO17799,内审员,9,月工作计划,9,月工作计划,开展培训工作,ISO9000,基本知识 （对象：医院全体人员）,ISO9000,标准条文理解 （对象：医院全体人员）,5S,管理基本知识 （对象：数字化工程部）,ISO17799,信息安全管理体系培训 （对象：数字化工程部）,编写,8,个程序文件,文件控制程序,供应商评审控制程序,采购控制程序,标识和可追溯性控制程序,设施、设备控制程序,纠正和预防控制程序,质量记录控制程序,培训控制程序,ISO17799,信息安全管理体系培训,培训目标：,理解信息安全的基本概念,理解,ISO 17799,标准的历史及发展趋势,掌握信息安全管理体系的基本思想,掌握信息安全管理的控制措施,了解信息安全管理体系的实现过程。,培训对象：,数字化工程部,ISO17799,信息安全管理体系培训,培训内容：,什么是信息安全,实践中的信息安全问题,信息安全实践经验,资产与风险管理,ISO 17799,的历史及发展,ISO 17799,内容概述,信息安全管理体系的概念,信息安全管理体系的重要原则,信息安全管理体系的实现方法,ISO 17799,的,10,类控制措施,10,月工作计划,会员注册,会员管理,站点地图,首页,关于我们,业务范围,主要客户,培训园地,诺恒刊物,专家答疑,诺恒论坛,深圳市技术监督局,华润集团,华为技术,武汉万科,IBM&,长城集团合资企业,深圳电信,锦绣中华,康佳电子,三洋激光,普尔斯马特,富士银行,中信物业,深圳市高新区物业公司,华生纸品,中兴通讯,更多,会员注册,会员管理,站点地图,首页,关于我们,业务范围,主要客户,培训园地,诺恒刊物,专家答疑,诺恒论坛,深圳市技术监督局,华润集团,华为技术,武汉万科,IBM&,长城集团合资企业,深圳电信,锦绣中华,康佳电子,三洋激光,普尔斯马特,富士银行,中信物业,深圳市高新区物业公司,华生纸品,中兴通讯,更多,会员注册,会员管理,站点地图,首页,关于我们,业务范围,主要客户,培训园地,诺恒刊物,专家答疑,诺恒论坛,深圳市技术监督局,华润集团,华为技术,武汉万科,IBM&,长城集团合资企业,深圳电信,锦绣中华,康佳电子,三洋激光,普尔斯马特,富士银行,中信物业,深圳市高新区物业公司,华生纸品,中兴通讯,更多,10,月份所要开展的培训工作,ISO9000,基本知识 （对象：医院全体人员）,ISO9000,标准条文理解 （对象：医院全体人员）,5S,管理基本知识 （对象：数字化工程部）,ISO17799,信息安全管理体系培训 （对象：数字化工程部）,10,月份所要完成的程序文件,管理评审控制程序,质量计划控制程序,产品的标识和可追溯性控制程序,服务计划控制程序,试验控制程序,监视和测量装置控制程序,不合格服务控制程序,产品防护和交付控制程序,内部质量审核控制程序,与顾客的沟通与服务控制程序,质量目标管理与统计技术控制程序,信息交流控制程序,客户满意度评价控制程序,数据分析和利用控制程序,持续改进服务控制程序,ISO17799,信息安全管理体系培训,培训目标：,理解信息安全的基本概念,理解,ISO 17799,标准的历史及发展趋势,掌握信息安全管理体系的基本思想,掌握信息安全管理的控制措施,了解信息安全管理体系的实现过程。,培训对象：,数字化工程部,ISO17799,信息安全管理体系培训,培训内容：,什么是信息安全,实践中的信息安全问题,信息安全实践经验,资产与风险管理,ISO 17799,的历史及发展,ISO 17799,内容概述,信息安全管理体系的概念,信息安全管理体系的重要原则,信息安全管理体系的实现方法,ISO 17799,的,10,类控制措施,11,月工作计划,整理与编写,ISO9000,三级文件,部门、科室工作制度,部门、科室岗位职责,仪器、设备操作规程,业务流程图,信息流程图,医院内部物流图,参加,ISO14000,内审员培训,学习内容,ISO14000,环境管理系列标准概论,ISO14001,环境管理体系要求,环境法律及其他要求,环境管理体系认证的实施程序,环境管理体系认证审核的策划和准备,现场收集审核证据方法及技巧,环境管理体系有效性评价,纠正措施的跟踪及认证后监督,培训对象：,ISO,标管办员工,提供培训的咨询公司：康达信,/,诺恒,ISO9000/ISO14000,体系整合设计,ISO14000,环境方针,组织结构和职责,人员环境培训,环境信息交流,环境文件控制,应急准备和响应,不符合、纠正和预防措施,环境记录,内部审核,管理评审,ISO9000,质量方针,职责与权限,人员质量培训,质量信息交流,质量文件控制,（部分与消防安全的要求相同）,不符合、纠正和预防措施,质量记录,内部审核,管理评审,开展,ISO14000,相关培训,培训内容,ISO14000,环境管理系列标准概论,ISO14001,环境管理体系要求,环境法律及其他要求,环境管理体系认证的实施程序,环境管理体系认证审核的策划和准备,现场收集审核证据方法及技巧,环境管理体系有效性评价,纠正措施的跟踪及认证后监督,环境法律法规,培训对象：,ISO,标管办,12,月工作计划,二十一世纪的管理趋势,ISO9000,质量管理体系,ISO14000,环境管理体系,OHSAS180001,职业卫生与安全,管理体系,OHSAS18000,培训课程,编制,OHSAS18000,文件,三个层次文件：,职业安全卫生管理手册；,职业安全卫生管理体系程序文件；,职业安全卫生管理体系其他文件（作业指导书、操作规程、工艺卡及其他有关规程）,危害识别和风险评价,制定危害识别、风险评价和分级管理控制等方面的标准；,建立并保持危害识别、风险评价和实施必要控制措施程序；,对危害识别、风险评价所采用信息及资料进行收集和整理，包括过去、现在和将来事态以及正常、异常和紧急状态等；,评估风险分级结果的适宜性并说明重大危害，包括：重大危害的规模和范围、影响程度、影响持续时间和发生可能性；,掌握典型危害，评价风险控制措施的适宜性、充分性与有效性；,2004,年,1,月工作计划,风险识别,物理破坏,-,火灾、水灾、电源损坏等,人为错误,-,偶然的或不经意的行为造成破坏,设备故障,-,系统及外围设备的故障,内、外部攻击,-,内部人员、外部黑客的有无目的的攻击,数据误用,-,共享机密数据，数据被窃,数据丢失,-,故意或非故意的以破坏方式丢失数据,程序错误,-,计算错误、输入错误、缓冲区溢出等,风险分析（,1,）,-,确定资产,风险分析（,2,）,-,确定威胁,外部网络黑客攻击及非法访问,内部人员故意或无意的非授权访问或操作,社会工程带来的威胁，包括企业竞争对手或其他间谍行为,系统自身的脆弱性，包括系统结构设计上的缺陷、配置的疏忽等,软件漏洞，包括操作系统的安全漏洞、网络协议的设计缺陷、应用软件的设计漏洞、数据库系统的安全漏洞等,系统开放性带来的威胁，包括病毒、蠕虫等,技术故障带来的威胁,物理环境的威胁,安全方针的主要内容,信息安全的定义、其总目标与范围、以及信息共享的机制下安全的重要性；,管理层对安全的态度、支持信息安全的目标与原则；,对组织特别重要的安全策略、原则、标准和符合性要求的简要说明，例如：,符合法规的要求和合同的要求；,安全教育的要求；,对计算机病毒和其他恶意软件的防范和检测；,业务持续性管理；,违反安全方针的后果；,信息安全管理的总体责任和具体责任的定义；,方针的引用文件,。,企业信息安全策略（,1,）,物理安全策略,包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等。,网络安全策略,包括网络拓扑结构、网络设备的管理、网络安全访问措施（防火墙、入侵检测系统、,VPN,等）、安全扫描、远程访问、不同级别网络的访问控制方式、识别,/,认证机制等。,数据加密策略,包括加密算法、适用范围、密钥交换和管理等。,数据备份策略,包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等。,病毒防护策略,包括防病毒软件的安装、配置、对软盘使用、网络下载等作出的规定等。,企业信息安全策略（,2,）,系统安全策略,包括,WWW,访问策略、数据库系统安全策略、邮件系统安全策略、应用服务器系统安全策略、个人桌面系统安全策略、其他业务相关系统安全策略等。,身份认证及授权策略,包括认证及授权机制、方式、审计记录等。,灾难恢复策略,包括负责人员、恢复机制、方式、归档管理、硬件、软件等。,事故处理、紧急响应策略,包括响应小组、联系方式、事故处理计划、控制过程等。,安全教育策略,包括安全策略的发布宣传、执行效果的监督、安全技能的培训、安全意识教育等。,企业信息安全策略（,3,）,口令管理策略,包括口令管理方式、口令设置规则、口令适应规则等。,补丁管理策略,包括系统补丁的更新、测试、安装等。,系统变更控制策略,包括设备、软件配置、控制措施、数据变更管理、一致性管理等。,商业伙伴、客户关系策略,包括合同条款安全策略、客户服务安全建议等。,复查审计策略,包括对安全策略的定期复查、对安全控制及过程的重新评估、对系统日志记录的审计、对安全技术发展的跟踪等。,2004,年,2-3,月工作计划,标准要求的整合,组织架构图,ISO,标管办,主任,标准化组,主管,统计分析组,主管,培训与文件管理组,主管,仪器设备管理组,主管,文员,人员分配：共,14,人,ISO,标管办,1,人,ISO17799,工程师,1,人,ISO9000,工程师,1,人,ISO14000,工程师,1,人,OHSAS18000,工程师,1,人,质量统计分析,工程师,1,人,培训与文件管理,工程师,1,人,仪器设备管理,工程师,1,人,文员,1,人,内部审核员,1,人,内部审核员,1,人,内部审核员,1,人,供应商管理,1,人,内部审核员,1,人,人员需求计划,2003,年,8,月,培训与文件管理工程师,1,名、品质文员,1,名、仪器与设备管理工程师,1,名、,ISO9000,业务流程分析师,1,名。,2003,年,10,月,ISO17799/ISO14000/OHSAS18000,工程师各,1,名。,2003,年,12,月,供应商管理,1,名。,2004,年,2,月,体系内审员,2,名。,岗位：质量统计分析工程师,岗位要求：,数理统计或相关专业，本科或以上学历；,两年以上统计分析工作经验；,理解并能应用常用,质量,分析工具、,QC,手法；,熟悉,质量统计分析,方法；,掌握,ISO9000,要求；,掌握内部质量审核相关知识及方法；,性别不限；,35,岁以下；,有大型医院工作经验优先。,职责描述：,制订质量统计工作计划；,参与本部门组织的内部质量审核；,为本部门及相关部门提供各种质量统计报表；,对与质量有关的各种数据进行分析，提供质量改进建议。,岗位：培训与文件管理工程师,岗位要求：,教育或相关专业，专科或以上学历；,两年以上培训工作经验；,掌握,ISO9000/ISO14000/OHSAS18000,要求；,性别不限；,35,岁以下；,形象气质出众，口才一流。,职责描述：,围绕医院发展目标，制定本部门年度、季度、月度培训计划；,编制、修订、完善员工质量培训手册，完善质量培训体系；,针对月度培训计划，组织相关人员进行培训；,按照,ISO,质量管理体系的要求，做好培训记录、培训考核的管理工作；,规范岗前培训管理，进行有效的岗前培训考核；,每月对培训情况进行小结，并完成一年一度的培训总结工作,.,搜集外部培训信息，组织有需要的员工进行外部培训；,管理与,ISO,标准有关的文件。,岗位：仪器设备管理工程师,岗位要求：,大学专科以上学历，主修制药设备或相关专业，五年以上相关岗位经验；,工程师以上专业技术职称，熟悉药品,GMP,管理规范；,有大型医院设备管理工作经验优先。,职责描述：,制订医疗仪器设备管理工作计划；,参与本部门组织的内部质量审核；,对设备供应商进行审核；,负责医疗仪器设备日常使用管理与维护保养，并提出维修计划与实施；,负责设备的故障分析，提出维修方案，并组织实施及统计分析等工作。,岗位：,ISO9000,工程师,岗位要求：,本科或以上，英语四级，,35,周岁以下；,具有较强的逻辑思维能力、沟通能力和组织协调能力，目标导向，较强的时间管理能力；,熟悉计算机常用软硬件的操作，动手能力强；,两年以上医院品质管理经验；,工程师以上专业技术职称，熟悉药品,GMP,管理规范；,有,ISO9000,国家注册审核员证书；,有大型医院工作经验优先。,职责描述：,收集分析客户端品质信息，提出合理的改善方案并督促执行；,稽核医院的品质系统，控制医院服务品质；,品质客诉的处理和追踪；,相关品质标准的制定。,岗位：,ISO14000,工程师,岗位要求：,环境科学本科或以上，英语四级，,35,周岁以下；,具有较强的逻辑思维能力、沟通能力和组织协调能力，目标导向，较强的时间管理能力；,有,ISO14000,国家注册审核员证书；,有大型医院工作经验优先。,职责描述：,收集分析环境信息，提出合理的改善方案并督促执行；,稽核医院的环境管理体系，提升医院环境管理；,相关环境管理标准的制定。,岗位：,OHSAS18000,工程师,岗位要求：,医学相关专业本科或以上，英语四级，,35,周岁以下；,具有较强的逻辑思维能力、沟通能力和组织协调能力，目标导向，较强的时间管理能力；,有,OHSAS18000,国家注册审核员证书；,有大型医院工作经验优先。,职责描述：,收集分析职业卫生与安全方面信息，提出合理的改善方案并督促执行；,稽核医院的职业卫生安全管理体系，提高医院职业卫生与安全品质；,相关职业卫生安全标准的制定。,岗位：,ISO17799,工程师,岗位要求：,计算机或相关专业，本科或以上，英语四级，,35,周岁以下；,具有较强的逻辑思维能力、沟通能力和组织协调能力，目标导向，较强的时间管理能力；,有,ISO17799,国家注册审核员证书；,职责描述：,收集分析医院信息安全管理信息，提出合理的改善方案并督促执行；,稽核医院的信息安全管理体系，加强医院信息安全管理；,制定医院相关信息安全管理标准。,岗位：内审员,岗位要求：,中专以上学历，,30,周岁以下；,三年以上系统内审工作经验；,具有相应标准审核员证书；,熟悉,ISO,检查程序；,善于沟通，具较强组织、协调能力和文字表达能力；,能熟练掌握办公软件。,职责描述：,稽核医院的,ISO,管理体系；,参与制定医院,ISO,管理标准。,岗位：供应商管理,岗位要求：,男性，,35,岁以下，本科以上学历，医药或相关专业；,善于沟通，具较强组织、协调能力和文字表达能力；,能熟练掌握办公软件；,2,年以上相关工作经验；,熟悉,ISO9000,体系。,职责描述：,负责医院供应商管理；,负责分供方供货质量水平的评价及质量改进跟踪；,负责分供方质量考核、季度评级、年度评级；,负责对采购质量进行监督；,负责督导供应商建立和维持质保体系，持续提升质量保证能力；,协助解决供应商的技术与质量问题。,岗位：品质文员,岗位要求：,高中以上学历，,30,周岁以下；,有,ISO9000,内审员资格证书；,善于沟通，具较强的协调能力和文字表达能力；,能熟练掌握办公软件；,文字录入速度,80,字,/,分以上；,三年以上相关工作经验。,职责描述：,办公室文件的收发、复印、传真等；,部门档案与部门固定资产的管理；,参加内部质量审核工作；,END,THANKS,！,