ISO标质量认证管理工作计划.pptx

1、ISO标管办工作计划,负责人：周 咏 周晓津 2003年8月1日,精品资料网（） 专业提供企管培训资料,2003.8-2004.3工作计划大纲,前期工作回顾 康华医院计划实施的国际标准 ISO标管办各月工作计划 组织架构图 人员需求计划 岗位职责说明,精品资料网（） 专业提供企管培训资料,前期工作回顾,了解医院的整体状况和发展战略 完成开展ISO9000培训所需的材料 参与数字化工程部的医院软件供应商选择 完成实施ISO14000所需的培训材料 部分完成OHSAS18000培训材料 了解ISO17799信息安全管理体系，思考在医院推行该系统,康华医院计划实施的国际标准,ISO17799（BS7

2、799）是由国际标准化组织（ISO）颁布的信息安全管理标准 ISO9000是由国际标准化组织（ISO）颁布的质量管理体系标准 ISO14000是由国际标准化组织（ISO）颁布的环境管理体系标准 OHSAS18000是由英国标准协会（BSI）、挪威船级社（DNV）等13个组织提出的职业安全卫生系列标准,实施ISO9000标准的好处,优化、规范业务运作流程 提高顾客的满意程度 增强企业的市场竞争力 减少工作差错、返工及浪费 改善工作效率及生产率 培育良好质量意识、激发员工士气 创新管理思维和技巧 可获得质量体系注册，减少顾客的重复审核和检查,实施ISO14000的好处,提高能源效益以减低成本 消除

3、或减少污染物排放 控制环境风险，减少环境事故和责任 提高全体员工及相关方环境意识，改善社团文化 向顾客及其他相关方履行对环境的承诺 保持良好的社区及公众关系 满足顾客、消费者及投资者的要求 提高公众形象及竞争力,精品资料网（） 专业提供企管培训资料,实施OHSAS18000的好处,增加组织社会关注力和责任感，有效改善组织的综合素质 有效消除或降低员工风险和相关方可能遇到的职业安全风险 提高组织的吸引力和员工的归属感 避免意外损失，保障经营成果 优化生产作业活动，提高劳动生产力,实施ISO/IEC17799（BS7799）的好处,建立贯穿整个供应链的信息安全系统，最大限度减少企业危机 提升顾客满

4、意程度，拓宽市场，增强企业竞争力 降低成本，增加利润，提高经营有效性 增加员工参与感，降低可能的诉讼风险 时间与资源的利用最大化,ISO标管办工作计划,精品资料网（） 专业提供企管培训资料,8月工作计划,深圳市诺恒管理策划有限公司培训课程信息安全管理标准及一体化流程管理系统基本知识,课程目的 了解BS7799信息安全管理标准的基本要求 了解风险评估及控制的基本程序 了解ISO9000/ISO14000/OHSAS18000一体化体系框架 了解医院建立一体化流程管理体系的思路 了解建立一体化流程管理体系的基本步骤 培训对象 高层管理人员 部门经理 课程时间 3小时 培训内容,考察已实际运作ISO

5、9000的医院,目的 了解医院的日常运作 交流实施ISO9000/ISO17799经验（2天） 了解医院实施ISO9000所需的控制程序（3天） 学习医院ISO体系文件中的三级文件（5天） 工作常规 管理规定 操作规范,精品资料网（） 专业提供企管培训资料,ISO17799内审员培训,培训目标： 理解信息安全的基本概念 理解ISO 17799标准的历史及发展趋势 掌握信息安全管理体系的基本思想 掌握信息安全管理的控制措施 了解信息安全管理体系的实现过程。 培训内容： 什么是信息安全 资产与风险管理 ISO 17799内容概述 信息安全管理体系的概念 信息安全管理体系的重要原则 信息安全管理体系

6、的实现方法 ISO 17799的10类控制措施,培训地点： 深圳/广州 培训对象： ISO17799工程师 ISO17799内审员,9月工作计划,9月工作计划,开展培训工作 ISO9000基本知识 （对象：医院全体人员） ISO9000标准条文理解 （对象：医院全体人员） 5S管理基本知识 （对象：数字化工程部） ISO17799信息安全管理体系培训 （对象：数字化工程部） 编写8个程序文件 文件控制程序 供应商评审控制程序 采购控制程序 标识和可追溯性控制程序,设施、设备控制程序 纠正和预防控制程序 质量记录控制程序 培训控制程序,ISO17799信息安全管理体系培训,培训目标： 理解信息安

7、全的基本概念 理解ISO 17799标准的历史及发展趋势 掌握信息安全管理体系的基本思想 掌握信息安全管理的控制措施 了解信息安全管理体系的实现过程。 培训对象： 数字化工程部,精品资料网（） 专业提供企管培训资料,ISO17799信息安全管理体系培训,培训内容： 什么是信息安全 实践中的信息安全问题 信息安全实践经验 资产与风险管理 ISO 17799的历史及发展 ISO 17799内容概述 信息安全管理体系的概念 信息安全管理体系的重要原则 信息安全管理体系的实现方法 ISO 17799的10类控制措施,10月工作计划,精品资料网（） 专业提供企管培训资料,精品资料网（） 专业提供企管培训

8、资料,10月份所要开展的培训工作,ISO9000基本知识 （对象：医院全体人员） ISO9000标准条文理解 （对象：医院全体人员） 5S管理基本知识 （对象：数字化工程部） ISO17799信息安全管理体系培训 （对象：数字化工程部）,10月份所要完成的程序文件,管理评审控制程序 质量计划控制程序 产品的标识和可追溯性控制程序 服务计划控制程序 试验控制程序 监视和测量装置控制程序 不合格服务控制程序,产品防护和交付控制程序 内部质量审核控制程序 与顾客的沟通与服务控制程序 质量目标管理与统计技术控制程序 信息交流控制程序 客户满意度评价控制程序 数据分析和利用控制程序 持续改进服务控制程序

9、,ISO17799信息安全管理体系培训,培训目标： 理解信息安全的基本概念 理解ISO 17799标准的历史及发展趋势 掌握信息安全管理体系的基本思想 掌握信息安全管理的控制措施 了解信息安全管理体系的实现过程。 培训对象： 数字化工程部,ISO17799信息安全管理体系培训,培训内容： 什么是信息安全 实践中的信息安全问题 信息安全实践经验 资产与风险管理 ISO 17799的历史及发展 ISO 17799内容概述 信息安全管理体系的概念 信息安全管理体系的重要原则 信息安全管理体系的实现方法 ISO 17799的10类控制措施,11月工作计划,整理与编写ISO9000三级文件,部门、科室工

10、作制度 部门、科室岗位职责 仪器、设备操作规程 业务流程图 信息流程图 医院内部物流图,参加ISO14000内审员培训,学习内容 ISO14000环境管理系列标准概论 ISO14001环境管理体系要求 环境法律及其他要求 环境管理体系认证的实施程序 环境管理体系认证审核的策划和准备 现场收集审核证据方法及技巧 环境管理体系有效性评价 纠正措施的跟踪及认证后监督 培训对象：ISO标管办员工 提供培训的咨询公司：康达信/诺恒,ISO9000/ISO14000体系整合设计,ISO14000 环境方针 组织结构和职责 人员环境培训 环境信息交流 环境文件控制 应急准备和响应 不符合、纠正和预防措施 环

11、境记录 内部审核 管理评审,ISO9000 质量方针 职责与权限 人员质量培训 质量信息交流 质量文件控制 （部分与消防安全的要求相同） 不符合、纠正和预防措施 质量记录 内部审核 管理评审,精品资料网（） 专业提供企管培训资料,开展ISO14000相关培训,培训内容 ISO14000环境管理系列标准概论 ISO14001环境管理体系要求 环境法律及其他要求 环境管理体系认证的实施程序 环境管理体系认证审核的策划和准备 现场收集审核证据方法及技巧 环境管理体系有效性评价 纠正措施的跟踪及认证后监督 环境法律法规 培训对象：ISO标管办,12月工作计划,二十一世纪的管理趋势,ISO9000 质量

12、管理体系,ISO14000 环境管理体系,OHSAS180001 职业卫生与安全 管理体系,OHSAS18000培训课程,编制OHSAS18000文件,三个层次文件： 职业安全卫生管理手册； 职业安全卫生管理体系程序文件； 职业安全卫生管理体系其他文件（作业指导书、操作规程、工艺卡及其他有关规程）,精品资料网（） 专业提供企管培训资料,危害识别和风险评价,制定危害识别、风险评价和分级管理控制等方面的标准； 建立并保持危害识别、风险评价和实施必要控制措施程序； 对危害识别、风险评价所采用信息及资料进行收集和整理，包括过去、现在和将来事态以及正常、异常和紧急状态等； 评估风险分级结果的适宜性并说明

13、重大危害，包括：重大危害的规模和范围、影响程度、影响持续时间和发生可能性； 掌握典型危害，评价风险控制措施的适宜性、充分性与有效性；,2004年1月工作计划,风险识别,物理破坏 - 火灾、水灾、电源损坏等 人为错误 - 偶然的或不经意的行为造成破坏 设备故障 - 系统及外围设备的故障 内、外部攻击 - 内部人员、外部黑客的有无目的的攻击 数据误用 - 共享机密数据，数据被窃 数据丢失 - 故意或非故意的以破坏方式丢失数据 程序错误 - 计算错误、输入错误、缓冲区溢出等,风险分析（1）-确定资产,风险分析（2）-确定威胁,外部网络黑客攻击及非法访问 内部人员故意或无意的非授权访问或操作 社会工程

14、带来的威胁，包括企业竞争对手或其他间谍行为 系统自身的脆弱性，包括系统结构设计上的缺陷、配置的疏忽等 软件漏洞，包括操作系统的安全漏洞、网络协议的设计缺陷、应用软件的设计漏洞、数据库系统的安全漏洞等 系统开放性带来的威胁，包括病毒、蠕虫等 技术故障带来的威胁 物理环境的威胁,精品资料网（） 专业提供企管培训资料,安全方针的主要内容,信息安全的定义、其总目标与范围、以及信息共享的机制下安全的重要性； 管理层对安全的态度、支持信息安全的目标与原则； 对组织特别重要的安全策略、原则、标准和符合性要求的简要说明，例如： 符合法规的要求和合同的要求； 安全教育的要求； 对计算机病毒和其他恶意软件的防范和

15、检测； 业务持续性管理； 违反安全方针的后果； 信息安全管理的总体责任和具体责任的定义； 方针的引用文件。,企业信息安全策略（1）,物理安全策略 包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等。 网络安全策略 包括网络拓扑结构、网络设备的管理、网络安全访问措施（防火墙、入侵检测系统、VPN等）、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等。 数据加密策略 包括加密算法、适用范围、密钥交换和管理等。 数据备份策略 包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等。 病毒防护策略 包括防病毒软件的安装、配置、对软盘

16、使用、网络下载等作出的规定等。,企业信息安全策略（2）,系统安全策略 包括WWW访问策略、数据库系统安全策略、邮件系统安全策略、应用服务器系统安全策略、个人桌面系统安全策略、其他业务相关系统安全策略等。 身份认证及授权策略 包括认证及授权机制、方式、审计记录等。 灾难恢复策略 包括负责人员、恢复机制、方式、归档管理、硬件、软件等。 事故处理、紧急响应策略 包括响应小组、联系方式、事故处理计划、控制过程等。 安全教育策略 包括安全策略的发布宣传、执行效果的监督、安全技能的培训、安全意识教育等。,企业信息安全策略（3）,口令管理策略 包括口令管理方式、口令设置规则、口令适应规则等。 补丁管理策略

17、包括系统补丁的更新、测试、安装等。 系统变更控制策略 包括设备、软件配置、控制措施、数据变更管理、一致性管理等。 商业伙伴、客户关系策略 包括合同条款安全策略、客户服务安全建议等。 复查审计策略 包括对安全策略的定期复查、对安全控制及过程的重新评估、对系统日志记录的审计、对安全技术发展的跟踪等。,2004年2-3月工作计划,精品资料网（） 专业提供企管培训资料,标准要求的整合,组织架构图,ISO标管办 主任,标准化组 主管,统计分析组 主管,培训与文件管理组 主管,仪器设备管理组 主管,文员,人员分配：共14人,ISO标管办 1人,ISO17799 工程师1人,ISO9000 工程师1人,IS

18、O14000 工程师1人,OHSAS18000 工程师1人,质量统计分析 工程师1人,培训与文件管理 工程师1人,仪器设备管理 工程师1人,文员 1人,内部审核员 1人,内部审核员 1人,内部审核员 1人,供应商管理 1人,内部审核员 1人,人员需求计划,岗位：质量统计分析工程师,岗位要求： 数理统计或相关专业，本科或以上学历； 两年以上统计分析工作经验； 理解并能应用常用质量分析工具、QC手法； 熟悉质量统计分析方法； 掌握ISO9000要求； 掌握内部质量审核相关知识及方法； 性别不限；35岁以下； 有大型医院工作经验优先。 职责描述： 制订质量统计工作计划； 参与本部门组织的内部质量审核

19、； 为本部门及相关部门提供各种质量统计报表； 对与质量有关的各种数据进行分析，提供质量改进建议。,岗位：培训与文件管理工程师,岗位要求： 教育或相关专业，专科或以上学历； 两年以上培训工作经验； 掌握ISO9000/ISO14000/OHSAS18000要求； 性别不限；35岁以下； 形象气质出众，口才一流。 职责描述： 围绕医院发展目标，制定本部门年度、季度、月度培训计划； 编制、修订、完善员工质量培训手册，完善质量培训体系； 针对月度培训计划，组织相关人员进行培训； 按照ISO质量管理体系的要求，做好培训记录、培训考核的管理工作； 规范岗前培训管理，进行有效的岗前培训考核； 每月对培训情况

20、进行小结，并完成一年一度的培训总结工作.搜集外部培训信息，组织有需要的员工进行外部培训； 管理与ISO标准有关的文件。,岗位：仪器设备管理工程师,岗位要求： 大学专科以上学历，主修制药设备或相关专业，五年以上相关岗位经验； 工程师以上专业技术职称，熟悉药品GMP管理规范； 有大型医院设备管理工作经验优先。 职责描述： 制订医疗仪器设备管理工作计划； 参与本部门组织的内部质量审核； 对设备供应商进行审核； 负责医疗仪器设备日常使用管理与维护保养，并提出维修计划与实施； 负责设备的故障分析，提出维修方案，并组织实施及统计分析等工作。,岗位：ISO9000工程师,岗位要求： 本科或以上，英语四级，3

21、5周岁以下； 具有较强的逻辑思维能力、沟通能力和组织协调能力，目标导向，较强的时间管理能力； 熟悉计算机常用软硬件的操作，动手能力强； 两年以上医院品质管理经验； 工程师以上专业技术职称，熟悉药品GMP管理规范； 有ISO9000国家注册审核员证书； 有大型医院工作经验优先。 职责描述： 收集分析客户端品质信息，提出合理的改善方案并督促执行； 稽核医院的品质系统，控制医院服务品质； 品质客诉的处理和追踪； 相关品质标准的制定。,岗位：ISO14000工程师,岗位要求： 环境科学本科或以上，英语四级，35周岁以下； 具有较强的逻辑思维能力、沟通能力和组织协调能力，目标导向，较强的时间管理能力；

22、有ISO14000国家注册审核员证书； 有大型医院工作经验优先。 职责描述： 收集分析环境信息，提出合理的改善方案并督促执行； 稽核医院的环境管理体系，提升医院环境管理； 相关环境管理标准的制定。,精品资料网（） 专业提供企管培训资料,岗位：OHSAS18000工程师,岗位要求： 医学相关专业本科或以上，英语四级，35周岁以下； 具有较强的逻辑思维能力、沟通能力和组织协调能力，目标导向，较强的时间管理能力； 有OHSAS18000国家注册审核员证书； 有大型医院工作经验优先。 职责描述： 收集分析职业卫生与安全方面信息，提出合理的改善方案并督促执行； 稽核医院的职业卫生安全管理体系，提高医院职业卫生与安全品质； 相