ISO27000认证信息风险评估FAQ 深圳ISO27000认证为什么要进行信息风险评估？ 　　通过风险评估，你可以知道组织范围内存在哪些重要的信息资产、信息处理设施及其面临的威胁，发现技术和管理上的脆弱点，综合评估现有综合资产的风险状况。 什么是信息风险评估？ 　　风险评估：对信息及信息载体、应用环境等各方面风险进行辨识和分析的过程，是对威胁、影响、脆弱性及三者发生的可能性的评估。它是确认风险及其大小的过程。 　　风险评估为管理层确定具体的策略，以及在“成本-效益”平衡基础上做决策服务；风险控制措施为组织实施信息的改进提供指导。 信息风险评估的实施的主体是什么？ 　　风险评估可分为自评估和检查评估两大类。自评估是由被评估信息系统的拥有者依靠自身的力量，对其自身的信息系统进行的风险评估活动。检查评估则通常是被评估信息系统的拥有者的上级主管或业务主管发起的，旨在依据已经颁布的法规或标准进行的，具有强制意味的检查活动，是通过行政手段加强信息的重要措施。 　　检查评估应该是具有一定资质的风险评估服务机构实施的。自评估可以在信息风险评估服务机构的咨询、服务、培训下，由系统所有者和评估服务机构共同完成。 信息风险评估的政策依据及标准依据？ 　　 信息化领导小组《关于加强信息保障工作的意见》(中办发[2003]27号文件)将信息风险评估作为一项重要的举措。国信办2005年5号文率先在北京、上海、黑龙江、云南等地，以及银行、税务、电力三个行业进行试点，根据试点经验，各省市建立信息风险评估管理制度。 　　 国信办标准草案《信息风险评估指南》、《信息风险管理指南》 　　 NIST SP800-30 《Risk Management Guide for Information Technology Systems》 信息风险评估包括哪几个主要实施阶段？ 　　风险评估可以分为资产识别、重要资产赋值、威胁分析、脆弱性识别、风险计算、风险控制措施提出等实施阶段。 信息风险评估的主要内容及方法？ 　　信息风险评估的实施主要有以下内容： 　　 （1）资产识别 　　 （2）资产的属性赋值及权重计算 　　 （3）威胁分析 　　 （4）薄弱点分析 　　 （5）威胁发生可能性及影响分析 　　 （6）风险计算 　　 （7）风险处理计划制定 　　 风险评估是一项综合的系统工程，既涉及到技术，又涉及到管理。风险评估过程中既需要采用技术的检测手段，又需要进行综合的归纳、总结和分析方法。 　　 风险评估中资产价值的判断、威胁判断、事件造成影响的判断标准都需要根据被评估实际情况，与被评估方共同确定。 信息风险评估是否会影响系统的业务正常运行？ 　　除针对服务器的漏洞扫描、诊断及渗透性测试外，风险评估不会对系统的业务运行造成影响。即使是渗透性测试，也仅仅是为了验证漏洞存在给系统可能造成的后果（如文件窃取、控制修改关键程序/进程等），而不是以破坏系统为目的。评估人员在执行渗透性测试前，会将详细的渗透测试方案与用户交流，包括渗透测试对象、测试强度、可能后果、提前备份等要求，并经用户认可后方能实施。 信息风险评估的结果形式是什么？ 　　信息风险评估在评估过程中将生成一系列的风险评估操作记录，包括：重要资产列表、脆弱性汇总表、资产威胁识别表、资产威胁风险系数表、信息资产综合风险值表等， 将生成三份评估结果： 　　 脆弱性评估报告：以资产为核心，描述该资产存在的薄弱点。 　　 风险评估报告：反映了风险评估整个过程、方法、内容及风险结果。 　　 风险处理计划：针对识别的风险，提出具体的控制目标和控制措施。 信息风险评估的周期有多长　 　　信息风险评估没有确定的时间周期，一般两年一次进行定期的评估，但当组织新增信息资产、系统发生重大变更、业务流程发生重大变化、发生严重信息事故等情况下应进行风险评估。 　　 此外，对系统规划、扩建时也需要进行风险评估，为需求、策略的制定提供依据。 信息风险评估的收费标准　 　　根据评估对象的不同而不同。风险评估的对象可以是：单个独立的信息系统、支持组织业务的整体信息处理环境、整个组织范围。信息风险评估的费用主要依据以下几个方面进行核算： 　　 网络规模 　　 联网单位或客户端抽样比例 　　 被评估系统的多少 　　 被评估信息设备的多少 　　 被评估的组织范围大小

医院ISO9000认证工作在襄阳鞭医院推行，我司作为咨询机构全程参与，深切地感受到ISO9000认证对医疗服务质量的改进，服务业绩的上大有益处的。虽然医院ISO9000认证管理还有一些不同的看法，但事实证明，还是适宜、有效的，甚至是必要的、迫切的，关键是你是否用心去做。 一、 基本做法 医院首先成立了由院长任组长的贯标认证工作组，制定贯标认证计划书。召开专题办公会议，明确职责分工。召开全院实施ISO9000认证动员大会，发动全体员工人人要为医院贯标认证做出贡献。 整个贯标认证工作分准备、培训、文件梳理、体系文件编写、体系试运行、内审、评审、体系文件修订、认证申请、认证10个阶段进行。我们认为其中关键步骤应是培训、文件梳理、体系文件编写、内审和评审。 (一) 标准培训 ISO9000标准的培训是一个贯穿于质量管理体系建立、实施和保持的全程、全员性课题，通过各种不同形式的培训，并尽量多地采取互动方式，不断加强对标准条款的认识和理解，不明白、有疑义的就讨论，统一思想，达成共识。使医院的全体员工人人都成为ISO9000质量管理体系的明白人，这是实施ISO9001：2000质量认证的理论保证和根本前提。 医院中层以上干部利用每周六下午中层会时间集中学习ISO9000标准，各科主任再将学习的内容向科室员工讲解，连续一个半月。在这期间先对ISO9000：2000、ISO9001：2000原文进行了通读，再将ISO9001：2000标准转化为医院语言逐条解读，让全体员工理解质量管理体系的术语、定义和ISO9001：2000条款的确切含义。继后，每次院长办公会、中层例会 小时先由管理者代表主讲有关质量管理体系的相关内容。 另外，医院还举行了五期专题培训班，分别对要素分工与程序文件编写、科室作业文件编写、内部审核等具体问题进行了培训。 (二) 文件梳理 我们认识到患者的要求，由于存在着医患信息的不对称性，几乎都是隐含的，而这些隐含着的要求多在法律法规、部门规章、医院规定和各项规章制度中作出了表述。所以，将法律法规、部门规章、医院规定和各项规章制度进行详细的识别、确认、归类整理，这是建立医院质量管理体系的 步——识别要求。 我院文件梳理工作分三部分。一是对医院所有下发的有关质量管理类文件进行梳理和修订，包括医院管理规定和医院基本规章制度，形成了《医院管理通则和基本规章制度》。二是对医院应执行的有关法律法规进行梳理，包括法、条例、部门规章，形成了《医院质量管理体系适用的法律法规汇编》。三是对医院设置的各岗位的职责、权限进行梳理和修订，形成了《医院各岗位描述》。同时要求医院全体员工每人立足自己的工作岗位进行文件梳理，履行什么职责、拥有哪些权限、遵守哪些法律法规、规章制度和规范。 (三) 体系文件编写 医院质量管理体系三个层次文件按照要素分配，本着谁是责任主体谁编写的原则，由自上而下的顺序进行。院长回答了ISO9001：2000第五章全部内容的编写准则和第六章的指导原则；发布并解读了医院的质量方针和目标，阐述自己对医疗服务质量的管理理念，发表了《院长声明》；确定了医院的组织机构，明确了医院各岗位的职责和权限。管理者代表负责编写《质量手册》，组织职能部门编写《程序文件》。科室作业文件由科主任组织编写，科室质控员执笔。文件编写过程中为了行文格式的一致性，我们编辑了《程序文件模板》和《科室作业文件模板》。 整个文件体系经过两次内审和管理评审结束后进行了 次修订，终形成医院质量管理体系第三版 次修订版。 (四) 内审与管理评审 内审和管理评审是医院质量管理体系有效运行的重要标志。只有有效的开展内审和管理评审，才可能做到持续的质量改进。 体系试运行期间，我们8名内审员分四组按照《内审程序》进行了两次内审和一次管理评审，对医院质量管理体系的充分性、适宜性、有效性及其业绩进行了评价，提出了质量管理体系改进方案。 二、 几点体会 (一) 建立医院质量管理体系，首先应思想观念的束缚 我们医院在建立质量管理体系的过程中，思想观念的束缚是普遍存在的。这些观念的束缚从院长到一线员工都有不同程度的显现，特别是贯标认证的早期。这些思想观念的束缚，使我们走了很多弯路，费了很多周折。这些思想观念的束缚不解除，就无法建立起真正意义上的质量管理体系——使医院改进质量，业绩，获得成功。 1、主要表现 员工中主要表现有几论： 一是不适宜论。认为太超前，不适宜于中国人的管理；只适宜工业，不适宜于医院。 二是无用论：好多通过认证的单位，质量也不见得多么好，我们搞认证也无用，只能是劳民伤财。 三是“投机取巧”论：认证，认证不就是为了那个“证”吗？何必那么麻烦！把人家文件抄来，或者“拿几个钱”买一个算了。 院长的思想束缚主要表现在对自己原有管理框架和思路的冲击，院长在长期的管理实践中积累了大量而丰富的经验，形成了自己的一套做法或模式，但贯彻ISO9000质量管理体系标准，或多或少地需要改变这些框架和思路，有时是很痛苦的。 2、原因分析 出现这些观念束缚情况不是我们的思想道德品质的恶劣，而是有历史的和现实的原因。 从历史角度讲，我们的文化底蕴仍然还是一个封建的主题，根本没有经过像西方经济社会那样的动荡洗礼，无论管理者还是被管理者在思想深处都存在着根深蒂固的自给自足自然经济的小农意识和帝王将相的官级理念，工作中既得利益为重和投机取巧行为表现比较突出，职级管理中主要表现为超凡权力的运用，完全依靠对于领导的信仰和追随。也十分注重造就自己的追随族，时髦的话叫“粉丝”，严重者在医院内部制造“死党”，超凡权力过于带有感情色彩并且是非理性的，不是依据规章制度，而是依据神秘的启示。顺我者昌，逆我者亡，秋收算账；随意管理，因人设岗，朝令夕改，一朝君子一朝臣，一朝君子一朝政，时髦的话叫“各人有各人的办法”。这个人治的环境从本质上与ISO9000精神相悖。 从现实角度讲，目前中国的ISO9000质量管理事业有些的确让人大迭眼镜。在2000年我们就探讨ISO9000管理问题，到过哈医大二附院参观学习，大家都知道时到今天的哈医大二附院怎么了。当时要想做ISO9000认证需要几十万元甚至上百万，到如今花五、六万元就可以“卖一个认”，这叫人如何是好！ 3、解决问题 说句实在话，这些涉及社会深层次的问题，要解决并不是朝夕之间就能做到的，但我们不从现在做起也是不正确的。我们要有勇气去探讨，去实践。 (二) “以顾客为关注焦点”是整个质量管理体系的灵魂 1、患者 “以顾客为关注焦点”是ISO9000标准的灵魂，是判定医院质量管理体系是否充分、适宜、有效的一项金标准。我们建立起来的医疗服务实现过程和那些程序和流程是否合适，首先要看是方便了自己，还是满足了患者。这就是我们一直强调的“一切以患者方便不方便，高兴不高兴，满意不满意”为判定标准。 说这些好像令人嗤笑，大家都知道今天我国的医疗机构怎么了？在医疗信息不对称的前提下，在当今的大环境中，以“患者为关注焦点”，用卫生部的话说叫“以病人为中心”，要想做到，这“良心”真是酸、甜、苦、辣、咸五味俱全。医嘱中的药、手术中的器械、给患者作的心电监护、应用的静脉输液泵等等，有些体现了“以病人为中心”，有些呢？ 2、内部顾客 内部顾客意识的建立也十分重要，事事站在“顾客”的角度考虑问题，利用“换位思考”的方法处理问题，充分了解和理解“顾客”的需求，满足这些需求，让自己的“顾客”满意，这就是质量。 然而在当今的体制和机制下，医院内部复杂的人际关系，搅如乱麻，权力、本位、人脉圈子、帮派体系、长官眼色实在是太复杂了，一件往往很简单的事做起来却很难。