时间:2023-09-13 17:13:54
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇安全风险评估与管理制度,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】 急诊科护理; 风险评估; 管理对策
急诊科护理风险是指急诊科护士在护理工作中及患者在接受护理过程中有可能发生的一切不安全事件[1]。护理风险是一种客观存在的职业风险,不可能完全避免。护理风险能造成对患者身心伤害、导致医院遭受经济损失或影响医院正常的工作秩序和声誉。造成护理风险的主要因素有护士因素、患者因素、管理因素、医师因素等。如何尽早发现和有效处理各种护理风险隐患,减少护患纠纷和护理差错事故的发生,确保护理安全,已成为护理管理者面临的重要课题。急诊科是风险系数极高的科室之一,为有效规避护理风险,降低医疗纠纷,保证患者安全,近年来,笔者所在科室采用自制的急诊科护理风险隐患评估表强化急诊科护理风险管理,效果较好,现报告如下。
1 资料与方法
1.1 临床资料 2010年1月~12月,本院急诊室共有护士10名,年龄20~45岁。主管护师1名,护师2名,护士7名;大专学历6名,中专学历4名。
1.2 方法 根据笔者所在科室实际情况,自制急诊科护理风险隐患评估表,评估表评估项目共包括16项护理风险因素内容,包括:(1)制度不健全/执行不严格;(2)岗位责任心不强/脱岗、惰岗;(3)操作规程不完善/执行不严格;(4)知识缺乏/经验不足;(5)无菌操作及消毒隔离不严格;(6)观察、处置不及时/延误救治;(7)查对不严格/输血、给药错误;(8)手术患者或部位识别错误;(9)告知不当/护患沟通不良;(10)一次性用品或药源性不安全;(11)仪器设备或服务设施不安全;(12)院内跌倒、烫伤、压疮等;(13)护理记录不当,医护记录不一致;(14)人力不足或配置不当;(15)带教不力;(16)其他。对上述每一项不安全因素内容进行评估,以确定患者是否存在本项护理风险,可能发生护理风险的主要问题及后果、发生护理风险原因分析以及消除护理风险的整改措施及管理对策,最后对评估效果进行评价。责任护士每天对患者评估1次,根据评分调整护理干预方法。统计2010年、2011年急诊科发生护理差错、事故、意外、纠纷例数,并与实施护理风险评估前的2009年急诊科发生护理差错、事故、意外、纠纷例数进行比较。
1.3 统计学处理 选用SPSS 17.0进行统计学分析,P
2 结果
实施护理风险评估后,与未实施护理风险评估2009年比较,急诊科2010年发生护理差错事故情况明显下降,差异有统计学意义(P
3 讨论
3.1 常见护理风险 护理工作是一种高风险的工作,而急诊科急救因其突发性,是医院救治过程中非常容易出现问题的一个阶段[2],如护士技术不熟练或动作慢、操作失误或言语不当、出诊记录缺陷或漏记,在急救转运的途中没有向患者或家属交代清楚途中可能出现的各种危险,对急救器材操作不熟悉,护士责任心不强,未严格按操作常规和制度执行医嘱,皮试或注射前未询问患者是否有无过敏史,当医嘱不详时未明确医嘱等直接影响了抢救的质量和速度,必须引起高度重视。
研究结果显示,本院急诊科在实施护理险评估后,与未实施护理风险评估的2009年比较,2010年与2011发生护理差错事故情况分别下降至2009年的15.38%和7.69%,说明进行护理分险评估,确定患者是否存在某项护理风险,可能发主护理风险的主要问题及后果、发生护理风险原因分析以及消除护理风险的整改措施及管理对策,是护理风险管理的基础。急诊科风险管理的重点是加强急诊护理风险管理,提高急诊科护理人员的风险意识和应对能力。
3.2 护理风险管理对策
3.2.1 完善医院管理制度,牢固树立“以人为本,以患者为中心”的思想,不断转变服务观念,加强急救业务培训,加强护理管理,建立护理风险管理组织,制定完善风险管理制度。进行急诊专业思想、医德医风教育,规范抢救物品、药品、仪器的应用与管理,增强急诊护士法律意识,加强护理记录单的管理,规范护理文件书写,积极与患者及家属进行有效的沟通。在治疗和护理过程中充分体现爱心和真诚,从而建立良好的护患关系,提高风险防范意识,建立护患告知制度,强化护患共同承担风险意识[3]。
3.2.2 建立预防急诊科护理风险干预流程 对急诊科护士进行相关知识的培训,使每位护士都能熟练地根据急诊科护理风险隐患评估表准确评估患者护理风险。对新入院患者由专职的护士进行评估筛查,对筛查出的有护理风险患者实施常规护理干预和特殊护理干预,如对有褥疮高风险患者使用气垫床、气圈、局部易压部位使用褥疮贴等[4]。对有跌倒高风险患者在床头挂“小心跌倒”的安全警示牌。提醒各级工作人员、患者及家属在患者活动时给予协助和警告,以防跌倒[5]。
风险管理的重点是加强护理风险管理,提高护理人员的风险意识和应对能力[6,7]。通过实施急诊科护理的风险评估,使急诊护理安全管理制度化、规范化、标准化,减少了医疗差错、事故与纠纷,切实为患者提供放心、安全、满意的全程优质服务,提高了患者满意率。
参 考 文 献
[1] 缪薇菁.护理风险管理的研究进展[J].中华护理杂志,2007,42(9):830.
[2] 李小平.风险管理在急诊护理安全工作中的实施及效果[J].护理研究,2007,21(12):3367.
[3] 何元风.护理管理中实施风险管理的效果与分析[J].现代护理,2007,13(1):83-84.
[4] 杨春莉,杜金莲.骨科患者压疮风险评估与护理干预[J],2011,32(6):1016.
[5] 李新辉,陈丽丽.老年病房跌倒危险因素及预防研究进展[J].全科护理,2008,6(11A):2829-2831.
[6] 申萍,孙琳,朱剑萍.护理风险管理的实施成效[J].护理学杂志,2006,2l(10):85-87.
[关键词]电信;内部;控制;设计;执行
[作者简介]蒙莹,中国电信玉林分公司财务部总经理,广西 玉林 537000
[中图分类号]F626 [文献标识码]A [文章编号]1672-2728(2014)01-0044-04
现代企业管理中内部控制制度已成为不可或缺的重要组成,是防范经营风险、提升经营管理效率的必然要求,完善的企业内部控制已经成为企业增强竞争力、促进发展的重要保证。庞大的中国电信组织运作体系,也要求必须加强内部控制设计,实现企业管理高效运作,加快企业发展。
一、加强电信企业内部控制的基本要素
(一)控制环境是企业内控的基本要求
控制环境是企业的人以及它所处的环境,它是任何企业的核心,是推动企业的引擎,也是其他要素发挥作用的基础。同时,控制环境也是一种氛围,它影响企业内部各成员实施控制的自觉性,主要通过适当的企业文化、行为准则和道德规范等引领员工确立并坚守正确的价值取向。
(二)风险评估是企业实行防控的基础
风险评估程序要考虑外部和内部影响目标实现的因素。中国电信风险梳理的依据来源于《中央企业全面风险管理指引》,该指引统一各类风险的名称和颗粒度,中国电信风险管理协调小组以此为依据。梳理出中国电信风险分类表,确定了战略风险、财务风险、市场风险、运营风险和法律风险等5大类风险和22类二级风险;按照风险发生的可能性和影响程度建立了二维风险坐标图。并在坐标图上划定了风险承受水平;制定了具体的风险评估标准(表1),按照风险发生的可能性及影响程度,采用定性与定量相结合的方法,使用风险图谱对识别的风险进行了分析和排序(图1);最后,根据风险初步评估的结果,考虑应对风险措施,对风险进行二次评估(剩余风险评估),并将剩余风险超出风险承受水平的风险确认为重大风险。
针对评估中辨识出的主要风险,风险管理工作协调小组要提出对应的防范控制措施。
(三)执行控制活动是实施企业内控的具体体现
控制活动是对风险评估结果所指定防范的政策及程序予以执行。中国电信对公司所有与财务报告相关的内部控制业务流程都进行了详细规定,并制定了流程标准规范,它是电信企业实施内部控制的具体体现。
(四)信息与沟通是加强企业内控的有效载体
信息与沟通使企业内的人员能取得他们在执行、管理和控制企业营运时必须的资讯,并交换这些资讯。企业信息系统负责确认、收集、处理和报告信息,在加强企业内控中,信息的处理和沟通是必要的环节。
(五)实施监督是完善企业内控的有效保障
企业内控监督主要是内部监督,包括持续监控、个别评价和汇总内部控制缺陷。持续监控发生在平常的经营过程中,包括日常管理和督导行为,和其他员工履行其评价内部控制系统运行质量的职责的行为;个别评价则是定期或不定期的以全新的角度审视内部控制系统,判断其运营的有效性:汇总内部控制缺陷阶段是对发现的缺陷及舞弊进行汇报、调查、审批以及责任追究。
二、目前电信企业内部控制执行方法
加强电信的内部控制设计,必须要制定有效的内部控制方法。目前中国电信内部控制执行的方法主要有:不相容职务管理制度、职责和职权的分配管理制度、会计管理制度、预算管理和绩效考核制度、资金资产管理制度、内部报告控制、信息技术管理制度等。
中国电信玉林分公司按照电信内部控制执行管理的有关规定,在公司内部各部门和岗位上进行严格内控:比如运用不相容职务管理制度,电信企业IT内控通过不同工作岗位对于系统资源访问的限制来达到不相容职责分工的目的,操作系统管理员/数据库管理员和应用系统管理员、系统开发人员与系统维护人员、系统安全日志审核人员与系统管理员等岗位职责相分离。
对职责和职权的分配管理制度,电信建立了各类事项审批的权限列表,并持续优化内控审批权限,对于重大的业务和事项,实行集体决策审批或者联签制度。省公司内控工作团队每年开展内控审批权限执行情况评价,在此基础上,结合省公司相关文件规定及管控重点。兼顾风险防范和效率提升,进行内控权限列表的修订工作。
对会计管理制度,电信执行《中国电信会计核算办法》和“会计和财务报告业务流程”,以保证会计报表编制及时,满足公司内、外各方会计信息使用者的需要;保证合并范围准确;保证所编制的会计报表的真实性、完整性、准确性与适当披露;保证所编制的会计报表符合国家规定及上市地监管机构的要求。
安全无小事。随着国民经济的发展,信息化程度愈高,信息安全保障工作就愈重要。信息安全风险评估(以下简称“风险评估”)是信息安全保障工作的基础性工作。但是,现在我国在信息系统的风险评估还处于起步阶段,亟待规范和提高。
目前,我国很多政府部门和企业的风险评估工作由于没有与信息系统的生命周期和安全建设联系起来,仅仅是为评估而评估。在风险评估后,没有针对风险评估的结果采取对策,安全状况最终并未取得实质性的增强和改善,这些风险评估工作仅仅起到了应付上级检查的作用,存在的隐患又有可能会导致新的风险。
风险评估是一项全新的工作,涉及信息安全管理部门、信息系统主管部门、建设单位和运营或应用部门,科学的风险评估需要理论、方法、技术来支撑,那么我国应该如何建立起良好的风险评估机制呢?
建立和完善各项制度
风险评估敏感性很强,如果引导不当,管理不到位,有可能给国家、社会和企业带来新的安全隐患,当前最重要就是建立和完善风险评估的各项基本制度。
首先,建立和完善风险评估制度,包括信息系统在设计阶段要确定系统的安全目标;在建设验收阶段要确定系统的安全目标达到与否;在运行维护阶段要针对安全形势和问题定期或不定期地进行风险评估以确定安全措施的有效性,确保安全保障目标始终如一得以实现。
其次,建立起信息安全检查制度与自我评估制度。信息安全检查由信息安全主管机关或信息系统上级主管机关发起,依据国家风险评估的管理规范和技术标准进行检查评估,通过行政手段加强信息安全。同时,各信息系统运营或应用单位依靠自身力量或委托有资质的评估机构,也要对自身信息系统进行风险评估。
同时,按照谁主管谁负责、谁运营谁负责的要求,信息系统上级主管机关依据自评估或信息安全检查的结果,决定是否批准信息系统投入建设或运行。信息系统安全认可和批准工作应纳入基础信息网络和重要信息系统安全管理体系。
最后,建立风险评估机构管理制度。对国家基础信息网络和重要信息系统的风险评估,实行资质准入制度,只允许经国家批准的风险评估机构实施风险评估。国家必须加强风险评估工作的管理,建立服务标准、资质认可与资质核查评估制度。
标准规范也是推广和实施风险评估工作的法律依据和技术保障,要加快风险评估管理与技术标准的制定和完善,尽快出台国家标准的《信息安全风险评估指南》、《信息系统安全批准规范》和《信息安全风险管理指南》。
加大人才培养与基础建设
加强风险评估工作队伍的建设是做好风险评估工作的前提。我国要形成国家基础信息网络和重要信息系统的风险评估的骨干力量,负责实施本系统风险评估工作。同时,积极宣传风险管理的基本知识,增强风险意识,组织开展相关培训,提高对风险管理与评估工作的认识和重视。
在基础建设上,要统筹建设国家基础信息网络和重要信息系统风险评估的基础设施和基础环境,将风险评估国家重点实验室的建设纳入国家信息安全保障基础设施的建设规划,构建风险分析试验环境,组织研制开发科学实用的检查评估工具,开展风险评估技术、理论、标准的研究;建立国家风险评估数据库,积累资料,全面提高国家风险评估水平。
关键词:轨道交通桥梁;风险控制;风险评估;应急机制
在全国范围内大力推进轨道交通桥梁工程建设的情况下,建设部对此项工程提出了更高的质量要求。为了满足这一要求,并控制工程存在的安全风险,应加强安全质量控制,即从风险评估、分级管理、应急机制这三方面着手提高安全质量控制的水平,为建成安全、坚固、可靠的轨道交通桥梁而努力。
1轨道交通桥梁工程质量控制的重要性
目前,对轨道交通桥梁工程的施工质量与施工安全提出了更加严格的要求。通过对近些年我国轨道交通桥梁工程建设实际情况的分析,确定了轨道交通桥梁工程建设过程中的影响因素,这些因素导致工程施工质量不佳,降低了施工的安全性。为了避免此种情况的持续发生,强化轨道交通桥梁工程安全质量控制就显得尤为重要。结合轨道交通桥梁工程的实际情况,分析与思考了工程施工可能存在的影响因素,合理制订了施工安全质量控制方案,对工程施工进行了全方位、有效、深入的控制,尽可能地避免质量隐患或安全隐患的产生,从而保证轨道交通桥梁工程的质量安全,为此项工程长期、安全、稳定、坚固使用创造条件。由此可以确定,在我国建筑部对轨道交通桥梁工程提出更高要求的情况下,强化轨道交通桥梁工程施工安全质量控制尤为重要。
2轨道交通桥梁工程安全质量控制的措施
综上所述,确定轨道交通桥梁工程安全质量控制工作的有效实施,对提高工程安全性、坚固性、稳定性有很大的作用。因此,对于如何在轨道交通桥梁工程建设中强化安全质量控制,笔者在参考相关资料以及基于自身工作经验的前提下,提出了以下建议。
2.1做好安全防范工作
轨道交通桥梁工程本身就是一项工程量大、工期长、涉及面广、施工工艺复杂的工程。如果不能对安全风险予以有效控制,势必会严重影响工程施工,导致工程施工质量不佳、施工安全性低、施工成本高等问题出现。所以,加强轨道交通桥梁工程中存在的安全风险防范就显得尤为重要。因此,需要做出的努力是加强安全风险评估,做好安全防范工作,构建轨道交通桥梁工程安全风险评估体系,明确安全风险评估的标准等级,进而对轨道交通桥梁工程存在的安全风险加以评估,确定风险等级;与设计单位、施工单位及建设部门等共同商讨轨道交通桥梁工程安全防范方案,以便在后续的工程建设中能够渗透到工程规划、设计、施工等环节中,为保证轨道交通桥梁工程施工标准化、规范化、合理化奠定基础;在对所有安全风险问题识别出来的情况下,应提出有针对性的措施,做好一系列的安全防范工作,尽可能地消除风险,保障工程良好建设,如果识别出风险源,则应采取跟踪监管或其他措施防范,从而对安全风险加以预防预控。
2.2加强事中安全控制
为了消除质量隐患和安全隐患,应加强事中安全控制,实行分级管理制度,具体做法如下。2.2.1采取第三方监测措施聘请专业的第三方来负责轨道交通桥梁工程施工环节的监测工作,对轿厢梁施工、墩柱施工、承台施工、桩基施工、管线、周边环境等进行全程监测,以便及时、准确地发现质量隐患,及时消除质量隐患,避免轨道交通桥梁工程存在质量问题。2.2.2制订分级管理制度结合工程实际情况,参考相关规范要求制订健全、完善的分级管理制度,以便根据工程周边环境及当地的地质条件、基坑支护情况等,将工程划分为三个级别,进而对施工作业进行安全评估,进而确定安全级别,以便实施差异化管理,切实有效地处理和控制各个级别存在的风险因素,从而保证工程施工作业质量。2.2.3实施动态化管理考虑到轨道交通桥梁工程建设中存在诸多不确定因素,可能影响到工程施工作业,在加强安全质量控制的过程中,还要注意实施动态化管理,即施工单位及项目部的相关负责人定期或不定期地进行工程施工作业检查,以便全方位、多层次地排查安全隐患。一经发现安全隐患,要求相关工作人员及时处理和整改,将安全隐患扼杀在摇篮中,从而保证工程施工安全、合理、有序展开。2.2.4建立安全应急机制轨道交通桥梁工程建设之中存在诸多不确定因素,导致工程施工中会面对各种可能存在的安全风险,一旦诱发安全事故,将会给工程建设带来严重的负面影响,可能造成工程损坏甚至人员伤亡。为了尽可能地避免此种情况的发生,应逐一建立安全应急机制,加大工程风险处理力度。具体而言,应构建应急管理体系,由政府部门、建设单位及施工单位从自己的角度出发来考虑工程安全风险存在可能引发的危险,制订适合、有效的紧急预案,并成立风险应急队伍,以便在安全风险发生的第一时间迅速地做出动作,加强控制和处理,避免安全风险带来严重的负面影响;加强应急物资的统筹管理,为了在险情发生时能有足够的物资供应,还要注意做好应急物资的统筹管理,即对轨道交通桥梁工程施工实际情况进行分析,确定各处险情及工点情况,制订有针对性的应急物资的统筹管理方案,切实有效地落实各项管理控制,从而保证物资供给可靠。
3结束语
轨道交通桥梁工程建设中存在诸多不确定因素可能给工程带来安全风险,一旦引发安全事故,将会带来严重的负面影响。为了避免此种情况的发生,应强化安全质量控制,加强安全风险评估,做好安全防范工作,加强事中安全控制,实施分级管理制度,建立安全应急机制,加大工程风险处置力度。
参考文献
[1]王飞,徐蒋军.浅谈轨道交通中桥梁质量控制[J].中国新技术新产品,2013(02).
[2]李鑫.浅议建筑工程质量管理[J].中国新技术新产品,2011(17).
保证药品的生产质量符合规定,达到药品生产管理的目的,在药品生产过程中,多种风险因素都有可能影响药品的生产质量,而风险管理的内涵正是通过收集、识别风险因素、评估影响因素的风险级别、制定风险控制措施预防和规避,减少风险因子对药品生产质量的影响和可能造成的损失。另外,风险管理对生产过程也具有监控、监督作用,从而确保生产过程的安全性、可控性。
2实施药品生产风险管理的重要性
通过对药品生产过程进行风险管理,可明确风险因素及其风险级别,增强药品生产的规范性和应对风险能力,降低药品生产中面对的人员、机器、物料、法规、环境等风险因子对生产质量的影响,规避和减少相关风险可能对企业带来的经济、名誉的损失等,而系统性、针对性的管理也能监督整个生产过程、及时排除质量隐患,因此药品生产中实施风险管理具有重要意义。
3药品生产风险管理现存问题
3.1管理者的风险管理意识薄弱、风险管理不能有效落实:
部分药企的生产管理人员对风险管理的基本程序、内涵、重要性认识不足,往往存在风险意识不足、片面管理的情况。举例来说,多数药企的风险管理往往更注重风险监控、风险应对,往往不能有效识别、总结风险因子和安全隐患,不能对风险级别进行正确的评估,缺乏对员工开展风险管理知识培训,这也削弱了风险管理的系统性、前瞻性、可控性,同时由于缺乏应对级别,也使应对手段相对单一,影响了风险管理的效果。
3.2对供应物料风险管理缺乏重视:
制药企业的风险管理更多地关注人员操作、厂区设备、规章制度、环境监控,而对供应商提供的物料、包材的风险管理不足,具体体现在缺乏对采购的物料、包材进行检验、对供应商资质进行评估、认定,这些都可能增加生产中药品污染的风险,可能对药企的品牌声誉造成影响,并可能造成企业的直接、间接经济损失。
3.3风险管理缺乏灵活性:
部分药企虽然制定了风险管理制度,但风险应对措施的制定多依据现有的规章制度、缺乏深入调研,同时风险识别、风险评估中的评级方法相对单一、风险指标一成不变,这也导致生产风险管理缺乏灵活性,不利于发现、识别新的隐患、风险因素,也不利于在工艺流程改变的情况下对相同的风险指标进行评级。
4药品生产风险管理创新举措
4.1强化生产管理者、一线工人的生产风险意识:
以讲座、例会形式对生产管理者、一线工人进行生产风险管理知识的培训,包括风险管理概念,风险管理在药品生产管理中的重要性,风险管理的基本流程、环节和内容,对管理者还应组织其出国考察、参与企业管理层交流,从而强化全体生产人员的生产风险意识。
4.2建立完整的生产风险管理体系:
将风险管理范围扩展至采购、生产准备、药品生产、检验、成品贮存、运输、销售、回收处理等各个环节(尤其是包装、物料风险管理),同时制定管理制度,完善风险管理链条,保证风险识别、风险评估、风险应对、风险监控四个环节均能正常运行,并采用信息化管理,及早发现风险因子、安全隐患并进行及时处理。
4.3实时更新风险管理制度:
当工艺流程、生产条件发生改变时,应及时更换风险管理制度中的要求和标准,并由责任人员完成风险的再识别、再评级,并向生产管理者报告、组织审核,探讨新的应对措施、防范措施,通过上述手段可增强风险管理的灵活性和适用性。
5结语
一、信息安全管理审计
1获取并查看公司在业务导向的风险评估、信息安全规划和预算方面的制度和文件。2访谈公司领导,了解风险评估、信息安全规划和预算方面的执行情况,检查管理层是否对信息安全规划执行情况进行定期审阅,并取得相关证明材料。风险3:员工未签署保密协议,无法在信息安全方面对员工要求和考核的风险。审计方法:1获取并查看公司在员工保密方面的制度和措施。2访谈公司管理层并了解是否与员工签订保密条款,获取并查看公司在安全意识教育方面的计划、执行情况,并取得相关证明资料。3检查离职员工系统账号的清理情况。
二、数据泄露保护审计
风险1:CRM、计费、经营分析、网上营业厅等应用系统在开发环境、测试环境、生产环境方面的控制风险。具体包括:外包人员在不受限或未授权的状态下访问生产测试环境,进行数据修改或拷贝;测试环境、生产环境信息保护不足,增加了数据泄漏的风险等。审计方法:1获取并查看开发上线流程授权管理制度和流程;查看公司在应用系统开发环境、测试环境、生产环境方面的管理制度;访谈系统管理员,了解服务器功能和工作流程。2访谈开发环境、测试环境、生产环境负责人,了解对用户授权、密码策略、日志的管理情况;查看是否包含对开发人员权限管理的控制、开发上线流程所涉及服务器的现有账号的授权审批、密码策略、日志(登录日志、操作日志的管理情况;如开发人员中包括外包人员,须特别标出并查看;了解日志审阅情况,并获取相关证明资料。3访谈测试环境、生产环境应用负责人,获取并查看公司的数据安全性分级标准、了解数据导出和查询功能授权标准;了解数据导出和查询功能是否有安全风险评估、上线前是否有功能测试、上线后权限授予审批情况,并取得相关资料;风险2:业务支撑系统的测试数据库、生产数据库方面的控制风险。具体包括:环境保护不足,存在数据库环境未授权修改、数据泄露、数据库停机的风险;关键业务数据未加密存储,存在数据泄露的风险;操作系统和数据库有漏洞,存在数据泄露和停止服务的风险等。审计方法:1获取并查看测试数据库、生产数据库管理制度;访谈数据库管理员,了解数据库的用户访问控制、密码策略、数据库日志(登录日志、操作日志审阅情况;了解数据库用户密码的保存方式是否为明文、是否已修改默认密码。2获取并查看公司对业务数据加密的管理规定和要求;访谈应用管理员,了解业务数据加密情况,并获取相关证明资料;3获取并查看公司在安全性扫描方面的管理制度;访谈相关人员,了解安全性扫描执行情况;通过扫描生产环境、开发环境和测试环境操作系统和数据库的方式,测试生产环境、开发环境和测试环境的操作系统和数据库是否存在漏洞;访谈相关人员,确认未打补丁的漏洞的合理性;风险3:网络架构及防火墙设置不当等方面的控制风险。包括:网络保护和划分不当,存在计算机环境被攻击的风险;防火墙控制不当,存在未授权访问、关键设备保护不当的风险;服务器间传输未加密,存在数据泄露的风险等。审计方法:1获取并查看公司网络管理制度流程、网络拓扑图;访谈网络管理员,了解生产服务器是否在独立网段,此网段是否存在非生产服务器;了解外包人员所在网段是否为独立网段。2获取并查看公司防火墙管理制度流程,获取生产服务器所在网段防火墙访问控制列表;通过在非生产网段个人计算机扫描生产网段IP地址的方式,测试生产网段向非生产网段开放了那些IP地址和端口,确认已开放IP地址和端口的合理性。3获取并查看公司对应用服务器与数据库服务器间加密传输的管理规定和要求;了解应用服务器与数据库服务器间传输是否加密,并获取相关证明资料。
三、IP外包管理审计
风险1:软件开发上线流程风险。检查是否存在不规范的软件开发和上线流程,是否存在代码被恶意更改的风险。审计方法:1获取并查看软件开发和上线相关制度流程。2对软件开发和上线流程进行穿行测试,了解软件开发和上线流程中现有账号是否经过授权审批(如:源代码服务器、编译服务器、版本服务器等环境中的账号是否经过授权审批,并获取相关证明资料。风险2:应用系统源代码审阅风险,检查源代码中是否插入了恶意代码等。审计方法:1获取并查看公司对源代码安全性的审阅制度,如:源代码安全标准,审阅内容、频度、人员、范围等。2访谈相关负责人,了解源代码审阅情况,并获取相关资料。风险3:数据脱敏处理风险,主要是客户信息通过测试数据泄露的风险。审计方法:1获取并查看公司在非生产环境敏感信息清理方面的制度、敏感信息的定义。2对数据脱敏情况进行穿行测试,实地查看非生产环境的应用系统,检查非生产环境是否存在未脱敏信息,尤其需要验证高保密性信息,如党政军客户信息等。
四、信息系统监控审计风险
1:应用系统、操作系统和数据库监控、网络监控等方面的风险。包括缺少应用和用户行为监控,无法对用户的恶意行为进行有效监控的风险;缺乏服务器和数据库监控,无法及时发现服务器和数据库的安全故障,存在数据泄露和业务系统停止服务的风险;缺乏网络监控,无法及时发现潜在或实际存在的恶意入侵或网络攻击,存在数据泄露风险。审计方法:1获取并查看公司对用户行为监控、设备监控、网络监控等方面的制度;访谈监控管理员,了解监控执行情况、监控日志定期审阅情况;访谈网络管理员,了解网络检测设备的使用。2访谈应用系统管理员,了解应用系统日志(登录日志、操作日志审阅情况;访谈设备管理员,了解操作系统和数据库日志(登录日志、操作日志的审阅情况;访谈网络管理员,了解对网络操作日志的审阅情况。除以上常见风险点外,还可以关注未加密的个人计算机、未加密的移动存储介质等,这些都可能存在数据泄露的风险。还可以对IT外包合同进行检查,防范外包人员在服务过程中,发生损害企业信息安全的行为。
【关键词】企业; 信息安全; 风险评估; 风险控制
引言:
计算机和网络通信相结合的信息技术,是促进当代社会信息化发展的主要力量,为社会上各行各业的发展创造了良好的环境。许多企业在经营与管理中已经引用现代信息技术,从而使经营与管理更为科学,工作效率更高,获得的经济效益也越多。然而现代信息技术是一把双刃剑,信息化的程度越高,由它带来的风险也越大。当前,企业的信息安全风险评估工作存在着一些问题,这些问题对企业的发展造成很多不利的影响。
一、企业信息安全风险概述
对企业来说,信息是维持企业正常运作的必要资源。企业的信息包括重要的数据、企业的发展规划、保密性文件、知识产权等。这些信息一旦被泄露,那么企业将面临着或大或小的经济损失,更严重的还会使企业面临破产的危险。所谓的企业信息安全就是指信息在其生命周期中,它的完整性、保密性和可用性这三个特性的保留情况。如果这三个特性都得到了保障,那么信息的安全性就高;如果其中的某个特性被破坏,那么信息的安全性就低。而信息安全风险就是指信息在特定的环境与特定的时间里可能遭遇的安全威胁。
信息安全风险可以分为可控性风险与不可控风险、可接受风险与不可接受风险、自然风险与人为风险等[1],这些风险给企业的信息安全管理工作带来了更多的不确定因素,加深了工作难度。
二、企业信息安全风险评估的现状与问题
当前,我国企业的信息安全风险评估工作存在着许多问题,给企业的日常经营与管理带来了许多不利的影响。
首先,企业没有树立正确的信息安全观。很多企业的管理者在信息安全问题上会走向两个极端,一种是认为只要加大信息建设的投入,信息就存在绝对安全的可能;另一种是忽视信息安全建设,信息安全风险意识淡薄。很多企业的管理层对信息资产的重要性认识不够,因而他们在保护信息安全方面几乎是无作为。
其次,企业在具体的信息安全风险评估工作中,表现出重安全技术而轻安全管理的思想与行为方式。这些企业在工作过程当中,不论是在心理还是在行为上都过分依赖安全技术,甚至认为只要安全技术过硬,信息安全就一定能够得到保证,为此,企业普遍采用现代通信技术、计算机和网络技术来构建企业信息安全系统。而在安全管理上,出现了管理措施不到位,员工在信息保密上不够严肃等问题,造成信息安全技术做无用功。
此外,企业信息安全风险评估工作还存在着管理制度不够完善、责任划分不够明确等问题。信息安全风险的评估工作需要收集各方面的大量的信息,如此才能增强评估的有效性。而企业由于管理制度不完善、职责划分不明确等问题,造成各部门的工作不配合、不协调。信息技术部门被孤立,信息安全的风险评估工作也就不能得到及时有效的完成。
最后,我国有些企业在信息安全风险评估的技术与方法上落后于时代。现代信息系统越往后发展,结构就越复杂。这要求企业要根据不断变化的信息技术来改进自己的风险管理理念和手段,同时也要吸收国际上的先进信息安全风险评估技术,保障自身的信息安全。
三、企业信息安全风险的控制
企业信息安全问题对企业来说是不应该被忽视的部分,企业应该在经营与管理的每个环节做好信息安全风险的控制工作,使企业的重要信息能够得到充分的保护。企业信息安全风险的控制可以从风险分析、管理控制、技术控制三个方面来进行。
(一)风险分析
在进行信息安全风险控制之前,先对风险进行分析可以使风险控制工作更加具有针对性,能够提高风险控制工作的效率。对风险的分析可以从信息资产面临的威胁、存在的弱点等方面来进行[2]。在风险分析工作中,要明确以下几点:首先是信息安全风险控制工作中需要保护哪些信息,这些信息具有什么样的价值;信息资产面临着哪些潜在的威胁,导致这些威胁产生的根源是什么,威胁发生的几率有多大;信息资产中是否具有漏洞,这些漏洞是否会被人威胁利用;信息资产发生威胁之后,企业会面临多大的损失;企业该采取什么样的措施来应对风险带来的损失,等等。
(二)管理控制
企业信息安全风险控制工作主要从组织管理、人员管理、政策实施等几个方面来进行。首先,企业应该建立信息安全组织机构,吸收组织成员,协调企业内部的各项资源,制定信息安全控制的目标并通过组织成员履行职责来达到目标。其次,企业要培养素质高、责任心强、原则性强,能够遵守企业政策的人员。企业信息安全风险的控制不仅与强大的技术力量有关,而且还有赖于执行人员对信息安全工作的支持与参与。此外,在政策实施上,企业要严格执行相关的信息安全保护政策,比如目前国际通用的《信息技术―信息安全管理实施细则》[1],为企业执行信息安全保护工作提供一个统一的标准,从而使工作能够有序地展开。
(三)技术控制
技术对信息安全控制的影响力是比较大的,它在很大程度上决定了信息安全风险的大小、范围,同时它也决定了修补信息安全漏洞的方式和方法。因此,在技术方面对信息安全风险进行控制是非常有必要的。首先,技术构架的设计应该遵循系统性原则、技术先进性原则、可控性原则、适度性原则等,使技术能够更好地服务于风险控制;其次,要做好安全域的信息安全保障工作,根据不同的安全域所面临的不同风险来进行信息安全保护工作;最后,要提高信息安全保障技术。目前而言,我国的信息安全保障技术与国际上的相比明显处于落后状态,因此,企业要引进先进的技术力量,加强信息安全风险的控制力度。
四、结语
在这个信息化高度发展的社会,任何企业与个人在享受信息化带来的便利的同时,也要承担信息化带来的风险。我国企业在激烈的市场竞争中,不可避免会遇到信息安全上的威胁。因此每个企业都应该做好信息安全的管控工作,认真、严肃地对待当前网络环境下的企业信息安全问题。
参考文献:
[1]谷田.网络环境下的企业信息安全问题研究[D].郑州大学2012
【关键词】 护理风险评估; 精神科; 安全管理
doi:10.14033/ki.cfmr.2016.35.041 文献标识码 B 文章编号 1674-6805(2016)35-0080-03
护理风险是指临床护理工作中可能发生的危害患者人身安全、影响治疗的不良事件[1]。精神科患者因不能自行有效控制自身思维及行为活动,造成多种不安全因素出现,如:暴力攻击行为、自杀/自伤、出走(擅自离院)、噎食、跌倒/坠床、压疮等不良事件发生,危及患者与护理人员的安全。如何防范护理风险事件的出现成为了医院精神科护理工作的重要内容,同时也是医院护理管理工作中的难点及重点。为了减少精神科不良事件的发生,笔者所在医院自2015年5月开展风险评估表对患者护理风险进行评估,给予针对性护理管理,取得了理想成果,现报告如下。
1 资料与方法
1.1 一般资料
选取2014年8月-2015年12月笔者所在医院1200例精神疾病住院患者进行研究,所有研究病例均根据住院时间先后实施分组,将2014年8月-2015年4月的589例设为对照组,2015年5-12月的611例设为观察组。对照组男389例(66.04%),女200例(33.96%),年龄13~75岁,平均(33.3±5.4)岁。疾病分布:精神分裂症170例(28.86%),持久的妄想(偏执性精神病)98例(16.64%),双相(情感)障碍128例(21.73%),癫痫所致的精神障碍89例(15.11%),分裂情感88例(14.94%),精神发育迟滞伴发精神障碍16例(2.72%)。观察组男411例(67.27%),女200例(32.73%),年龄11~78岁,平均(32.3±3.4)岁。疾病分布:精神分裂症168例(27.50%),持久的妄想(偏执性精神病)105例(17.18%),双相(情感)障碍135例(22.09%),癫痫所致的精神障碍93例(15.22%),分裂情感96例(15.71%)精神发育迟滞伴发精神障碍14例(2.29%)。两组病例资料比^,差异无统计学意义(P>0.05)。
1.2 方法
对照组采取精神科常规的护理常规,主要包括:患者的日常饮食、生活、服药及预防不良事件发生等。观察组患者在此基础上给予护理风险评估及预防安全管理模式,具体如下。
1.2.1 成立风险管理小组及对护理人员进行培训 成立以护理部的3名质控组长指导,各病区护士长为组长的风险管理小组。护理部对护理风险管理制度、管理预案、评分标准等进行修订,确定明确的风险级别。护理部对护理人员进行风险评估相关知识的培训,增强护理人员风险评估意识及提高评估水平。
1.2.2 风险评估方法 病房采取三级风险评估,一级评估:由责任护士或当班护士按风险评估表的内容对新入院患者,在2 h内采取询问患者或家属及送治人员,以及观察患者的言行举止完成暴力攻击行为、自杀/自伤、出走(擅自离院)、噎食、跌倒/坠床、压疮等风险评估,患者住院期间病情有变化当班护士要完成风险评估。确立风险程度,对于高危风险履行风险告知,并让患者或家属签名,做好标识,采取相应的防范策略;二级评估:按照一级评估结果对存在高危风险因素的病例实施全天动态评估,护士长及相关责任人还要保证各项防范措施的落实;三级评估:护士长72 h内对高风险的患者再评估,审核后将结果上报护理部,督查风险防范管理制度的落实,发现问题,及时纠正偏差。护理部对重点高危患者进行现场查看评分及措施的落实情况,并给予指导。
1.2.3 风险警示标识 根据风险评估结果,将高危风险患者(存在暴力攻击行为、自杀/自伤、擅自离院、噎食、跌倒/坠床、压疮的患者)作为重点护理管理对象,写在白板上提醒,在其床头卡上设置安全警示标识,跌倒高危患者还在其腕带上贴上警示标识。餐厅设“防噎食专座”,有噎食风险患者进食时集中管理,专人看护。
1.2.4 护理风险的防范 具有高危风险因素的患者需要作为临床重点监护对象,安置于重点病房,加强环境安全管理,密切观察病情变化,加强巡视,严格交接班制度,加强宣教,认真执行工作制度,并严格按照工作流程进行,针对性地实施安全护理措施,正确使用各种安全警示标识。若发现其存在新的危险因素,则应给予二次风险评估,并采取适当的应对方式,防范风险。科室护士长定期检查安全风险防范措施的落实情况,发现问题及时反馈并限期整改。对评出的高风险患者由各病区护士长审核并上报护理部备案。见表1、表2。
1.3 观察指标
比较两组患者在住院期间护理不良事件发生率、护士风险评估率、风险告知率、患者健康教育知晓率及患者对护理的满意度。
1.4 统计学处理
使用SPSS 17.0统计软件进行数据处理。计量资料以(x±s)表示,采用t检验,计数资料以率(%)表示,采用字2检验,P
2 结果
两组研究病例不良事件发生情况及风险评估开展前后相关因素的比较,见表3、表4。观察组不良事件发生率少于对照组(P
3 讨论
护理风险具有突发性和难以预测性[2]。护理风险不仅影响患者的治疗,严重者还可导致患者死亡。精神科患者受疾病因素影响,或受其他刺激性因素影响,可导致其出现自杀自伤、暴力攻击、外走等危急事件。并且,精神科患者长时间接受抗精神病药物治疗,噎食、跌倒的危险性也较高。因此提升医院护理人员识别风险水平,增强紧急事件处理能力具有重要的临床意义[3]。
有研究显示,积极发现及识别潜在风险、现有风险,并对风险进行评级,给予对症处理,能够有效降低风险事件发生率[4]。所以强化风险管理,提高护理人员的安全意识及风险防范意识,这对减少护理风险事件的发生有重大意义。要防止高风险事件的发生,就要把发生护理不良事件后的消极处理变为发生前的积极预防,即如何将处置行为变为控制行为,消除或减少护理安全隐患[5]。本研究表明,通过风险评估表,患者住院期间不良事件发生率明显低于对照组。
精神科护理工作属于高危风险工作,不仅具备医院护理工作要求的专业性,还具有精神科的特殊性。这就要求精神科护理人员掌握基本护理技能外,还要熟知护理风险评估知识及常用的评估技能。患者入院后开展风险评估预见性评估,将高危风险病例进行重点监护,同时开展安全防范护理[6]。才能在工作中避免或减少精神科意外事件的发生。护理风险评估单是针对护理风险的预见性护理,它需要护理人员有较强的专业知识、敏锐的观察力、良好的沟通能力及对应急事件的处理能力,能预见性地对可能存在的风险进行评估,并及时采取适当的应对措施[7]。通过对护士进行风险评估能力的培训,并定期开展精神科护理风险应急预案演练培训,提高精神科护理人员对风险因素的识别能力和处置能力。本研究表明,通过风险评估表,护士执行风险评估率及对风险因素的识别和处置能力优于对照组。
护士应用风险评估表在精神病患者入院当天评估其现存的及其潜在危险因素,从而制定出相应的预防及护理措施,对存在高危风险的患者迅速实施护理风险管理,并向患者及家属告知风险及有针对做好安全指导。同时,护士通过对患者的各种风险进行评估,患者存在及潜在的健康问题有了总体的了解,从而有条理、针对性对患者及家属进行健康教育,患者及家属提高了防范意识,保证患者安全。本研究表明,通过风险评估表,护士的风险告知率及患者健康教育知晓率优于对照组。
实施护理风险评估,使护理人员在临床护理工作中便于抓住工作的侧重点,主次分明,掌握病情做到心中有数,护理安全及护理质量明显提高;护理风险管理的实施,能够有效提高护理人员的业务素质,从传统的被动服务转为主动服务[8]。护士主动与患者交流,建立有效的沟通方式,掌握其心理动态,适时给予心理疏导,并积极为患者解决各种实际问题,拉近了患者与护士的距离,增进了相互之间的信任度,有助于提高患者对医疗护理的依从性及满意度。本研究表明,通过风险评估表,护理质量与患者满意度优于对照组。
参考文献
[1]韦丙茹.护理风险评估及预防在心血管内科中的应用价值[J].临床医学研究与实践,2016,1(11):131-132.
[2]谭宝玲.心血管病急诊患者心机标志物升高的临床意义[J].中国医学创新,2012,9(3):36-37.
[3]李凤香,陈晓燕,曾伟娴,等.风险管理理念在精神科护理流程再造中的应用[J].现代临床护理,2009,8(7):52-54.
[4]梁严霞,龙小艳,杨春霞.护理风险管理在外科中的应用研究[J].齐齐哈尔医学院学报,2013,34(10):1508-1509.
[5]杨丽.精神科风险管理中强化细节管理方法与效果[J].护理管理杂志,2010,10(9):665-666.
[6]覃金荣,杨带兰.预见性风险评估在精神科安全护理的干预效果研究[J].当代护士,2016,24(5):75-76.
[7]李绿亚.风险管理在心血管内科护理中的应用[J].中国基层医药,2013,20(16):2557-2559.
关键词:医院,信息系统,网络安全
一、建立一套较完善的、操作性强的管理制度
根据实际情况,对不同类型、不同敏感度的信息,规定合适的管理制度和使用方法,制定详细的安全管理制度,保证医院信息系统安全风险规避管理有章可循,有法可依,促使每个系统管理人员和使用人员将系统安全风险规避管理形成一种习惯。。制定系统安全奖惩制度,对于违反制度者视情节轻重给予相应的经济惩罚或行政处分,情节特别恶劣的可提起法律诉讼,对违规制度者进行举报的人员给予适当的奖励。院内每人都有义务和责任举报任何系统不安全现象和行为。
安全管理制度包括中心机房安全管理制度、子系统使用人员安全管理制度、系统设备安全管理制度、网络安全管理制度、病毒防范安全管理制度、安全管理登记制度、应答制度、考核制度等。做好设备的运行情况记录,检查记录,日常维护记录及用户的监控记录等。
二、制定详细而周密的应急预案
充分考虑各种系统故障,设计与各管理岗位相符的系统安全风险规避管理常规处理预案和紧急处理预案,根据安全事件的严重程度适时采用,以保证医院正常的医疗服务和就医秩序,提高医院应对突发事件的能力。在医院信息系统出现故障时,将系统中断时间、故障损失和社会影响降到最低。由分管院长、相应科室及计算机中心组成故障排除小组,当灾难发生时应用应急预案进行恢复。应定期进行应急预案的演练,查找问题,加以整改,提高其针对性和实用性。
应急预案包括服务器、硬件、软件、网络等方面的系统安全风险应急措施、具体的协调部门及相应的工作、常用的应急电话等。应急预案须明显张贴,使应急操作人员方便地看到。
三、建立系统安全监控体系
设立安全管理人员,对那些给医院信息系统安全带来严重隐患的行为和人员进行重点管理和监督。建立医疗、财务、药品物资数据质量监控体系和数据操作员、职能科室、部门领导三个层次的数据质量监控层,对医院信息系统数据安全具有重要意义。建立信息系统数据质量考评和反馈制度,如挂号数据可由门诊收费复查,门诊收费执行科室与开单科室可实行双向数据核查,医疗科可定期进行信息系统数据质量讲评,考核结果与科室全面责任制考评挂钩。。
四、建立健全风险评估和检测机制
可采取与专业安全服务公司建立长期合作的策略实现安全风险评估机制的建立,加强多部门之间的安全信息沟通与共享,积极利用其在安全风险评估技术、方法等方面的优势,结合医院信息系统安全实际,建立符合信息安全要求的风险评估与管理机制,不断研究和发现信息系统存在的漏洞、缺陷以及面临的风险与威胁,并积极寻找相应的补救方法,力求做到防范于未然。
应制定安全检测计划和方案并组织实施,组成专门的检测小组,在医院领导和系统运行维护部门的积极配合下,对系统的基础设施、网络结构、信息保护、安全管理以及应急预案等方面进行认真测试与核查。
做好硬件设备的预防性维护。定期对主机、显示器、打印机等设备内部除尘,更换老化的零部件。定期运行磁盘碎片整理程序、磁盘清理程序,优化硬盘设置,优化每个工作站子系统,确保系统运行环境的安全。
五、加强系统重要信息和文档的管理
完整的系统文档是分析故障、排除故障的基础,是系统正常运行的保证,因此,应加强系统文档的管理。系统文档包括计算机资料、驱动软件、系统软件、应用软件安装盘、应用软件安装说明书、程序使用说明书、源程序代码及详细说明、各计算机的IP地址、计算机名、服务器配置说明书。
六、完善系统功能,提高应用程序级的安全性
根据各级操作员的操作范围,合理设置系统软件的权限,慎重考虑系统功能,如在财务收费报表中及时反映收费票据号码,退费、退药票据号码,以便核查,禁止票据重打功能。
根据备份原则,医院不能只有一个人能进行系统管理或数据库管理。。严格限制超级用户数,系统超级用户只能由系统管理人员掌握,并定期更换口令。系统管理员严格按照“审批单”为各工作站子系统用户分配适当的权限。严禁帐号及密码外借他人,防止非法用户入侵系统。
七、强化信息系统安全技术保障
应从硬件和软件两个方面强化信息系统安全技术保障,对安全技术的策划、部署和实施,建议与专业安全服务公司联合进行。建立相应的标准,加强相应的法律或政策方面的支持。硬件方面的信息系统安全技术主要包括:
物理隔离。对内部信息系统和外部互联网实行物理隔离;同时,对内部局域网中的医疗网络系统和办公网络系统进行物理分割,封闭医疗网络系统中所有对外的接口;保证存有重要数据的子系统只能使用内网而不能使用外网。建立一套完整的数据备份策略,预防硬盘损坏等风险,保证服务器长期可靠地运行。数据安全是整个医院信息系统安全的核心,数据备份是保证数据安全避免损失的最佳途径。不同的数据备份方法如双机热备份、异地备份、磁带备份等有各自的优缺点,应根据医院的实际情况适当采用。预留一定数量的备份硬件设备,保证硬件设备发生故障时,可以及时更换。采用专线供电和大容量长延时不间断电源,有条件的要留有冗余,建立双路供电保障,设置应急发电机,保证服务器不间断工作,防止停电造成的数据库损坏。不仅要注意机房服务器的供电,还应考虑到各配线间交换机的供电,并做好监管。确保良好的中心机房工作环境。在设计机房时,按《计算机场地技术条件》要求,机房铺设活动抗静电地板、安装标准接地线、定期测试接地电阻值是否合格。安装避雷设施,安装适合机房面积的空调,安装恒温恒湿设备。机房要远离强磁干扰和有害气体。中心机房应配有灭火器具,以消除火险隐患,注意防盗,防尘。保证服务器、交换机、工作站、打印机等硬件免受自然灾害、人为破坏和攻击,确保网络设备有良好的工作环境。软件方面的信息系统安全技术主要包括: 选择符合系统安全要求的操作系统并及时更新。客户端安装远程监控软件,帮助系统管理员实时监控和记录系统各个终端的运行情况,防止非法用户侵入系统。同时,强化行为管理,对各种网络和操作行为进行实时监控和分类管理,规定行为的范围和期限,及时发现并去掉一些设备共享或文件夹共享,尽可能地制止一切与信息管理无关的现象和行为,减少网络的安全隐患。购置网络版杀毒软件,在服务器及每个客户端都安装相应的防病毒软件,定时更新病毒库,周期性地对系统中的程序进行检查,利用病毒防火墙对系统进行实时监控。选择和使用更为安全的数据库系统,并严格规范使用制度及方式。 采用适宜技术与设备保证链路安全。
参考文献:
[1]刘臣.略论医院信息系统建设[J]现代医院管理,2007,(05).
[2]李华才.医院信息化建设存在的问题与发展对策[J]华北国防医药,2002,(02).
[3]袁永林.军队卫生信息化的建设与发展[J]解放军医院管理杂志,2003,(01).
为了更好的保护国家秘密信息,有效保证公司保密管理工作不断持续改进,不断将保密工作深化落实,特制定本制度。
一、保密工作持续改进应贯穿到各项保密管理工作当中,如:不断修订完善公司保密制度,改进保密工作流程,加强涉密人员管理,强化要害部位安全防护,做好涉密载体及涉密计算机防护管理,保密监督检查、保密风险评估等。
二、为保证公司保密持续改进工作的落实,公司将保密持续改进工作主要落实在公司保密监督检查和风险评估工作当中。
1.保密监督检查中的持续改进
保密监督检查是公司保密管理部门发现日常保密管理工作中安全风险或安全隐患的主要途径,通过人员自查、部门自查、季度检查、半年检查、年度检查、计算机专项检查、涉密计算机审计等形式,建立起发现问题的机制,同时通过问题和隐患的及时整改,做到各项保密管理工作的持续改进。
2.保密办公室和相关和涉密部门协调配合的持续改进
保密监督检查工作开展过程中要通过保密办公室和相关和涉密部门协调配合发现的问题进行分析总结,通过持续改进,及时修订保密管理制度、流程规范、增加管理人员、加强监督管理、增加防护技术或设备等,进一步规范保密管理工作,减少安全风险发生的可能,做到保密工作持续改进。
3.保密风险评估中的持续改进
保密风险评估是利用内部控制方法寻找风险和隐患,是优化安全保密管理自我监督机制的一项重要工作,是安全保密管理工作的重要组成部分,及时发现把控日常工作中的新出现的风险点,及时改进,持续改进,使持续改进与安全保密管理体系的建立、实施共同构成有机循环,是保密工作持续改进的一项重要体现。
4.保密风险评估方法的建立和持续改进
网络信息技术在不断进步,传输方式在不断更改,各种措施的密保与安全性都在经受考验。随着信息化的进一步发展, 涉密集成资质单位对涉密信息系统安全保密的认识也逐步提高;其安全问题日益突出,与生产业务的保密资格标准相关的要求和操作方式,对涉密集成资质单位安全保密策略提出了进一步要求。因此,制定详细的安全保密策略成为当前安全生产业务保密管理的重点,因时制宜的改进与处理,显得更为重要。
5.保密风险评估检查、评测的持续改进
风险评估工作落实到风险点的定时、定项目的评测上,对公司日常保密工作的风险点评测采取定时周期检测方法,采取周周评测,月月检查的方法,发现风险点、风险人员、风险设备、风险行为,及时改进、持续改进。对项目进行定点、定岗的检测方式,排查风险持续改进。
6.保密制度制定与监督落实的持续改进。
保密工作的持续改进需贯穿在我公司全部保密管理工作当中,公司保密管理部门和涉密管理人员,应自觉对所完成的保密工作进行总结,积极发现保密管理工作的安全隐患、杜绝隐患,通过监督检查、风险评估等手段,确实做到保密工作的持续改进。
7. 涉密部门的计算机的使用中的持续改进
加强对涉密内部网络的管理,帮助建立健全网络管理制度,严防失泄密事件的发生。严格执行“涉密信息不上网,上网信息不涉密”和“谁上网,谁负责”的原则,加强对涉密网络的检查。
8.涉密介质监督检查的持续改进
加强对涉密介质的管理,及时对保密安防设施进行升级改造。加强对涉密介质的管理,对涉密介质的借阅和发放进行有效控制,严格执行登记和审批手续;对上网计算机进行登记制度,下载资料严格要求进行中转,并专门设置了周转计算机和周转移动硬盘。在安防设施的管理上,不能放过任何一点纰漏,发现问题,及时改进修复,经常检查保密要害部门和部位的物防设施,使之保持正常工作状态,对老化设施进行更新换代,根据需要及时增配密码柜,保证保密安全防护系统的可靠性。
9.保密人员日常管理考核培训的持续改进
调整保密组织机构人员,充分发挥兼职保密员的作用。成立保密委员会,积极开展保密工作。由于公司机构变动和从业人员的流动性,保密工作也会随之发生变化,因此不断调整保密委员会成员和兼职保密员,并进一步明确分工。为使保密工作做到环环相扣、不留死角,保密委员会就要经常督促每个部门的兼职保密员认真负责的履行自己的职责,发现不称职的兼职保密员,毫不留情的进行批评教育,并及时进行更换,通过兼职保密员的具体工作,真正作到随时发现问题随时解决,起到了一定的预防为主、积极防范的作用。根据保密法要求,对全体员工工作岗位和工作性质进一步核查,确认各人员的密级,保证涉密人员与涉密内容的协调统一。
为了防止工作中出现失泄密现象,使保密工作真正做到“预防为主、积极防范”,管理部门要不断加强学习,提高自身的防范意识,增强保密相关知识,积极参加保密培训,同时要加大对涉密人员保密宣传教育工作的力度。可以从以下几个方面进行:
(1)以召开职工大会的形式传达上级领导对保密工作的重要指示;
(2)通报保密工作形势和失泄密案例及放录像片来教育职工要高度重视保密工作;
(3)开展保密知识答题,不断增强员工保密知识;
(4)在保密委员会的领导下,经常开展不定期的保密检查,发现问题及时提醒及时整改;
(5)对新入公司的人员进行了保密知识的教育和培训等。
通过以上工作,可以增强全体职工的保密意识,使保密工作真正从思想上得到重视。
三、持续改进工作的总结
综上,对在安全保密管理方面的持续改进的意义的分析,在涉密集成资质单位的生产业务及安全保密策略是涉密信息系统建设与管理过程中的指导依据显得尤为重要。为中华人民共华国的安全保密工作生产,实施保密管理的行为作出有力的坚强后盾保障。制定出适合本单位信息化发展的安全保密策略是安全保密管理的重要环节,也是国家保密资格标准中的重中之中。在以后的业务开展与安全管理方面,这一系列的要求与实措,仍然是不可缺少和必须重视的一个必要环节。
一是安全评估体系不健全。大部分商行银行未明确安全评估管理的组织机构,缺少安全评估管理制度,未建立符合本行风险管理需要的安全评估体系。二是安全评估流程不规范。很多商业银行安全评估尤其是自评估缺少标准的流程控制,安全评估工作随意性强,大部分评估流于形式或依赖于个人经验,安全评估的结果不能真实的反映客观存在的风险。三是安全评估人才匮乏。安全评估工作具有较强的专业性,对评估人员的能力要求较高,而很多商业银行评估人员未经过相应的培训,缺少经验,并不真正具备安全评估的能力。四是安全评估方法不科学。商业银行评估尤其是自评估主要依据制度列表或个人经验,很难发现深层次问题并对风险准确定性,评估结果对风险处置的指导意见有限。五是安全评估数据积累不足。国内外主要的安全评估方法,需要根据历史事件统计事件发生概率,目前,很多商业银行尚未建立事件统计分析机制。
2安全评估管理的主要思路
通过研究国内外信息科技风险安全评估标准、规范及实践,提出了商业银行信息科技风险安全评估管理思路。
2.1建立安全评估组织体系
信息安全风险评估组织体系建设应充分考虑安全评估自身特点,并应结合商业银行的风险管理体系,安全评估的组织体系应包括两个方面:一是建立安全评估日常管理体系。该部分体系应在信息科技风险管理体系的基础上,明确高管层、信息科技风险管理部门、信息科技管理部门及其它相关部门的安全评估职责;二是建立安全评估项目管理机制。商业银行组织安全评估时应成立项目管理组织,并严格按照项目管理的流程对安全评估进行有效控制。
2.2建立信息安全风险评估标准流程
安全评估流程是安全评估标准化的控制手段,能够有效的控制安全评估的目标、范围、过程及质量,安全评估需要建立以下标准流程:一是安全评估的组织流程,即安全评估审批、总结、汇报等流程;二是安全评估的项目管理流程,安全评估应采用项目的管理方式进行组织,并按项目管理流程组织评估并形成项目阶段成果;三是安全评估的评估方法流程。安全评估根据标准的评估方法,并结合评估对象的特点,从资产识别、威胁识别、脆弱性识别、风险评估、已有措施确认等方面,建立明确的评估方法流程并明确流程各阶段主要工作成果及输出文档。
2.3培养专业信息安全风险评估人员
专业的安全评估人员是安全评估的基本保证,应加大对信息安全风险评估人员的培训力度,培训主要从以下几个方面进行:一是加大评估管理要求、评估流程的培训力度,让评估人员能够了解信息科技安全管理的要求,掌握安全评估组织、项目及方法流程;二是加大信息安全知识培训力度,评估人员应全面学习信息安全的相关知识,了解目前信息安全面临的主要威胁及存在风险;三是加大安全评估技术培训力度,评估人员应了解安全评估相关技术,熟练掌握常用的安全评估工具;四是加大信息系统相关技术培训力度,安全评估要求评估人员应了解主机、网络及应系统等相关技术细节,应组织相应的技术培训,扩大评估人员的知识范围,并使评估人员深入了解各系统的技术细节。
2.4引入安全评估工具
为实现安全评估的专业化,商业银行应逐步引入和使用风险评估工具,风险评估工具包括以下三类:一是专业安全评估设备及软件,如漏洞扫描设备、安全审计平台等。二是专门的风险计算工具,如风险统计及计算表格,该类表格根据标准的计算方式,能够给出相对准确的风险量化值。二是风险管理系统,对风险进行汇总、统计及处置跟踪。
2.5建立风险评估数据积累机制
关键词:信息技术 内部控制 财务公司 探究
当前,信息技术的飞速发展使得财务企业的管理方法、运营理念以及管理效率等发生了很大改变。但随着企业管理模式的不断革新、管理内容的不断深入,财务公司也随之面临着巨大的挑战,即公司内部控制方法的完善与运用问题。因此,对财务公司来说,如何在信息技术条件下对内部控制方法进行改进和完善,并科学合理地对内部控制方法进行运用就成了极其重要的问题。
一、对内部控制环境进行优化
(一)对企业文化进行创建
在长期的运营过程中,企业所形成的文化观念、经营理念等就称之为企业文化。在企业文化的塑造上,企业需从经营哲学、企业道德、企业形象、价值观念、团体意识以及企业使命等方面入手,使公司内部的控制环境得到优化,提升财务公司的管理水平,最终实现公司的战略目标。
(二)对权责分工体系以及组织结构进行建设完善
在对组织结构进行建设时,财务企业需从实际情况出发,建设出符合自身发展情况的结构体系,并对责权利相结合的原则进行遵从。另外,为了能在各种环境下完成决策,使企业在激烈的市场竞争中处于优势地位,企业就需对扁平化的组织结构进行建设和完善。与此同时,企业还需对权责分工体系进行合理建设,使各部门的分工、权责得到明确划分,最终推动财务公司的长远稳定发展。
二、加强风险控制
(一)对科学合理的风险控制体系进行建设
当前,不确定性是企业经营活动的一大特点,因而企业就需面临一系列的风险。所以,为了使财务公司经营活动的正常运行得到保障,公司就需不断地对风险控制体系进行建设和完善。具体而言,公司需组建起风险评估小组对公司的运营活动进行风险评估,并积极运用信息技术,通过公司的信息资源对各种信息进行收集和分析,建立完善科学合理的风险控制体系,旨在使企业的风险管理能力得到提高。
(二)加强风险预防功能
对传统的内部控制制度进行分析可知,企业财务错误的发现工作大多是在年末完成的,即企业员工多在年尾对会计信息进行检查。在实际工作中,企业内部控制的预防功能并没有得到有效发挥,因而企业内部控制制度也得不到应有的重视。因此,在信息技术的条件下,企业就需对风险评估部门进行建设。在实际工作中,风险评估部门依靠风险评估手段可对企业运营过程中的风险进行预测,旨在使企业能有效地对风险进行回避。
三、对信息系统控制机制进行建设
(一)制度规范
在公司的运营过程中,企业为了对相关人员的行为进行有效约束,就可制定出相关的制度规范。这些管理制度由多方面构成,主要是企业信息系统设备管理制度、系统操作人员职责分工制度、维护人员职责分离制度、软件系统管理制度以及信息系统的内部审计制度等。
(二)技术方法
作为一种综合性控制措施,技术方法具有预防、纠正、检查的特点。企业可以利用的信息技术有很多,比方说防火墙技术、恢复技术以及数据库自动备份、口令密码技术、数据加密技术、病毒检测与杀毒技术以及电子商务安全技术等。
四、积极引进信息技术
(一)职责分离
在信息技术条件下,为了使公司的内部控制制度得到有效施行,在岗位设置方面,公司也需对职责分离进行运用。具体而言,针对信息系统硬件管理和信息系统软件管理,公司需让不同的员工进行管理;针对不兼容职务的分离,公司需对科学合理的制度进行建立,比方说风险控制、财产保全控制、内部报告制度控制、预算控制以及会计控制等;在经办人员和业务决策人员职权设置方面,公司需进行明确划分,旨在使业务授权、业务记录、业务执行以及业绩检查等方面得到职责分离。
(二)授权和审批
一般而言,计算机程序控制以及制度控制构成了授权和审批的执行。为了在信息技术条件下对内部控制制度进行有效施行,企业就需依据常规授权以及特别授权的相关准则,对不同岗位的审批范围以及职责权限进行明确。因此,针对任何有权接触信息系统的人员,公司需对其进行身份鉴定、密码保护、口令设置以及电子签章等。这样一来,就可使内部控制执行的安全性以及有效性得到保障。
五、对信息化的监控系统进行建立
(一)建立信息化的监控系统
依靠信息技术,企业可对科学合理的监控系统进行建立,帮助企业完成实时监控,进而对系统的运营情况有深入的了解。这样一来,公司就可依据变化情况对信息体系的相关数据进行合理评估。另外,还需对内部控制缺陷报告制度进行建设,倘若出现了严重的问题,就可及时告知公司高层并采取合理的措施进行解决了。
(二)完成会计信息系统审计
为了使财务公司信息系统的安全性、科学性得到保障,公司就需进行内部控制评估以及会计信息系统审计。首先,企业需成立具有独立性的信息系统审计小组进行审计工作;其次,在进行控制评估工作时,公司需将内部和外部审计结合起来;最后,可对外部监督机制进行强化,使公司接受社会公众的监督,旨在使组织目标的实现得到保障。
六、结束语
在信息技术条件下,为了对公司的内部控制方法进行合理运用,我们就需从组织结构完善、企业文化创建、信息化监控系统建设等方面入手,对内部控制机制进行完善和创新,最终推动财务公司的飞速、稳定发展。
参考文献:
[1]王海林.信息技术环境下的内部控制建设的思考[J].中国注册会计师,2011(4)
