《ISO标管办工作计划.ppt》由会员分享,可在线阅读,更多相关《ISO标管办工作计划.ppt(60页珍藏版)》请在三一办公上搜索。
1、ISO标管办工作计划,ISO标管办工作计划,2003.8-2004.3工作计划大纲,前期工作回顾康华医院计划实施的国际标准ISO标管办各月工作计划组织架构图人员需求计划岗位职责说明,前期工作回顾,了解医院的整体状况和发展战略完成开展ISO9000培训所需的材料参与数字化工程部的医院软件供应商选择完成实施ISO14000所需的培训材料部分完成OHSAS18000培训材料了解ISO17799信息安全管理体系,思考在医院推行该系统,康华医院计划实施的国际标准,ISO17799(BS7799)是由国际标准化组织(ISO)颁布的信息安全管理标准ISO9000是由国际标准化组织(ISO)颁布的质量管理体系
2、标准ISO14000是由国际标准化组织(ISO)颁布的环境管理体系标准OHSAS18000是由英国标准协会(BSI)、挪威船级社(DNV)等13个组织提出的职业安全卫生系列标准,实施ISO9000标准的好处,优化、规范业务运作流程提高顾客的满意程度增强企业的市场竞争力减少工作差错、返工及浪费改善工作效率及生产率培育良好质量意识、激发员工士气创新管理思维和技巧可获得质量体系注册,减少顾客的重复审核和检查,实施ISO14000的好处,提高能源效益以减低成本消除或减少污染物排放控制环境风险,减少环境事故和责任提高全体员工及相关方环境意识,改善社团文化向顾客及其他相关方履行对环境的承诺保持良好的社区及
3、公众关系满足顾客、消费者及投资者的要求提高公众形象及竞争力,实施OHSAS18000的好处,增加组织社会关注力和责任感,有效改善组织的综合素质有效消除或降低员工风险和相关方可能遇到的职业安全风险提高组织的吸引力和员工的归属感避免意外损失,保障经营成果 优化生产作业活动,提高劳动生产力,实施ISO/IEC17799(BS7799)的好处,建立贯穿整个供应链的信息安全系统,最大限度减少企业危机提升顾客满意程度,拓宽市场,增强企业竞争力降低成本,增加利润,提高经营有效性增加员工参与感,降低可能的诉讼风险时间与资源的利用最大化,ISO标管办工作计划,8月工作计划,深圳市诺恒管理策划有限公司培训课程信息
4、安全管理标准及一体化流程管理系统基本知识,课程目的了解BS7799信息安全管理标准的基本要求了解风险评估及控制的基本程序了解ISO9000/ISO14000/OHSAS18000一体化体系框架了解医院建立一体化流程管理体系的思路了解建立一体化流程管理体系的基本步骤培训对象高层管理人员部门经理课程时间3小时培训内容,考察已实际运作ISO9000的医院,目的了解医院的日常运作交流实施ISO9000/ISO17799经验(2天)了解医院实施ISO9000所需的控制程序(3天)学习医院ISO体系文件中的三级文件(5天)工作常规管理规定操作规范,ISO17799内审员培训,培训目标:理解信息安全的基本概
5、念 理解ISO 17799标准的历史及发展趋势 掌握信息安全管理体系的基本思想 掌握信息安全管理的控制措施 了解信息安全管理体系的实现过程。培训内容:什么是信息安全 资产与风险管理 ISO 17799内容概述 信息安全管理体系的概念 信息安全管理体系的重要原则 信息安全管理体系的实现方法 ISO 17799的10类控制措施,培训地点:深圳/广州培训对象:ISO17799工程师ISO17799内审员,9月工作计划,9月工作计划,开展培训工作ISO9000基本知识(对象:医院全体人员)ISO9000标准条文理解(对象:医院全体人员)5S管理基本知识(对象:数字化工程部)ISO17799信息安全管理
6、体系培训(对象:数字化工程部)编写8个程序文件 文件控制程序供应商评审控制程序采购控制程序标识和可追溯性控制程序,设施、设备控制程序纠正和预防控制程序质量记录控制程序培训控制程序,ISO17799信息安全管理体系培训,培训目标:理解信息安全的基本概念 理解ISO 17799标准的历史及发展趋势 掌握信息安全管理体系的基本思想 掌握信息安全管理的控制措施 了解信息安全管理体系的实现过程。培训对象:数字化工程部,ISO17799信息安全管理体系培训,培训内容:什么是信息安全 实践中的信息安全问题 信息安全实践经验 资产与风险管理 ISO 17799的历史及发展 ISO 17799内容概述 信息安全
7、管理体系的概念 信息安全管理体系的重要原则 信息安全管理体系的实现方法 ISO 17799的10类控制措施,10月工作计划,10月份所要开展的培训工作,ISO9000基本知识(对象:医院全体人员)ISO9000标准条文理解(对象:医院全体人员)5S管理基本知识(对象:数字化工程部)ISO17799信息安全管理体系培训(对象:数字化工程部),10月份所要完成的程序文件,管理评审控制程序质量计划控制程序产品的标识和可追溯性控制程序服务计划控制程序试验控制程序监视和测量装置控制程序不合格服务控制程序,产品防护和交付控制程序内部质量审核控制程序与顾客的沟通与服务控制程序质量目标管理与统计技术控制程序信
8、息交流控制程序客户满意度评价控制程序数据分析和利用控制程序持续改进服务控制程序,ISO17799信息安全管理体系培训,培训目标:理解信息安全的基本概念 理解ISO 17799标准的历史及发展趋势 掌握信息安全管理体系的基本思想 掌握信息安全管理的控制措施 了解信息安全管理体系的实现过程。培训对象:数字化工程部,ISO17799信息安全管理体系培训,培训内容:什么是信息安全 实践中的信息安全问题 信息安全实践经验 资产与风险管理 ISO 17799的历史及发展 ISO 17799内容概述 信息安全管理体系的概念 信息安全管理体系的重要原则 信息安全管理体系的实现方法 ISO 17799的10类控
9、制措施,11月工作计划,整理与编写ISO9000三级文件,部门、科室工作制度部门、科室岗位职责仪器、设备操作规程业务流程图信息流程图医院内部物流图,参加ISO14000内审员培训,学习内容ISO14000环境管理系列标准概论ISO14001环境管理体系要求环境法律及其他要求环境管理体系认证的实施程序环境管理体系认证审核的策划和准备现场收集审核证据方法及技巧环境管理体系有效性评价纠正措施的跟踪及认证后监督培训对象:ISO标管办员工提供培训的咨询公司:康达信/诺恒,ISO9000/ISO14000体系整合设计,ISO14000环境方针 组织结构和职责人员环境培训环境信息交流 环境文件控制 应急准备
10、和响应 不符合、纠正和预防措施 环境记录 内部审核 管理评审,ISO9000 质量方针 职责与权限 人员质量培训 质量信息交流 质量文件控制(部分与消防安全的要求相同)不符合、纠正和预防措施 质量记录 内部审核 管理评审,开展ISO14000相关培训,培训内容ISO14000环境管理系列标准概论ISO14001环境管理体系要求环境法律及其他要求环境管理体系认证的实施程序环境管理体系认证审核的策划和准备现场收集审核证据方法及技巧环境管理体系有效性评价纠正措施的跟踪及认证后监督环境法律法规培训对象:ISO标管办,12月工作计划,二十一世纪的管理趋势,ISO9000质量管理体系,ISO14000环境
11、管理体系,OHSAS180001职业卫生与安全管理体系,OHSAS18000培训课程,编制OHSAS18000文件,三个层次文件:职业安全卫生管理手册;职业安全卫生管理体系程序文件;职业安全卫生管理体系其他文件(作业指导书、操作规程、工艺卡及其他有关规程),危害识别和风险评价,制定危害识别、风险评价和分级管理控制等方面的标准;建立并保持危害识别、风险评价和实施必要控制措施程序;对危害识别、风险评价所采用信息及资料进行收集和整理,包括过去、现在和将来事态以及正常、异常和紧急状态等;评估风险分级结果的适宜性并说明重大危害,包括:重大危害的规模和范围、影响程度、影响持续时间和发生可能性;掌握典型危害
12、,评价风险控制措施的适宜性、充分性与有效性;,2004年1月工作计划,风险识别,物理破坏-火灾、水灾、电源损坏等 人为错误-偶然的或不经意的行为造成破坏 设备故障-系统及外围设备的故障 内、外部攻击-内部人员、外部黑客的有无目的的攻击 数据误用-共享机密数据,数据被窃 数据丢失-故意或非故意的以破坏方式丢失数据 程序错误-计算错误、输入错误、缓冲区溢出等,风险分析(1)-确定资产,风险分析(2)-确定威胁,外部网络黑客攻击及非法访问 内部人员故意或无意的非授权访问或操作 社会工程带来的威胁,包括企业竞争对手或其他间谍行为 系统自身的脆弱性,包括系统结构设计上的缺陷、配置的疏忽等 软件漏洞,包括
13、操作系统的安全漏洞、网络协议的设计缺陷、应用软件的设计漏洞、数据库系统的安全漏洞等 系统开放性带来的威胁,包括病毒、蠕虫等 技术故障带来的威胁 物理环境的威胁,安全方针的主要内容,信息安全的定义、其总目标与范围、以及信息共享的机制下安全的重要性;管理层对安全的态度、支持信息安全的目标与原则;对组织特别重要的安全策略、原则、标准和符合性要求的简要说明,例如:符合法规的要求和合同的要求;安全教育的要求;对计算机病毒和其他恶意软件的防范和检测;业务持续性管理;违反安全方针的后果;信息安全管理的总体责任和具体责任的定义;方针的引用文件。,企业信息安全策略(1),物理安全策略包括环境安全、设备安全、媒体
14、安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等。网络安全策略包括网络拓扑结构、网络设备的管理、网络安全访问措施(防火墙、入侵检测系统、VPN等)、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等。数据加密策略包括加密算法、适用范围、密钥交换和管理等。数据备份策略包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等。病毒防护策略包括防病毒软件的安装、配置、对软盘使用、网络下载等作出的规定等。,企业信息安全策略(2),系统安全策略包括WWW访问策略、数据库系统安全策略、邮件系统安全策略、应用服务器系统安全策略、个人桌面系统安全策略、其他业务相关系统安
15、全策略等。身份认证及授权策略包括认证及授权机制、方式、审计记录等。灾难恢复策略包括负责人员、恢复机制、方式、归档管理、硬件、软件等。事故处理、紧急响应策略包括响应小组、联系方式、事故处理计划、控制过程等。安全教育策略包括安全策略的发布宣传、执行效果的监督、安全技能的培训、安全意识教育等。,企业信息安全策略(3),口令管理策略包括口令管理方式、口令设置规则、口令适应规则等。补丁管理策略包括系统补丁的更新、测试、安装等。系统变更控制策略包括设备、软件配置、控制措施、数据变更管理、一致性管理等。商业伙伴、客户关系策略包括合同条款安全策略、客户服务安全建议等。复查审计策略包括对安全策略的定期复查、对安
16、全控制及过程的重新评估、对系统日志记录的审计、对安全技术发展的跟踪等。,2004年2-3月工作计划,标准要求的整合,组织架构图,ISO标管办主任,标准化组主管,统计分析组主管,培训与文件管理组主管,仪器设备管理组主管,文员,人员分配:共14人,ISO标管办1人,ISO17799工程师1人,ISO9000工程师1人,ISO14000工程师1人,OHSAS18000工程师1人,质量统计分析工程师1人,培训与文件管理工程师1人,仪器设备管理工程师1人,文员1人,内部审核员1人,内部审核员1人,内部审核员1人,供应商管理1人,内部审核员1人,人员需求计划,岗位:质量统计分析工程师,岗位要求:数理统计或
17、相关专业,本科或以上学历;两年以上统计分析工作经验;理解并能应用常用质量分析工具、QC手法;熟悉质量统计分析方法;掌握ISO9000要求;掌握内部质量审核相关知识及方法;性别不限;35岁以下;有大型医院工作经验优先。职责描述:制订质量统计工作计划;参与本部门组织的内部质量审核;为本部门及相关部门提供各种质量统计报表;对与质量有关的各种数据进行分析,提供质量改进建议。,岗位:培训与文件管理工程师,岗位要求:教育或相关专业,专科或以上学历;两年以上培训工作经验;掌握ISO9000/ISO14000/OHSAS18000要求;性别不限;35岁以下;形象气质出众,口才一流。职责描述:围绕医院发展目标,
18、制定本部门年度、季度、月度培训计划;编制、修订、完善员工质量培训手册,完善质量培训体系;针对月度培训计划,组织相关人员进行培训;按照ISO质量管理体系的要求,做好培训记录、培训考核的管理工作;规范岗前培训管理,进行有效的岗前培训考核;每月对培训情况进行小结,并完成一年一度的培训总结工作.搜集外部培训信息,组织有需要的员工进行外部培训;管理与ISO标准有关的文件。,岗位:仪器设备管理工程师,岗位要求:大学专科以上学历,主修制药设备或相关专业,五年以上相关岗位经验;工程师以上专业技术职称,熟悉药品GMP管理规范;有大型医院设备管理工作经验优先。职责描述:制订医疗仪器设备管理工作计划;参与本部门组织
19、的内部质量审核;对设备供应商进行审核;负责医疗仪器设备日常使用管理与维护保养,并提出维修计划与实施;负责设备的故障分析,提出维修方案,并组织实施及统计分析等工作。,岗位:ISO9000工程师,岗位要求:本科或以上,英语四级,35周岁以下;具有较强的逻辑思维能力、沟通能力和组织协调能力,目标导向,较强的时间管理能力;熟悉计算机常用软硬件的操作,动手能力强;两年以上医院品质管理经验;工程师以上专业技术职称,熟悉药品GMP管理规范;有ISO9000国家注册审核员证书;有大型医院工作经验优先。职责描述:收集分析客户端品质信息,提出合理的改善方案并督促执行;稽核医院的品质系统,控制医院服务品质;品质客诉
20、的处理和追踪;相关品质标准的制定。,岗位:ISO14000工程师,岗位要求:环境科学本科或以上,英语四级,35周岁以下;具有较强的逻辑思维能力、沟通能力和组织协调能力,目标导向,较强的时间管理能力;有ISO14000国家注册审核员证书;有大型医院工作经验优先。职责描述:收集分析环境信息,提出合理的改善方案并督促执行;稽核医院的环境管理体系,提升医院环境管理;相关环境管理标准的制定。,岗位:OHSAS18000工程师,岗位要求:医学相关专业本科或以上,英语四级,35周岁以下;具有较强的逻辑思维能力、沟通能力和组织协调能力,目标导向,较强的时间管理能力;有OHSAS18000国家注册审核员证书;有
21、大型医院工作经验优先。职责描述:收集分析职业卫生与安全方面信息,提出合理的改善方案并督促执行;稽核医院的职业卫生安全管理体系,提高医院职业卫生与安全品质;相关职业卫生安全标准的制定。,岗位:ISO17799工程师,岗位要求:计算机或相关专业,本科或以上,英语四级,35周岁以下;具有较强的逻辑思维能力、沟通能力和组织协调能力,目标导向,较强的时间管理能力;有ISO17799国家注册审核员证书;职责描述:收集分析医院信息安全管理信息,提出合理的改善方案并督促执行;稽核医院的信息安全管理体系,加强医院信息安全管理;制定医院相关信息安全管理标准。,岗位:内审员,岗位要求:中专以上学历,30周岁以下;三
22、年以上系统内审工作经验;具有相应标准审核员证书;熟悉ISO检查程序;善于沟通,具较强组织、协调能力和文字表达能力;能熟练掌握办公软件。职责描述:稽核医院的ISO管理体系;参与制定医院ISO管理标准。,岗位:供应商管理,岗位要求:男性,35岁以下,本科以上学历,医药或相关专业;善于沟通,具较强组织、协调能力和文字表达能力;能熟练掌握办公软件;2年以上相关工作经验;熟悉ISO9000体系。职责描述:负责医院供应商管理;负责分供方供货质量水平的评价及质量改进跟踪;负责分供方质量考核、季度评级、年度评级;负责对采购质量进行监督;负责督导供应商建立和维持质保体系,持续提升质量保证能力;协助解决供应商的技术与质量问题。,岗位:品质文员,岗位要求:高中以上学历,30周岁以下;有ISO9000内审员资格证书;善于沟通,具较强的协调能力和文字表达能力;能熟练掌握办公软件;文字录入速度80字/分以上;三年以上相关工作经验。职责描述:办公室文件的收发、复印、传真等;部门档案与部门固定资产的管理;参加内部质量审核工作;,END,THANKS!,
