ISO27000認證信息風(fēng)險評估FAQ 深圳ISO27000認證為什么要進行信息風(fēng)險評估？ 　　通過風(fēng)險評估，你可以知道組織范圍內(nèi)存在哪些重要的信息資產(chǎn)、信息處理設(shè)施及其面臨的威脅，發(fā)現(xiàn)技術(shù)和管理上的脆弱點，綜合評估現(xiàn)有綜合資產(chǎn)的風(fēng)險狀況。 什么是信息風(fēng)險評估？ 　　風(fēng)險評估：對信息及信息載體、應(yīng)用環(huán)境等各方面風(fēng)險進行辨識和分析的過程，是對威脅、影響、脆弱性及三者發(fā)生的可能性的評估。它是確認風(fēng)險及其大小的過程。 　　風(fēng)險評估為管理層確定具體的策略，以及在“成本-效益”平衡基礎(chǔ)上做決策服務(wù)；風(fēng)險控制措施為組織實施信息的改進提供指導(dǎo)。 信息風(fēng)險評估的實施的主體是什么？ 　　風(fēng)險評估可分為自評估和檢查評估兩大類。自評估是由被評估信息系統(tǒng)的擁有者依靠自身的力量，對其自身的信息系統(tǒng)進行的風(fēng)險評估活動。檢查評估則通常是被評估信息系統(tǒng)的擁有者的上級主管或業(yè)務(wù)主管發(fā)起的，旨在依據(jù)已經(jīng)頒布的法規(guī)或標準進行的，具有強制意味的檢查活動，是通過行政手段加強信息的重要措施。 　　檢查評估應(yīng)該是具有一定資質(zhì)的風(fēng)險評估服務(wù)機構(gòu)實施的。自評估可以在信息風(fēng)險評估服務(wù)機構(gòu)的咨詢、服務(wù)、培訓(xùn)下，由系統(tǒng)所有者和評估服務(wù)機構(gòu)共同完成。 信息風(fēng)險評估的政策依據(jù)及標準依據(jù)？ 　　 信息化領(lǐng)導(dǎo)小組《關(guān)于加強信息保障工作的意見》(中辦發(fā)[2003]27號文件)將信息風(fēng)險評估作為一項重要的舉措。國信辦2005年5號文率先在北京、上海、黑龍江、云南等地，以及銀行、稅務(wù)、電力三個行業(yè)進行試點，根據(jù)試點經(jīng)驗，各省市建立信息風(fēng)險評估管理制度。 　　 國信辦標準草案《信息風(fēng)險評估指南》、《信息風(fēng)險管理指南》 　　 NIST SP800-30 《Risk Management Guide for Information Technology Systems》 信息風(fēng)險評估包括哪幾個主要實施階段？ 　　風(fēng)險評估可以分為資產(chǎn)識別、重要資產(chǎn)賦值、威脅分析、脆弱性識別、風(fēng)險計算、風(fēng)險控制措施提出等實施階段。 信息風(fēng)險評估的主要內(nèi)容及方法？ 　　信息風(fēng)險評估的實施主要有以下內(nèi)容： 　　 （1）資產(chǎn)識別 　　 （2）資產(chǎn)的屬性賦值及權(quán)重計算 　　 （3）威脅分析 　　 （4）薄弱點分析 　　 （5）威脅發(fā)生可能性及影響分析 　　 （6）風(fēng)險計算 　　 （7）風(fēng)險處理計劃制定 　　 風(fēng)險評估是一項綜合的系統(tǒng)工程，既涉及到技術(shù)，又涉及到管理。風(fēng)險評估過程中既需要采用技術(shù)的檢測手段，又需要進行綜合的歸納、總結(jié)和分析方法。 　　 風(fēng)險評估中資產(chǎn)價值的判斷、威脅判斷、事件造成影響的判斷標準都需要根據(jù)被評估實際情況，與被評估方共同確定。 信息風(fēng)險評估是否會影響系統(tǒng)的業(yè)務(wù)正常運行？ 　　除針對服務(wù)器的漏洞掃描、診斷及滲透性測試外，風(fēng)險評估不會對系統(tǒng)的業(yè)務(wù)運行造成影響。即使是滲透性測試，也僅僅是為了驗證漏洞存在給系統(tǒng)可能造成的后果（如文件竊取、控制修改關(guān)鍵程序/進程等），而不是以破壞系統(tǒng)為目的。評估人員在執(zhí)行滲透性測試前，會將詳細的滲透測試方案與用戶交流，包括滲透測試對象、測試強度、可能后果、提前備份等要求，并經(jīng)用戶認可后方能實施。 信息風(fēng)險評估的結(jié)果形式是什么？ 　　信息風(fēng)險評估在評估過程中將生成一系列的風(fēng)險評估操作記錄，包括：重要資產(chǎn)列表、脆弱性匯總表、資產(chǎn)威脅識別表、資產(chǎn)威脅風(fēng)險系數(shù)表、信息資產(chǎn)綜合風(fēng)險值表等， 將生成三份評估結(jié)果： 　　 脆弱性評估報告：以資產(chǎn)為核心，描述該資產(chǎn)存在的薄弱點。 　　 風(fēng)險評估報告：反映了風(fēng)險評估整個過程、方法、內(nèi)容及風(fēng)險結(jié)果。 　　 風(fēng)險處理計劃：針對識別的風(fēng)險，提出具體的控制目標和控制措施。 信息風(fēng)險評估的周期有多長　 　　信息風(fēng)險評估沒有確定的時間周期，一般兩年一次進行定期的評估，但當組織新增信息資產(chǎn)、系統(tǒng)發(fā)生重大變更、業(yè)務(wù)流程發(fā)生重大變化、發(fā)生嚴重信息事故等情況下應(yīng)進行風(fēng)險評估。 　　 此外，對系統(tǒng)規(guī)劃、擴建時也需要進行風(fēng)險評估，為需求、策略的制定提供依據(jù)。 信息風(fēng)險評估的收費標準　 　　根據(jù)評估對象的不同而不同。風(fēng)險評估的對象可以是：單個獨立的信息系統(tǒng)、支持組織業(yè)務(wù)的整體信息處理環(huán)境、整個組織范圍。信息風(fēng)險評估的費用主要依據(jù)以下幾個方面進行核算： 　　 網(wǎng)絡(luò)規(guī)模 　　 聯(lián)網(wǎng)單位或客戶端抽樣比例 　　 被評估系統(tǒng)的多少 　　 被評估信息設(shè)備的多少 　　 被評估的組織范圍大小

醫(yī)院ISO9000認證工作在襄陽鞭醫(yī)院推行，我司作為咨詢機構(gòu)全程參與，深切地感受到ISO9000認證對醫(yī)療服務(wù)質(zhì)量的改進，服務(wù)業(yè)績的上大有益處的。雖然醫(yī)院ISO9000認證管理還有一些不同的看法，但事實證明，還是適宜、有效的，甚至是必要的、迫切的，關(guān)鍵是你是否用心去做。 一、 基本做法 醫(yī)院首先成立了由院長任組長的貫標認證工作組，制定貫標認證計劃書。召開專題辦公會議，明確職責(zé)分工。召開全院實施ISO9000認證動員大會，發(fā)動全體員工人人要為醫(yī)院貫標認證做出貢獻。 整個貫標認證工作分準備、培訓(xùn)、文件梳理、體系文件編寫、體系試運行、內(nèi)審、評審、體系文件修訂、認證申請、認證10個階段進行。我們認為其中關(guān)鍵步驟應(yīng)是培訓(xùn)、文件梳理、體系文件編寫、內(nèi)審和評審。 (一) 標準培訓(xùn) ISO9000標準的培訓(xùn)是一個貫穿于質(zhì)量管理體系建立、實施和保持的全程、全員性課題，通過各種不同形式的培訓(xùn)，并盡量多地采取互動方式，不斷加強對標準條款的認識和理解，不明白、有疑義的就討論，統(tǒng)一思想，達成共識。使醫(yī)院的全體員工人人都成為ISO9000質(zhì)量管理體系的明白人，這是實施ISO9001：2000質(zhì)量認證的理論保證和根本前提。 醫(yī)院中層以上干部利用每周六下午中層會時間集中學(xué)習(xí)ISO9000標準，各科主任再將學(xué)習(xí)的內(nèi)容向科室員工講解，連續(xù)一個半月。在這期間先對ISO9000：2000、ISO9001：2000原文進行了通讀，再將ISO9001：2000標準轉(zhuǎn)化為醫(yī)院語言逐條解讀，讓全體員工理解質(zhì)量管理體系的術(shù)語、定義和ISO9001：2000條款的確切含義。繼后，每次院長辦公會、中層例會 小時先由管理者代表主講有關(guān)質(zhì)量管理體系的相關(guān)內(nèi)容。 另外，醫(yī)院還舉行了五期專題培訓(xùn)班，分別對要素分工與程序文件編寫、科室作業(yè)文件編寫、內(nèi)部審核等具體問題進行了培訓(xùn)。 (二) 文件梳理 我們認識到患者的要求，由于存在著醫(yī)患信息的不對稱性，幾乎都是隱含的，而這些隱含著的要求多在法律法規(guī)、部門規(guī)章、醫(yī)院規(guī)定和各項規(guī)章制度中作出了表述。所以，將法律法規(guī)、部門規(guī)章、醫(yī)院規(guī)定和各項規(guī)章制度進行詳細的識別、確認、歸類整理，這是建立醫(yī)院質(zhì)量管理體系的 步——識別要求。 我院文件梳理工作分三部分。一是對醫(yī)院所有下發(fā)的有關(guān)質(zhì)量管理類文件進行梳理和修訂，包括醫(yī)院管理規(guī)定和醫(yī)院基本規(guī)章制度，形成了《醫(yī)院管理通則和基本規(guī)章制度》。二是對醫(yī)院應(yīng)執(zhí)行的有關(guān)法律法規(guī)進行梳理，包括法、條例、部門規(guī)章，形成了《醫(yī)院質(zhì)量管理體系適用的法律法規(guī)匯編》。三是對醫(yī)院設(shè)置的各崗位的職責(zé)、權(quán)限進行梳理和修訂，形成了《醫(yī)院各崗位描述》。同時要求醫(yī)院全體員工每人立足自己的工作崗位進行文件梳理，履行什么職責(zé)、擁有哪些權(quán)限、遵守哪些法律法規(guī)、規(guī)章制度和規(guī)范。 (三) 體系文件編寫 醫(yī)院質(zhì)量管理體系三個層次文件按照要素分配，本著誰是責(zé)任主體誰編寫的原則，由自上而下的順序進行。院長回答了ISO9001：2000第五章全部內(nèi)容的編寫準則和第六章的指導(dǎo)原則；發(fā)布并解讀了醫(yī)院的質(zhì)量方針和目標，闡述自己對醫(yī)療服務(wù)質(zhì)量的管理理念，發(fā)表了《院長聲明》；確定了醫(yī)院的組織機構(gòu)，明確了醫(yī)院各崗位的職責(zé)和權(quán)限。管理者代表負責(zé)編寫《質(zhì)量手冊》，組織職能部門編寫《程序文件》?？剖易鳂I(yè)文件由科主任組織編寫，科室質(zhì)控員執(zhí)筆。文件編寫過程中為了行文格式的一致性，我們編輯了《程序文件模板》和《科室作業(yè)文件模板》。 整個文件體系經(jīng)過兩次內(nèi)審和管理評審結(jié)束后進行了 次修訂，終形成醫(yī)院質(zhì)量管理體系第三版 次修訂版。 (四) 內(nèi)審與管理評審 內(nèi)審和管理評審是醫(yī)院質(zhì)量管理體系有效運行的重要標志。只有有效的開展內(nèi)審和管理評審，才可能做到持續(xù)的質(zhì)量改進。 體系試運行期間，我們8名內(nèi)審員分四組按照《內(nèi)審程序》進行了兩次內(nèi)審和一次管理評審，對醫(yī)院質(zhì)量管理體系的充分性、適宜性、有效性及其業(yè)績進行了評價，提出了質(zhì)量管理體系改進方案。 二、 幾點體會 (一) 建立醫(yī)院質(zhì)量管理體系，首先應(yīng)思想觀念的束縛 我們醫(yī)院在建立質(zhì)量管理體系的過程中，思想觀念的束縛是普遍存在的。這些觀念的束縛從院長到一線員工都有不同程度的顯現(xiàn)，特別是貫標認證的早期。這些思想觀念的束縛，使我們走了很多彎路，費了很多周折。這些思想觀念的束縛不解除，就無法建立起真正意義上的質(zhì)量管理體系——使醫(yī)院改進質(zhì)量，業(yè)績，獲得成功。 1、主要表現(xiàn) 員工中主要表現(xiàn)有幾論： 一是不適宜論。認為太超前，不適宜于中國人的管理；只適宜工業(yè)，不適宜于醫(yī)院。 二是無用論：好多通過認證的單位，質(zhì)量也不見得多么好，我們搞認證也無用，只能是勞民傷財。 三是“投機取巧”論：認證，認證不就是為了那個“證”嗎？何必那么麻煩！把人家文件抄來，或者“拿幾個錢”買一個算了。 院長的思想束縛主要表現(xiàn)在對自己原有管理框架和思路的沖擊，院長在長期的管理實踐中積累了大量而豐富的經(jīng)驗，形成了自己的一套做法或模式，但貫徹ISO9000質(zhì)量管理體系標準，或多或少地需要改變這些框架和思路，有時是很痛苦的。 2、原因分析 出現(xiàn)這些觀念束縛情況不是我們的思想道德品質(zhì)的惡劣，而是有歷史的和現(xiàn)實的原因。 從歷史角度講，我們的文化底蘊仍然還是一個封建的主題，根本沒有經(jīng)過像西方經(jīng)濟社會那樣的動蕩洗禮，無論管理者還是被管理者在思想深處都存在著根深蒂固的自給自足自然經(jīng)濟的小農(nóng)意識和帝王將相的官級理念，工作中既得利益為重和投機取巧行為表現(xiàn)比較突出，職級管理中主要表現(xiàn)為超凡權(quán)力的運用，完全依靠對于領(lǐng)導(dǎo)的信仰和追隨。也十分注重造就自己的追隨族，時髦的話叫“粉絲”，嚴重者在醫(yī)院內(nèi)部制造“死黨”，超凡權(quán)力過于帶有感情色彩并且是非理性的，不是依據(jù)規(guī)章制度，而是依據(jù)神秘的啟示。順我者昌，逆我者亡，秋收算賬；隨意管理，因人設(shè)崗，朝令夕改，一朝君子一朝臣，一朝君子一朝政，時髦的話叫“各人有各人的辦法”。這個人治的環(huán)境從本質(zhì)上與ISO9000精神相悖。 從現(xiàn)實角度講，目前中國的ISO9000質(zhì)量管理事業(yè)有些的確讓人大迭眼鏡。在2000年我們就探討ISO9000管理問題，到過哈醫(yī)大二附院參觀學(xué)習(xí)，大家都知道時到今天的哈醫(yī)大二附院怎么了。當時要想做ISO9000認證需要幾十萬元甚至上百萬，到如今花五、六萬元就可以“賣一個認”，這叫人如何是好！ 3、解決問題 說句實在話，這些涉及社會深層次的問題，要解決并不是朝夕之間就能做到的，但我們不從現(xiàn)在做起也是不正確的。我們要有勇氣去探討，去實踐。 (二) “以顧客為關(guān)注焦點”是整個質(zhì)量管理體系的靈魂 1、患者 “以顧客為關(guān)注焦點”是ISO9000標準的靈魂，是判定醫(yī)院質(zhì)量管理體系是否充分、適宜、有效的一項金標準。我們建立起來的醫(yī)療服務(wù)實現(xiàn)過程和那些程序和流程是否合適，首先要看是方便了自己，還是滿足了患者。這就是我們一直強調(diào)的“一切以患者方便不方便，高興不高興，滿意不滿意”為判定標準。 說這些好像令人嗤笑，大家都知道今天我國的醫(yī)療機構(gòu)怎么了？在醫(yī)療信息不對稱的前提下，在當今的大環(huán)境中，以“患者為關(guān)注焦點”，用衛(wèi)生部的話說叫“以病人為中心”，要想做到，這“良心”真是酸、甜、苦、辣、咸五味俱全。醫(yī)囑中的藥、手術(shù)中的器械、給患者作的心電監(jiān)護、應(yīng)用的靜脈輸液泵等等，有些體現(xiàn)了“以病人為中心”，有些呢？ 2、內(nèi)部顧客 內(nèi)部顧客意識的建立也十分重要，事事站在“顧客”的角度考慮問題，利用“換位思考”的方法處理問題，充分了解和理解“顧客”的需求，滿足這些需求，讓自己的“顧客”滿意，這就是質(zhì)量。 然而在當今的體制和機制下，醫(yī)院內(nèi)部復(fù)雜的人際關(guān)系，攪如亂麻，權(quán)力、本位、人脈圈子、幫派體系、長官眼色實在是太復(fù)雜了，一件往往很簡單的事做起來卻很難。