绿色工厂评价认证要求 ISO14001认证

医院ISO9000认证直接是目的是如何提高医疗质量，减少或者杜绝医疗事故的发生，提高综合竞争力？我国一些医疗机构率先引进，尤其是一些民营医院以及有着较强经营意识的国有医院受益更大。其实，医院ISO9000认证的企业，有些已经取得 ISO9001 的医疗机构，仍然“穿新鞋走老路”的现象也造成了一定的负面影响 ┅┅ 以上种种，在一定程度上严重制约了一种先进实用的质量管理思路在医疗机构的广泛引进。 3.ISO9000 族的质量观——经营性的质量观 医疗服务是医疗机构的主要产品。医院的顾客主要指 接受医院提供的医疗服务的组织或个人，以患者为主体，另外包括人群、保险公司、定点医疗合同单位等。医疗服务的及时性、有效性、性、文明性等特性满足顾客和相关法律法规的要求的程度决定了医疗服务的质量。 医疗机构传统的质量观，定义于自身工作的优良程度，如治愈率、好转率、抢救成功率等；而 ISO9000 族的质量观不局限于此，在追求自身医疗工作优良的基础上，更强调满足顾客需求、法律法规需求的程度。 ISO9001:2008 总则中明确阐述：采取质量管理体系应当是组织的一项战略性决策。 ┅┅ 统一质量管理体系的结构或文件不是本标准的目的 ┅┅ 旨在增强顾客的满意。 依据 ISO9001:2008 标准建立起来的质量管理体系，是打开围墙，将医院放在社会中，放在市场上，以是否识别并持续满足患者等顾客及相关法律法规的需求的程度，做为质量好坏的评判标标准。 不同管理模式的侧重点有所不同，实应相辅相成，共图提高医疗机构的核心竞争力之大业。 4.从识别、满足顾客的需求到达到顾客满意作为目标 “以顾客为关注焦点”，居 ISO9000 族 八项基本原则的首位。 ISO9001 ： 2008 标准明确规定：“组织依存于顾客。因此组织应当理解顾客当前和未来的需求，满足顾客的要求并争取超越顾客的要求。” ISO9001 ： 2008 使得“以患者为中心”不再是一句空洞口号，而成为一个可操作、可控制的程序，成为发自内心并身体力行的一项制度。 在标准中，对如何识别顾客明示的、潜在的需求，如何将这些需求转换成组织的质量方针、质量目标、程序文件、规章制度，如何对顾客满意程度进行监视和测量，如何完善管理、持续满足顾客需求均提出了明确的思路和严谨的方法。 ISO9000 族，把主动识别并实现顾客的需求视为组织生存发展的生命线，把识别了一个不满意当作识别了一片市场，这与传统的满意度的调查有着很大的不同。二者都关注顾客满意度的问题，但传统的满意度的调查往往关注完成规定的指标，是被动地满意度的计算；而 ISO9000 族在满意度测评的基础上，更关注不满意的 / 不十分满意的信息，希望由此获得占有更大市场份额的契机，在切实满足顾客需求的过程中获得双赢的结果。二者对分子分母的界定、调查重点 / 角度的设置、调查 / 分析方法的取舍都有着很大的不同，其效果也截然不同。 5.过程能力的控制——真正意义上的为主 ISO9001 ： 2008 ，要求确认“仅在产品使用或服务己交付之后问题才显现的过程”，并特别强调“确认应证实这些过程实现所策划的结果的能力”。 对于医院来说，诊疗服务就是 “ 需确认的过程 ” 。诊疗服务的实现与提供是同时的，不像硬件产品的生产，出厂前可先测量一下，不合格不准出厂。医疗服务的实现与交付是同时的，如果存在问题，也是在服务交付之后才能显现出来，且其面临的是人的生命与，因而诊疗服务过程是必须识别的过程，须严加控制。其中急诊、疑难、危重病例诊治、手术、输血、新技术引进、消毒灭菌等也是关键过程，更需严加控制。 标准明确指出：“确认应证实这些过程实现所策划的结果的能力。”确认过程，更需确认过程能力。也就是说， 在医疗服务过程尤其是关键的医疗服务提供之前，应确认过程能力是否能满足医疗过程的要求 。 过程能力的控制表现在人、机、料、法、环、测、记录上。 医务人员是否合法的执业人员，是否能胜任要开展的工作；医疗设备（含抢救设备）是否处于完好的功能状态，如果出现故障是否有应急措施；药品、血液、氧气、各种医疗用品等是否合格；相关法律法规是否收集到并为执行者所熟悉，相关的《临床诊疗常规》、《技术操作规程》是否制定 / 获得并为执行者所掌握，首诊负责制、三级查房制、疑难危重会诊与讨论制、术前讨论制、死亡病例讨论制、三查七对制、新技术 / 新业务的准入制等是否得到有效实施；环境中的医院感染是否受控；相应的院科两级质控是否建立；应建立的相应记录是否得到规定并满足必要时举证的要求，等等过程能力均应该进行 事前 的评价。 标准要求制订关键过程能力的评价与批准的准则并得到实施。具备了相应的过程能力，才能真正保证医疗。 例如以 质量著称的国内某医院的技术准入制度，就是事前的过程能力控制的典型代表。以 腰椎穿刺技术为例：某医师要开展此技术时，第 1-3 例，只能做助手；第 4-6 例，可以做术者，但由上级医师当助手；第 7-9 例，做术者，由别的医师当助手。 9 例手术后，主任带着各级医师签字的 9 份病例交医务处审核， 再交资格评定委员会批准后，此医师方可独立从事腰穿技术。技术能力， 3 年重新评定一次。 控制的内容、方法应紧密结合行业的特点、医院的实际，但事前的过程能力的控制是必须的。标准对此项工作的要求、方法、内容均作出了明确的规定，可将医疗、为主落到实处。 6. 持续改进机制 6.1 监视分析和改进 不增值的管理是无效的。质量管理体系是否增值？是否实现了质量目标，达到符合法律法规和持续的顾客的满意？标准为我们提供了监视、测量和改进的思路和方法。 ISO9001 ： 2008 专门有一重要模块提供对质量管理体系进行监视、测量和改进的思路、方法。包括顾客满意、内部审核、过程的监视和测量、产品的监视和测量、不合格品控制、数据分析、持续改进诸方面。 6.2 建立三级监督机制 6.2.1 日常监控 —— 一级监督 标准对产品（医疗服务）提供与管理部门的监督作出了明确要求，既包括过程能力控制，又包括产品（医疗服务）的放行。据此，可将医疗机构的院科两级质控规范起来。建立并保持相应的程序文件，将质控工作的应有地位、质控人员职责权限以及检查表的编制，如质控点、标准、方法、权重、有效性等统一规范起来。 6.2.2内部审核 —— 二级监督 标准规定，每年一次（或几次），由经过培训的内审员，根据 管理者的授权，独立地对本院的质量管理体系与标准的符合性进行的内部审核，随时发现并改进不足之处。起到主动地检查本院质量管理体系运行的有效性并持续改进的作用。 6.2.3 管理评审 —— 三级监督。 管理者每年一次（或几次）从宏观对质量管理体系的适宜性、充分性、有效性进行评价。即评价质量管理体系与内外环境的适宜性、对质量方针、目标、运行控制策划的充分性、体系运有效性，同时识别需改进的机会，并制定相应的改进措施。使得经营性的质量观得以真正实现，确保医院的质量管理体系持续满足顾客的需求、法律法规的要求，确保双赢。在以下情况下可增加管理评审的频次： ? 颁布的适用法律、法规及上级卫生主管部门政策、法规、标准发生变化时； ? 医疗服务市场、顾客的要求和期望发生重大变化时； ? 本院的组织结构、产品范围及资源配置发生重大变化时； ? 发生严重医疗事故或患者有重大投诉时； ? 院领导认为有必要时。 6.3 防患于未然。纠正不合格、消灭产生不合格 / 可能不合格原因的机制 与传统管理不同， ISO9001 明确提出了三个定义： 纠正：为已发现的不合格所采取的措施。 纠正措施：为已发现的不合格或其他不期望情况的 原因 所采取的措施。 措施：为潜在不合格或其他潜在不期望情况的 原因 所采取的措施。 医疗差错、事故、不合格的医疗服务发生后 / 可能发生，对问题本身要纠正，同时要分析产生 / 可能产生的不合格的原因，制定纠正 / 措施，消灭产生 / 可能产生不合格的原因，举一反三，使类似的问题不再发生 / 不发生。 着眼于从根本上解决问题以及识别变化的趋势防患于未然。 6.4 从“管理了”上升到“控制住”。验证改进的有效性 标准提出了一个“验证”的概念。 验证：通过提供客观证据对规定要求已得到满足的认定。 我们通过监视和测量发现了发生 / 可能发生的不合格，制定了纠正 / 纠正措施 / 措施，管理并未结束。我们还要开展验证工作，搜集证据，看看不合格是否已纠正？类似问题没有再发生？类似问题没有发生？如果没有做到还要重新分析原因并采取相应措施，直至问题得到解决，真正达到持续改进的效果为止。把传统意义上的“管理了”，上升到“控制住”。

　ISO27001认证体系建设分为四个阶段：实施风险评估、规划体系建设方案、建立信息管理 体系、体系运行及改进。也符合信息管理循环PDCA(Plan-Do-Check-Action)模型及ISO27001要求， 即有效地保护企业信息系统的，确保信息的持续发展。 　　1、确立范围 　　首先是确立项目范围，从机构层次及系统层次两个维度进行范围的划分。从机构层次上，可以考虑 内部机构：需要覆盖公司的各个部门，其包括总部、事业部、制造本部、技术本部等;外部机构：则包括 公司信息系统相连的外部机构，包括供应商、中间业务合作伙伴、及其他合作伙伴等。 　　从系统层次上，可按照物理环境：即支撑信息系统的场所、所处的周边环境以及场所内保障计算机 系统正常运行的设施。包括机房环境、门禁、监控等;网络系统：构成信息系统网络传输环境的线路介质 ，设备和软件;服务器平台系统：支撑所有信息系统的服务器、网络设备、客户机及其操作系统、数据库 、中间件和Web系统等软件平台系统;应用系统：支撑业务、办公和管理应用的应用系统;数据：整个信息 系统中传输以及存储的数据;管理：包括策略、规章制度、人员组织、开发、项目管理 和系统管理人员在日常运维过程中的合规、审计等。 　　2、风险评估 　　企业信息是指保障企业业务系统不被非法访问、利用和篡改，为企业员工提供、可信的服 务，保证信息系统的可用性、完整性和保密性。 　　本次进行的评估，主要包括两方面的内容： 　　2.1、企业管理类的评估 　　通过企业的控制现状调查、访谈、文档研读和ISO27001的 实践比对，以及在行业的经验上 进行“差距分析”，检查企业在控制层面上存在的弱点，从而为措施的选择提供依据。 　　评估内容包括ISO27001所涵盖的与信息管理体系相关的11个方面，包括信息策略、组 织、资产分类与控制、人员、物理和环境、通信和操作管理、访问控制、系统开发与维护、安 全事件管理、业务连续性管理、符合性。 　　2.2、企业技术类评估 　　基于资产等级的分类，通过对信息设备进行的扫描、设备的配置，检查分析现有网络 设备、服务器系统、终端、网络架构的现状和存在的弱点，为加固提供依据。 　　针对企业具有代表性的关键应用进行评估。关键应用的评估方式采用渗透测试的方法，在应用 评估中将对应用系统的威胁、弱点进行识别，分析其和应用系统的目标之间的差距，为后期改造提 供依据。 　　提到评估，一定要有方法论。我们以ISO27001为核心，并借鉴国际常用的几种评估模型的优点 ，同时结合企业自身的特点，建立风险评估模型： 　　在风险评估模型中，主要包含信息资产、弱点、威胁和风险四个要素。每个要素有各自的属性，信 息资产的属性是资产价值，弱点的属性是弱点在现有控制措施的保护下，被威胁利用的可能性以及被威 胁利用后对资产带来影响的严重程度，威胁的属性是威胁发生的可能性及其危害的严重程度，风险的属 性是风险级别的高低。风险评估采用定性的风险评估方法，通过分级别的方式进行赋值。 　　3、规划体系建设方案 　　企业信息问题根源分布在技术、人员和管理等多个层面，须统一规划并建立企业信息体系 ，并终落实到管理措施和技术措施，才能确保信息。 　　规划体系建设方案是在风险评估的基础上，对企业中存在的风险提出建议，增强系统的安 全性和抗攻击性。 　　在未来1-2年内通过信息体系制的建立与实施，建立组织，技术上进行审计、内外网隔 离的改造、产品的部署，实现以流程为导向的转型。在未来的 3-5 年内，通过完善的信息体系 和相应的物理环境改造和业务连续性项目的建设，将企业建设成为一个注重管理，为主，防治结合 的先进型企业。 　　4、企业信息体系建设 　　企业信息体系建立在信息模型与企业信息化的基础上，建立信息管理体系核心可以更 好的发挥六方面的能力：即预警(Warn)、保护(Protect)、检测(Detect)、反应(Response)、恢复 (Recover)和反击(Counter-attack)，体系应该兼顾攘外和安内的功能。 　　体系的建设一是涉及管理制度建设完善;二是涉及到信息技术。首先，针对管理制 度涉及的主要内容包括企业信息系统的总体方针、技术策略和管理策略等。总体方针 涉及组织机构、管理制度、人员管理、运行维护等方面的制度。技术策略涉 及信息域的划分、业务应用的等级、保护思路、说以及进一步的统一管理、系统分级、网络互 联、容灾备份、集中监控等方面的要求。 　　其次，信息技术按其所在的信息系统层次可划分为物理技术、网络技术、系统技 术、应用技术，以及基础设施平台;同时按照技术所提供的功能又可划分为保护类、检 测跟踪类和响应恢复类三大类技术。结合主流的技术以及未来信息系统发展的要求，规划信息 技术包括：